信息來(lái)源:安全牛
很多企業(yè)視終端檢測(cè)與響應(yīng) (EDR) 為數(shù)據(jù)泄露主要防御手段。2012 年,EDR 作為單獨(dú)的一類(lèi)安全產(chǎn)品出現(xiàn),并很快被認(rèn)為是漏洞利用、零日惡意軟件和無(wú)文件攻擊等新型威脅的有力響應(yīng),補(bǔ)充了傳統(tǒng)殺毒軟件 (AV) 在這方面的弱勢(shì)。
雖說(shuō) EDR 應(yīng)對(duì)當(dāng)今多種高級(jí)威脅的有效性毋庸置疑,但新型“下一代 EDR”解決方案已浮出水面,不僅擁有全部 EDR 功能,還能抵御 EDR 未覆蓋的主要攻擊途徑,比如那些涉及用戶(hù)和網(wǎng)絡(luò)的攻擊。
Cynet(一種下一代 EDR 解決方案)共同創(chuàng)始人 Eyal Gruner 解釋道:很多人都無(wú)意識(shí)地搞混淆了兩種不同的東西——終端防護(hù)和數(shù)據(jù)泄露防護(hù)。
沒(méi)錯(cuò),很多攻擊始于終端,涉及惡意文件與惡意進(jìn)程,使 EDR 成為了終端防護(hù)的完美解決方案。但實(shí)際攻擊界面遠(yuǎn)比終端廣闊,你要保護(hù)的不僅僅是終端,而是你的公司。
Gruner 白帽黑客出身(從 15 歲就開(kāi)始了),還創(chuàng)辦了以色列最大的網(wǎng)絡(luò)安全咨詢(xún)公司 BugSec。如今,他是世界聞名的攻擊工具、技術(shù)及實(shí)踐專(zhuān)家。
可以這么想:攻擊者的動(dòng)作必然會(huì)產(chǎn)生某種異常。而我們理解的‘正常行為’是不包含染指資源和盜取數(shù)據(jù)的。這些異常就是安全產(chǎn)品或者說(shuō)威脅分析師的錨點(diǎn),用以識(shí)別正在發(fā)生的不良情況并封鎖之。
Gruner 稱(chēng),這些異??稍谌齻€(gè)核心的地方看到——進(jìn)程執(zhí)行、網(wǎng)絡(luò)流量或用戶(hù)行為。比如說(shuō),勒索軟件會(huì)產(chǎn)生進(jìn)程執(zhí)行異常,因?yàn)闀?huì)出現(xiàn)一個(gè)嘗試與大量文件交互的進(jìn)程。
另一方面,多種橫向移動(dòng)包含網(wǎng)絡(luò)流量異常,以超高服務(wù)器消息塊 (SMB) 流量的形式呈現(xiàn)。與之類(lèi)似,當(dāng)攻擊者以被盜用戶(hù)賬戶(hù)憑證登錄關(guān)鍵服務(wù)器時(shí),唯一的異常存在于用戶(hù)行為中。兩種情況下,僅僅監(jiān)視進(jìn)程是無(wú)法發(fā)現(xiàn)攻擊的。
Gruner 表示,EDR 可以很好地防御那些可通過(guò)進(jìn)程異常加以識(shí)別的攻擊。該工具駐守終端,監(jiān)視進(jìn)程行為,形成對(duì)此類(lèi)威脅的有效防護(hù)。但其他類(lèi)型的威脅呢?有很多主流攻擊方法在網(wǎng)絡(luò)流量和用戶(hù)行為層面操作,不會(huì)觸發(fā)絲毫過(guò)程異常,EDR 對(duì)此完全失明。
為更好地理解該問(wèn)題,我們不妨從攻擊者的角度來(lái)看。攻擊者已成功入侵一臺(tái)終端,正在衡量怎樣進(jìn)一步浸染整個(gè)環(huán)境,訪(fǎng)問(wèn)并滲漏敏感數(shù)據(jù)。要完成這一任務(wù)還有幾個(gè)必要的步驟要做。我們以憑證竊取為例。
