信息來源:安全牛
很多企業(yè)視終端檢測與響應(yīng) (EDR) 為數(shù)據(jù)泄露主要防御手段���。2012 年�����,EDR 作為單獨的一類安全產(chǎn)品出現(xiàn)�����,并很快被認為是漏洞利用�、零日惡意軟件和無文件攻擊等新型威脅的有力響應(yīng),補充了傳統(tǒng)殺毒軟件 (AV) 在這方面的弱勢�����。
雖說 EDR 應(yīng)對當今多種高級威脅的有效性毋庸置疑��,但新型“下一代 EDR”解決方案已浮出水面�,不僅擁有全部 EDR 功能,還能抵御 EDR 未覆蓋的主要攻擊途徑����,比如那些涉及用戶和網(wǎng)絡(luò)的攻擊��。
Cynet(一種下一代 EDR 解決方案)共同創(chuàng)始人 Eyal Gruner 解釋道:很多人都無意識地搞混淆了兩種不同的東西——終端防護和數(shù)據(jù)泄露防護��。
沒錯�����,很多攻擊始于終端����,涉及惡意文件與惡意進程,使 EDR 成為了終端防護的完美解決方案�。但實際攻擊界面遠比終端廣闊�����,你要保護的不僅僅是終端��,而是你的公司����。
Gruner 白帽黑客出身(從 15 歲就開始了)��,還創(chuàng)辦了以色列最大的網(wǎng)絡(luò)安全咨詢公司 BugSec�。如今,他是世界聞名的攻擊工具���、技術(shù)及實踐專家��。
可以這么想:攻擊者的動作必然會產(chǎn)生某種異常���。而我們理解的‘正常行為’是不包含染指資源和盜取數(shù)據(jù)的。這些異常就是安全產(chǎn)品或者說威脅分析師的錨點���,用以識別正在發(fā)生的不良情況并封鎖之��。
Gruner 稱���,這些異?����?稍谌齻€核心的地方看到——進程執(zhí)行����、網(wǎng)絡(luò)流量或用戶行為��。比如說����,勒索軟件會產(chǎn)生進程執(zhí)行異常,因為會出現(xiàn)一個嘗試與大量文件交互的進程���。
另一方面,多種橫向移動包含網(wǎng)絡(luò)流量異常���,以超高服務(wù)器消息塊 (SMB) 流量的形式呈現(xiàn)��。與之類似��,當攻擊者以被盜用戶賬戶憑證登錄關(guān)鍵服務(wù)器時��,唯一的異常存在于用戶行為中�����。兩種情況下�����,僅僅監(jiān)視進程是無法發(fā)現(xiàn)攻擊的�。
Gruner 表示,EDR 可以很好地防御那些可通過進程異常加以識別的攻擊���。該工具駐守終端���,監(jiān)視進程行為,形成對此類威脅的有效防護����。但其他類型的威脅呢?有很多主流攻擊方法在網(wǎng)絡(luò)流量和用戶行為層面操作��,不會觸發(fā)絲毫過程異常��,EDR 對此完全失明�����。
為更好地理解該問題,我們不妨從攻擊者的角度來看�����。攻擊者已成功入侵一臺終端�����,正在衡量怎樣進一步浸染整個環(huán)境����,訪問并滲漏敏感數(shù)據(jù)。要完成這一任務(wù)還有幾個必要的步驟要做��。我們以憑證竊取為例��。
高權(quán)限憑證是訪問環(huán)境中資源的基礎(chǔ)���。攻擊者可能嘗試從已入侵終端的內(nèi)存中轉(zhuǎn)錄出這些憑證。因為該舉動會引發(fā)進程異常����,EDR 可以捕獲到該入侵動作���。
然而,密碼散列值也可以通過攔截內(nèi)部網(wǎng)絡(luò)流量(利用地址解析協(xié)議 (ARP) 中毒或域名系統(tǒng) (DNS) 響應(yīng)器)獲取�。這種攔截動作只有通過監(jiān)視網(wǎng)絡(luò)流量異常才能探知,而 EDR 會完全漏掉這一異常�����。
Gruner 表示����,以自己的經(jīng)驗,厲害的攻擊者通常能快速摸清目標都設(shè)置了哪些防御措施�,然后采取相應(yīng)的規(guī)避和攻擊動作。如果發(fā)現(xiàn)設(shè)置了良好的 EDR���,攻擊者會換用針對網(wǎng)絡(luò)和用戶領(lǐng)域的技術(shù)���,在EDR 檢測不到的地方肆意操作。
所以��,如果你想要的是安全技術(shù)棧中有個組件能夠防護基于進程的攻擊�,比如惡意軟件、漏洞利用程序等,那 EDR 就能滿足你的需求�����。但如果你尋求的是防止數(shù)據(jù)泄露�����,你就得考慮更多東西了——這正是我們創(chuàng)建 Cynet 360 的初衷����。
Cynet 360 持續(xù)監(jiān)視進程、網(wǎng)絡(luò)流量和用戶行為��,全方位覆蓋當今高級攻擊中所用各種攻擊方法�。也就是說,包含全部 EDR 功能��,并擴展和集成了用戶行為分析和網(wǎng)絡(luò)分析���,補充了健壯的誘騙層——可使操作人員能夠植入充當誘餌的數(shù)據(jù)文件�、密碼�、網(wǎng)絡(luò)共享等,誘騙攻擊者暴露自身��。
而且�����,Cynet 提供的遠不止增值那么簡單��。Gruner 稱:不僅僅是基于進程的威脅+基于網(wǎng)絡(luò)的威脅+基于用戶的威脅�����。攻擊者越高端���,就越精于隱藏自身及其行為�����。所以���,很多攻擊僅靠觀測進程或流量或用戶行為根本無法發(fā)現(xiàn)。
只有通過綜合這些信號形成上下文�,你才可以看出有惡意事件發(fā)生。Cynet 360 自動化該上下文創(chuàng)建過程����,揭示其他方法發(fā)現(xiàn)不了的多種威脅。
Gruner 總結(jié)道:沒有哪種防護措施是 100% 無缺口的,但你必須扼守所有主要通路��。攻擊者能夠繞過它們嗎����?答案是 “能”,只要他們技術(shù)夠高�、決心夠大、資源夠豐富����。但如果你監(jiān)視所有主要異常路徑,就能迫使他們前進得異常艱難——難到足以令他們中大多數(shù)人無功而返����。
EDR 是個神奇的東西,這正是 Cynet 360 納入其所有功能并加以擴展和補充的原因所在����。EDR 自身不足以提供完備的數(shù)據(jù)泄露防御,所以我們給 Cynet 360 配齊了欠缺的其他功能�����。
