你真的了解 EDR 吗?

地球胖头鱼 2020-10-06
Web安全 发布于 2020-10-06 10:09:21 阅读 119 评论 0

你真的了解EDR吗?

原创:大兵说安全

这两年,EDR是一个比较热门的话题。很多厂商推出了自己的EDR产品。很多客户也被各厂商的宣传搞混了,到底什么是 EDR?是杀毒软件的升级版吗?为什么各个EDR厂商的价格差别如此之大?

那么,今天,我们就来看一看到底什么是EDR,把概念搞清楚了,才不会被各种宣传所忽悠。

说EDR之前,我们还要了解另外两个概念:AV和EPP。

这三个概念联系比较密切,也最容易被搞混。

AV(Anti Virus)

就是大家都熟悉的防病毒软件。这个大家都不陌生了,为了防止电脑被病毒感染,于是诞生了一批公司专门查杀病毒,最初应用的主要技术就是病毒特征码技术。

其思路安全厂商收集到该病毒后进行分析,找到能标识其特征的一段代码(病毒特征码),将其放入一个数据库(反病毒特征库,俗称病毒库)中,终端用户通过升级病毒库,并用扫描软件的扫描引擎调用该数据库记录与要扫描的文件进行匹配,成功了就表明该文件被病毒感染,没有匹配成功说明没有感染病毒。如果匹配成功,则将该病毒清除掉。

这种方式的优点是查杀准确,并能做清除处理。但缺点也很明显:

1、不能查杀未知病毒。传统的杀毒思路都是病毒先出现,甚至是大规模爆发后,安全厂商才提取特征码放入病毒库,终端用户通过升级将最新的病毒清除掉。这种做法显然不能在第一时间完成对最新病毒的防护。

2、采集样本难度大。判断一个杀毒软件防病毒能力强弱的一个重要指标就是病毒库的大小,当新病毒出来后,厂商能不能第一时间捕获该样本,能不能第一时间给出解药,直接决定了该杀毒软件查杀的结果。

于是,后来出现的主动防御技术,变被动为主动,关于主动防御的定义,一般都认为是一种不依赖于传统的特征码扫描,其特征库(行为、规则等)不需要即时更新的识别新病毒的技术,常见的技术如行为检测,根据其行为判断是否恶意程序。而且很久之前业界就有共识:主动防御像别的技术一样,并不能包医百病,而只是传统的被动防御技术的一个很好的补充。

曾经有一些厂商在宣传的时候直接打出了“颠覆传统杀毒软件”、“取代传统杀毒软件”等口号,在此一并鄙视一下。

带主动防御技术防病毒软件,我们可以称之为第二代防病毒软件吧。

AV的产品有很多,有很多大家耳熟能详的名字,比如:江民、瑞星、金山、360、卡巴斯基、迈克菲mcafee、趋势、赛门铁克等

EPP

再后来,我们发现单纯的依靠防病毒软件做被动的防御还是很难避免病毒感染,端点安全是需要团队作战的,不仅要被动的防病毒,还要主动的从病毒可能感染和传播的各个方面进行防御,比如主机入侵检测系统(HIPS)、主机防火墙(HFW)、移动设备的管理、WEB控制、应用程序控制等。

这就出现了EPP的概念,可以理解为第三代的杀毒软件吧。

EPP,Endpoint Protection Platform端点保护平台。我们来看Gartner的定义:

端点保护平台(EPP)是部署在端点设备上的解决方案,用于防止基于文件的恶意软件,检测和阻止来自受信任和不受信任的应用程序的恶意活动,并提供动态响应所需的调查和修复功能安全事件和警报。

chopedia的定义是:EPP是一组软件工具和技术,可以保护端点设备,它是一种统一的安全解决方案,结合了防病毒、反间谍软件、入侵检测\预防、个人防火墙和其他端点保护解决方案。要保护的端点设备主要包括标准工作站(PC和笔记本电脑),也包括处理和移动设备(智能手机和平板电脑)。EPP的核心功能包括保护端点设备免受病毒、间谍软件、网络钓鱼和未授权的访问,它还提供数据丢失防护和数据加密服务,以保护端点设备上的静态数据。

