你发现没,现在各种所谓的EDR产品,已经“烂大街”了。
EDR到底是啥?从字面理解就是端点检测与响应(EndpointDetectionandResponse)。
虽然字面好理解,而且“烂大街”,但竟然还有很多人,甚至是圈内人,对EDR存在巨大误解!
以下这些场景,你可能似曾相识↓
▌场景一:
去见大甲方时,甲方领导抱怨说:我们现在的杀毒软件不大好用,装了还中毒,听说EDR更好用,给我们升级成EDR吧。
的确,在不少甲方客户眼里,EDR就是增强版的大号杀毒软件,查杀病毒更NB,分分钟让你给他升级。
▌场景二:
在技术峰会上,某安全大咖布道,畅谈终端安全发展史:终端安全经历了三个发展阶段,杀软、终端安全管理EPP、EDR,现在是EDR的时代。
▌场景三:
技术交流会上,某安全公司售前这样向客户介绍自家产品:我司EDR客户端内置了下一代引擎,可以实时监测终端已知和未知威胁,并能和云端联动。
下一代引擎,基于AI的文件监测…,Wow,真是不明觉厉呀!赶紧备好预算来一套吧。
……
怎么样,是不是都是熟悉的味道,甚至颇有几分道理?
不不不,其实这些都是对EDR巨大的误解!再这么用,会被笑掉大牙的。
我们必须要认清以下事实↓↓↓
EDR不是大号杀毒软件,并不能替代杀毒软件。
EDR并不会在客户端上内置一个病毒库,无法查杀恶意文件。
但是,如果有恶意文件绕过了杀毒软件的监管,在系统里干了“不可描述”的坏事,却能够被EDR发现。
EDR也不是桌管平台,并不能对电脑上的外设、端口、软件的违规使用进行管控。
但EDR却能发现终端因为各种违规操作而带来的威胁,并及时提醒管理者进行纠正和防范。
比如因为某个USB口滥用或者非法外联,产生了威胁和入侵,会被EDR即时发现并定位。
这么一听,你感觉EDR好像没有杀软厉害,没有桌管多能,这个也不行,那个也不行,很鸡肋啊…
嘿嘿,这么想你就大错特错了。
因为EDR天生是干大事的!它对付的都是高级威胁,这些威胁,杀毒软件们从机制上就搞不定。
我们来看个实战的例子↓
现在有一种很流行的攻击,叫做:无文件攻击。
这种攻击,并不是真没有任何文件,而是包含恶意指令的文件不落盘,直接远程下载,在内存中执行。
很多杀软都不能总是一直扫内存啊,也太消耗资源了。
除此之外,恶意文件还可以盗用合法文件的签名,成功绕过杀软,或者把自己加密存储,干坏事的时候再在内存中解密。
而且,有些恶意攻击还会反向侦查杀毒软件,当发现系统存在杀毒软件的时候,就伪造一个逼真的弹出窗口,骗你说“杀软有问题”,让你退出杀毒软件。
总之,这类“无文件”的骚操作,是当下非常流行的攻击手段,而且黑客组织已经将这类工具量产化,广泛传播,应用于各种攻击场景。
这就导致了黑客工具很高级,但是使用工具的人却不需要很高级。随便组装投递一下,就能给目标造成很大的杀伤力。
在这种安全新态势下,谁能横刀立马、力挽狂澜?
唯有EDR!
我们来剖析下EDR的工作原理↓
检测机制上,EDR是从端到云。
传统终端安全软件的机制,是客户端重载,威胁检测几乎全部在终端侧完成,终端用户的工作经常被打扰,而且系统资源开销很大(尤其杀软、桌管等多套客户端并行状况下)
而EDR客户端只负责事件收集,然后将可以事件实时同步到服务器端/云端,通过服务端进行大数据检测、分析、情报匹配,以及专家介入研判处置。
EDR对终端用户几乎无打扰,充分利用云端强大的计算资源和检测引擎,迅速发现可疑行为。
传统终端病毒和威胁检测的思路,就像蹲守在羊圈门口的守卫,时刻检查所有过往行人,草木皆兵,看见可疑的立即抓走。
不仅消耗体力,还容易搞出“狼来了”式的误报,更可怕的是被针对性的“绕过”(例如前面所说的无文件攻击)。
EDR则是“以退为进”,不关心行人的仪表特征,就看他们干不干坏事。
如果有人干了破坏羊圈的事,它就会把这种行为定性为威胁事件,迅速告警和响应,找人修复羊圈,并溯源活捉坏人。
羊圈被破坏不要紧,羊没丢就是完成了核心KPI,还顺手捉到了高级狼。
所以,EDR与杀软、桌管们的职责分工完全不一样。
初级的老破小病毒、桌面违规操作管理等等,交给杀软、桌管来处理。
EDR负责对付各类高级的、潜伏性强的、未来危害性大的、甚至被武器化的威胁。而且,在当下各种攻防演练中,EDR是最优秀的实战工具。
那凭什么EDR就能干这些高级活呢?
一个EDR能力强不强,关键要看4点。
▌1、事件采集:
终端事件采集是后续检测、分析能力的重要基础,没有足够的采集量,还分析个毛?