高權(quán)限憑證是訪(fǎng)問(wèn)環(huán)境中資源的基礎(chǔ)。攻擊者可能?chē)L試從已入侵終端的內(nèi)存中轉(zhuǎn)錄出這些憑證。因?yàn)樵撆e動(dòng)會(huì)引發(fā)進(jìn)程異常,EDR 可以捕獲到該入侵動(dòng)作。
然而,密碼散列值也可以通過(guò)攔截內(nèi)部網(wǎng)絡(luò)流量(利用地址解析協(xié)議 (ARP) 中毒或域名系統(tǒng) (DNS) 響應(yīng)器)獲取。這種攔截動(dòng)作只有通過(guò)監(jiān)視網(wǎng)絡(luò)流量異常才能探知,而 EDR 會(huì)完全漏掉這一異常。
Gruner 表示,以自己的經(jīng)驗(yàn),厲害的攻擊者通常能快速摸清目標(biāo)都設(shè)置了哪些防御措施,然后采取相應(yīng)的規(guī)避和攻擊動(dòng)作。如果發(fā)現(xiàn)設(shè)置了良好的 EDR,攻擊者會(huì)換用針對(duì)網(wǎng)絡(luò)和用戶(hù)領(lǐng)域的技術(shù),在EDR 檢測(cè)不到的地方肆意操作。
所以,如果你想要的是安全技術(shù)棧中有個(gè)組件能夠防護(hù)基于進(jìn)程的攻擊,比如惡意軟件、漏洞利用程序等,那 EDR 就能滿(mǎn)足你的需求。但如果你尋求的是防止數(shù)據(jù)泄露,你就得考慮更多東西了——這正是我們創(chuàng)建 Cynet 360 的初衷。
Cynet 360 持續(xù)監(jiān)視進(jìn)程、網(wǎng)絡(luò)流量和用戶(hù)行為,全方位覆蓋當(dāng)今高級(jí)攻擊中所用各種攻擊方法。也就是說(shuō),包含全部 EDR 功能,并擴(kuò)展和集成了用戶(hù)行為分析和網(wǎng)絡(luò)分析,補(bǔ)充了健壯的誘騙層——可使操作人員能夠植入充當(dāng)誘餌的數(shù)據(jù)文件、密碼、網(wǎng)絡(luò)共享等,誘騙攻擊者暴露自身。
而且,Cynet 提供的遠(yuǎn)不止增值那么簡(jiǎn)單。Gruner 稱(chēng):不僅僅是基于進(jìn)程的威脅+基于網(wǎng)絡(luò)的威脅+基于用戶(hù)的威脅。攻擊者越高端,就越精于隱藏自身及其行為。所以,很多攻擊僅靠觀測(cè)進(jìn)程或流量或用戶(hù)行為根本無(wú)法發(fā)現(xiàn)。
只有通過(guò)綜合這些信號(hào)形成上下文,你才可以看出有惡意事件發(fā)生。Cynet 360 自動(dòng)化該上下文創(chuàng)建過(guò)程,揭示其他方法發(fā)現(xiàn)不了的多種威脅。
Gruner 總結(jié)道:沒(méi)有哪種防護(hù)措施是 100% 無(wú)缺口的,但你必須扼守所有主要通路。攻擊者能夠繞過(guò)它們嗎?答案是 “能”,只要他們技術(shù)夠高、決心夠大、資源夠豐富。但如果你監(jiān)視所有主要異常路徑,就能迫使他們前進(jìn)得異常艱難——難到足以令他們中大多數(shù)人無(wú)功而返。
EDR 是個(gè)神奇的東西,這正是 Cynet 360 納入其所有功能并加以擴(kuò)展和補(bǔ)充的原因所在。EDR 自身不足以提供完備的數(shù)據(jù)泄露防御,所以我們給 Cynet 360 配齊了欠缺的其他功能。