从以上定义可以看出,EPP产品不是一个简单的防病毒这么简单,他的核心功能是保护端点设备的安全,包括的主要功能有:防病毒、防间谍软件、防网络攻击、防网络钓鱼、防火墙、防止未经授权的访问(设备、程序、网站等),还提供数据丢失防护和数据加密等多种功能,是一个综合的终端防护产品。

Gartner上推荐的EPP产品如下:

卡巴斯基:Kaspersky Endpoint Security for Business

迈克菲:McAfee Endpoint Security

微软:Windows Defender ATP

SentinelOne:SentinelOne Endpoint Protection Platform

  • 赛门铁克:Symantec Endpoint Protection
  • 趋势:Trend Micro OfficeScan
    可以说,EPP产品是防病毒的升级产品。其功能完全囊括了防病毒软件的功能。
    端点保护平台(EPP)目前已经基本上是单位网络安全的标配产品了(当然还有一些单位基于成本的考虑仍在使用简单的防病毒产品),EPP可控制传统恶意软件等已知威胁,还可以处理未知病毒,并从多个角度对病毒感染和传播的渠道进行控制。所以非常适合防范已知和未知的威胁。

EDR

现在有了新的变化。

对于单位的安全管理人员来说,在终端已经部署了安全解决方案,但是还是无法避免被攻击的厄运,在攻击发生前没有有效预警,当攻击发生时无法快速察觉和定位问题,在攻击过后追踪溯源困难,不能有效响应,避免攻击再次发生。

传统的终端安全解决方案以防御威胁为出发点,被动检测和拦截攻击。无法对威胁来源,运行过程和产生的影响进行监控和记录,而产生的告警信息数量庞大且相互间缺乏关联,导致针对整个安全威胁事件的可见性缺乏,带来了以下的问题:

• 难以应对复杂和有针对性的攻击

当前攻击者通过定制化的恶意软件可以成功绕过防御,利用多种技术手段和工具组合的攻击更加难以被识别,即使识别其中一种或者多种并产生告警,在后续的威胁追查中这些告警都需要安全管理人员再次进行人工分析和挖掘,以还原出攻击事件全貌,难度可想而知。

  • 威胁溯源困难原有的终端安全解决方案只针对检测到的威胁进行告警,缺乏对终端的持续监控,当威胁事件产生,管理人员针对威胁事件进行溯源时,发现很难定位到威胁的来源以及威胁造成的影响,所以很难进行有效的处理。

  • 应急响应周期漫长当前的终端解决方案中,针对威胁产生的告警往往是相互独立,告警间没有进行有效关联,结果导致管理人员很难看清楚整个安全事件的全貌,在处理威胁事件的过程中,往往淹没在大量的告警中筛查中,无法及时做出正确的响应和处理,导致威胁产生的影响进一步扩大。

在当今不稳定的威胁形势下,单靠预防性技术无法保护企业免受高级威胁。事实上,任何的EPP产品都不可能100%保护您的电脑免受恶意软件攻击,有些将突破你的防火墙和你的防病毒软件。如果能在恶意软件有可能造成任何严重损害之前,对端点上的文件活动进行此类监视可以提供发现攻击所需的警报类型。那么将会大大减少攻击的发生。

因此,EDR技术也就应运而生了。

EDR——Endpoint Detection and Response,端点检测与响应平台。EDR平台是将下一代防病毒元素与其他工具相结合的安全系统,可提供实时异常检测和警报,取证分析和端点修复功能。

EDR的一个重要功能就是“威胁追踪(threat hunting)”,EDR工具通常会记录大量端点和网络事件,把这些信息保存在端点本地,或者保存在中央数据库中。然后使用已知的攻击指示器(IOC)、行为分析和机器学习技术的数据库,来持续搜索数据,以发现威胁行为者或新型攻击的迹象,而不是依赖已知的威胁签名。它是威胁情报和大数据分析相结合的产物。威胁追踪是全面EDR解决方案的重要组成部分,同时也是EDR和端点保护平台(EPP)这两种易混淆概念的关键区别。