真正的EDR客户端,都是极简客户端,或者说只是一个探针。
既要足够轻,对终端资源极低占用,对终端用户零打扰,又要有极为优秀的行为采集能力,保证在恶意程序干坏事的时候,可以明察秋毫。
不止要采集基础行为事件,还要采集更细的行为粒度。
不止是采集的行为数量有门槛,采集方法也很有讲究。
常规的基于APIHook、ETW等技术来采集,很不稳定,有时候还会遗漏或丢失。
而且很多高级的攻击手法,都会绕过这些技术,让你毛都采不到。
然后,即便你用了高级的采集方法,采到了详细的事件,更现实的一个问题出来了:要把这些事件送到服务端,进行情报匹配、AI研判、大数据分析。
这就需要过滤无效事件、最大化传输有效事件、最小化网络带宽消耗。如何压缩、去重、组合,太考验功力了。
▌2、威胁检测
好了,前面搞定事件收集和传输,接下来的挑战就是,如何精准、高效地检测威胁。
海量的行为事件收集上来,服务端需要极强的处理能力,结合大数据技术、AI分析、威胁情报碰撞,快速检测。
因为EDR是在威胁发生后再反击,所以检测速度必须快准狠,否则等坏人把坏事都干完了,那就真成“事后诸葛亮”了。
如果仅凭一两个行为,很容易就造成误报,搞得“大水冲了龙王庙”。
这样,才能降低误报,精准检测,既不会错杀,也不会错放。
▌3、溯源分析
快速精准检测出威胁事件还不够,还要完成威胁溯源。
溯源意义在于找到真正的元凶,从源头把入侵的黑手斩断。
但是,溯源的难度在于:进程的源头,是正常的系统服务;执行的源头,是合法的系统进程;事件的源头,是跨终端的RPC调用。
没点道行的话,看到第一步合法的白进程,线索就断了。
必须要层层抽丝剥茧,找到真正的进程源头,并进行跨机器的事件关联和进程关联,才能溯源抓到幕后黑手。
▌4、事件响应
最后一步,需要对威胁事件做出响应:该修修、该补补、该抓抓、该shasha。
这个响应,不是简单的隔离机器或者进程,还需要配套持久化、序列化、智能化的清理动作,除恶务尽。
对于常见、多发的威胁,需要自动化的清理处置能力。对于复杂威胁,还要进一步调查取证。
好了,这四个关键环节搞完,我们还要探讨一个额外的加分项:那就是EDR的部署形态。
在很多老铁的惯性思维里,安全产品应该本地化部署,其实对于EDR产品来说,云化SaaS模式部署更靠谱。
目前,顶级的甲方安全团队都在用SaaS化的EDR,而业界标杆CrowdStrike的EDR产品,也是SaaS化交付。
为什么SaaS化更好?我们简单做个比较↓
除此之外,还有非常重要的一点,与本地机房自组“草台班子”运维相比,云上SaaS由专业的安全厂商运营,提供更强的安全保障。
说句不中听的话:2023年代了,你竟然还觉得本地比云更安全?
讲到这里,你大概能get到真正靠谱的EDR是啥样的了吧。
那么,符合这些关键能力特征、部署模式优势的EDR产品,哪家强?
有请「真神」出场,这就是微步在线OneSECEDR!
EDR多到“烂大街”,为什么我却唯独看好微步在线的OneSEC呢?
简单给大家捋捋↓
一、看终端事件采集能力
微步OneSECEDR以极小的轻量化agent,提供完整的、细粒度终端事件采集能力。
而且,还要跟终端上其他软件兼容,因为实战中,终端都已经装上了五花八门的杀软、桌管、EPP…
同时,通过先进的事件重组和网络传输压缩技术,微步OneSEC大幅降低网络传输量,单一日志压缩比可达5:1。
来一组实测数据↓
微步在线这两项采集与传输的独门绝技,在保证终端完全无感、网络极低负荷的情况下,云端可以获得足够详尽的事件信息,用于后续威胁检测。
二、看威胁检测能力
在服务端,微步OneSEC提供了极其全面的威胁检测技术,基于各种最新的、花样繁多的入侵指标(IoC)、攻击指标(IoA)和黑样本,调用云端算力,进行大数据分析和筛查。
这其中,威胁情报是微步在线的看家能力之一,百万级别、秒级更新,准确率高达99.9%,让各种高级威胁难以遁形。
然后再综合其他各类威胁指标,利用微步自研的「图关联检测」技术,可以更加快速、准确地检测威胁。
三、看溯源和响应能力
微步OneSEC具备追溯到执行源头的串联能力,只要干了坏事,就算“狡兔三窟”也能被挖出来。
纵使前面万般努力,最后还需“一哆嗦”,这“一哆嗦”就是响应。
OneSECEDR提供序列化、智能化、自动化的响应能力,除恶务尽,还终端清净。
当然,还有一点特别特别重要,EDR的检测、溯源和响应,是不可能完全实现自动化的。
必须要有人在云端帮你人工研判、处置特殊的事件和威胁。(如果只卖软件、不卖专家服务的EDR,千万不要相信他)
因此,微步在线配备了强大的专属团队和支撑团队,机器+人肉,确保“算无遗策”。
最后,在交付模式上,微步在线OneSEC提供SaaS模式、内网本地模式、外网本地模式三种方式。
其中,SaaS模式深受客户喜爱。对安全大甲方来讲,这种代表未来趋势的架构,部署更快、成本更低、效果更好、服务更强、风险更可控。
微步在线OneSECEDR自上线以来,由于实战能力突出、威胁检出率高、部署方便快捷,迅速在各大头部客户流行起来(证券、银行、央企、高科技行业…)
消灭绕过杀毒软件的新型攻击,挖出潜伏已久的高级威胁,活捉攻防演练中摸盘踩点的红队老铁…