全国直销电话:4006-854-568
IT-technology
以人为本,众志成城,以“用户至上”.“服务上乘”为原则,
追求产品和服务高质量,努力实现与客户之间真诚有效的沟通,
不断地圆梦、奔跑与腾飞。
新闻动态   NEWS
网站首页 所有新闻 行业资讯 又要开始护网了,你装EDR了没?-北京赛维博信科技发展有限公司
又要开始护网了,你装EDR了没?-北京赛维博信科技发展有限公司
来源:本文摘自网络,如有侵权请联系删除 | 作者:svbx001 | 发布时间: 2022-06-27 | 1216 次浏览 | 分享到:

又要开始护网了,你装EDR了没?

回想2020年8月17日,那是护网行动开始的第一天,但第一天还没结束就草草收场,网传是因为业内三家名字带“信”厂商的终端软件出了安全漏洞,以及红方攻击IP被共享到蓝方阵营,提前做了封堵,失去了攻防演练的意义。

护网行动,从2016年开始,参加单位由最开始的公安部、民航部、国家电网逐步扩散开来。2017年增加重点政府部门,2018年增加重点企事业单位,2019年有政企、能源、金融、电信、广电、交通、民航、公共事业等单位。后来,根据等保2.0新规范,还增加了公有云、物联网领域的相关企业单位。

2021年4月份,在护网行动开始之前,各大网站的门户开始大面积进行系统升级,主动拒绝向用户提供服务,减小业务暴露面,降低扣分的可能性。一定程度上讲,倒是没有出现2020年那么多精彩时间。

时间来到2022年,据说今年的护网将在7月份进行,通过不断积累经验,实战性应该会大幅提升吧?

实际上,护网行动是网络安全工程师技术面的比拼,也是网络安全软硬件资源的比拼。大家印象中的黑客就可以理解为护网行动中的红方,防守的企业就是蓝方。实际上,红方也没有电影中描述的顶级黑客那么厉害,大部分都是用一些扫描工具、漏洞脚本等发起攻击,真正的大神不多;蓝方也没有电影中演的那么超神,兵来将挡、水来土掩、见招拆招,实际上都是依赖安全设备,比如网络层加防火墙、IPS,服务器区加WAF,还有其他的流量分析、态势感知等等一系列产品。一定程度上讲,护网行动成了安全厂商推广产品、蓝方检验安全厂商产品的大好机会,带来的收益就是网络安全质量的整体提升。

按照Forrester 2020年度市场趋势预测,未来几年,数据中心的业务会逐步向云数据中心及边缘计算场景进行迁移;同时因为数据量激增,会有更多的边缘计算来减轻网络压力,网络边缘和终端的安全防护显得日益重要。

像之前介绍过的零信任网络后沿:零信任网络、SASE、EDR(护网中大“火”的EDR是个啥?等等就应用的越来越广泛了,但是按照目前的技术和实际应用场景,大部分还是需要结合终端软件来实现,纯粹的摆脱终端软件还规模应用了的方案我目前还没见到。

这时候就要提到EDR(端点检测与响应平台)这个产品了,是终端防护的新型概念,前身包括AV防病毒和EPP(端点保护平台)。其产品定义为:记录和存储端点系统级行为,使用各种数据分析技术检测可疑系统行为,提供上下文信息,阻止恶意活动,并提供修复建议以恢复受影响的系统。

核心功能
对终端的持续性监控

利用终端集成探针功能实现对终端的持续性监控,全面记录并保存终端上活动的进程、网络连接、注册表信息、文件操作行为、移动存储使用、用户操作信息等,为终端威胁可见性的提升提供基础数据支撑。

以威胁事件为起点实现自动根因分析

当一个威胁产生时,EDR解决方案不是直接提供一个告警,而是以这个威胁源为起点自动关联这个威胁的来源和方式,在终端上执行的操作以及操作带来的影响,并形成一个威胁告警,管理人员通过查看告警即可了解这个安全事件的全貌。

高级关联分析应对针对性和复杂攻击

利用关联分析技术,将终端上不同时间段、不同类别的活动信息进行关联分析,以洞悉其中存在的异常行为和可能存在的攻击,有效减少产生的威胁告警信息,避免漏报和误报对管理人员造成影响,让威胁事件变得更容易解读和处置。

以安全调查为抓手的全网威胁追踪

对终端的持续性监控,为管理人员带来了全网安全可视性的提升,进一步增强了针对网络内终端的安全公告能力,利用安全调查功能根据终端安全关注的不同维度实现全网快速检索,主动发现和追踪存在的威胁,以便在威胁产生影响之初做出响应和处置。

EDR和EPP产品功能对比

而EDR软件防人要先防己,打铁还要自身硬。EDR一般是系统进程级防护,管理员自己都卸载不掉,应用权限极高,如果漏洞被恶意利用,如向全网终端推送恶意程序,危害巨大,后果不堪设想。

因为业务需求,我们公司也部署了某深姓的EDR产品,不得不佩服产品的实力。说几个使用EDR后的真实感受。

首先,软件权限极高,可以访问到终端上所有的文件系统,而且对于可能存在风险的文件可以直接拦截。举个例子,你可能自己编了一个小程序,因为系统无法跟已有的文件特征进行匹配,EDR就可以直接把这个文件隔离起来,禁止运行,并且可能会上传到服务器进行进一步分析。

进一步讲,如果有需要,可以对浏览器下载的文件、对IM软件接收的文件等进行实时分析。因为权限太高,所以这里的文件就不限于一些简单的文件了,有可能是IM软件中的聊天记录、图片和语音信息等等,都可以进行分析。比如之前某公司的产品可以实施分析员工是否有离职倾向等等,就是这么来的。

除了文件之外,EDR还可以执行动作,比如拦截软件的安装,已经有不少小伙伴反馈安装EDR之后系统更新异常、软件安装异常、驱动更新异常等等。还可以拦截浏览器,比如拦截一些非法站点或者存在风险的站点,当然,因为系统特征库不完善,可能存在访问企业内部正常的业务系统被拦截的情况,在开始部署EDR时,这些都会是家常便饭。

再就是流氓一点的行为了,比如通过监控网卡流量来分析业务类型,再结合浏览器的浏览记录即可完美复现你上网的全流程;又比如通过后台进程的活跃程度来判断员工是否在高效办公,比如检测到某些进程之后对桌面进行截图,再结合OCR图像识别技术分析图片内容等等。毕竟在东数西算这种大工程面前,只要有源数据和算法,想得到任何结果都是有可能的。

这时候再想想,如果这么高效的工具被不法利用了,那还了得?

所以网络安全面前,最重要的角色就是人,最薄弱的环节也是人。管理员应当加强对人员的安全教育,考虑对关键业务系统增加多因子认证等安全手段,并且安全平台做到对恶意程序零容忍,限制关键敏感操作;最起码在网络层面,应规范关键业务系统的网络可见性,减小暴露面,把软肋藏起来吧!

共勉!


 

服务热线

1391-024-6332