我们来看一下Gartner对于EDR的定义:EDR市场定义为记录和存储端点系统级行为的解决方案,使用各种数据分析技术检测可疑系统行为,提供上下文信息,阻止恶意活动,并提供修复建议以恢复受影响的系统。EDR解决方案必须提供以下四个主要功能:

  • 检测安全事件
  • 在端点控制事件
  • 调查安全事件
  • 提供补救指导

EPP和EDR的区别

  1. 目标不同
    EPP依赖存储的模式和签名文件来阻止已知威胁。最新的下一代端点保护平台,使用机器学习和深层检测机制进行威胁搜寻和发现,也专注于提供反恶意软件保护。

EDR的主要目标是主动检测新的或未知的威胁,以前未识别的感染直接通过端点和服务器渗透到组织。这是通过分析灰色区域中的事件来实现的,灰色区域是“受信任”区域和“绝对恶意”区域中包括的那些对象或进程的主页。

  1. 功能不同
    从功能上看,EPP和EDR有一些部分功能是重合的,比如漏洞利用、机器学习、行为侦测等,但大部分是不同的。下图显示了EPP和EDR的区别。

  1. 位置不同
    如果从著名的 PPDR网络安全模型上来看(《常见网络安全模型(上篇)》《常见网络安全模型(下篇)》,EPP和EDR所处于位置也不同。EPP是“阻止”层次的产品。EDR是“检测”和“响应”层次的产品。

EDR解决方案可以实现以下功能:

  • 对终端的持续性监控

利用终端集成探针功能实现对终端的持续性监控,全面记录并保存终端上活动的进程、网络连接、注册表信息、文件操作行为、移动存储使用、用户操作信息等,为终端威胁可见性的提升提供基础数据支撑。

• 以威胁事件为起点实现自动根因分析

当一个威胁产生时,EDR解决方案不是直接提供一个告警,而是以这个威胁源为起点自动关联这个威胁的来源和方式,在终端上执行的操作以及操作带来的影响,并形成一个威胁告警,管理人员通过查看告警即可了解这个安全事件的全貌。

  • 高级关联分析应对针对性和复杂攻击

利用关联分析技术,将终端上不同时间段、不同类别的活动信息进行关联分析,以洞悉其中存在的异常行为和可能存在的攻击,有效减少产生的威胁告警信息,避免漏报和误报对管理人员造成影响,让威胁事件变得更容易解读和处置。

  • 以安全调查为抓手的全网威胁追踪

对终端的持续性监控,为管理人员带来了全网安全可视性的提升,进一步增强了针对网络内终端的安全预警能力,利用安全调查功能根据终端安全关注的不同维度实现全网快速检索,主动发现和追踪存在的威胁,以便在威胁产生影响之初做出响应和处置。

Gartner上推荐的EDR产品主要有:

  • SentinelOne:SentinelOne Endpoint Protection Platform

  • Panda Security:Panda Adaptive Defense 360

  • CarbonBlack:CB Predictive Security Cloud

  • CrowdStrike:Falcon

  • 赛门铁克:Symantec Advanced Threat Protection

  • 卡巴斯基:Kaspersky Anti Targeted Attack Platform (KATA)和Kaspersky Endpoint Detection and Response (KEDR)

  • 火眼:FireEye Endpoint Security (HX)

  • 思科:Cisco AMP for Endpoints

  • 迈克菲:McAfee Endpoint Threat Defense and Response

啰啰嗦嗦说了这么多,其实总结下来也就是几句话:

1、EDR不是防病毒软件,EDR本身不能杀毒,需要与EPP产品结合使用才能达到最佳效果。而且EDR和EPP也可以是不同的品牌,二者并不冲突,而是互相补充,如果是同一品牌则可以实现联动的效果。

2、EDR是一个单独的产品,但目前也有一些厂商推出了结合EPP(或者AV)的混合产品。

3、EDR与 EPP最主要的区别是“沙盒”和“威胁追踪”。

4、一些安全厂商同时推出的有AV、EPP和EDR产品。客户在购买的时候一定要分清楚你买的是什么,不要只是看价格。不要用AV产品的价格去要求提供EPP或者EDR产品。也不要用某EPP或者EDR产品去对比另外一个AV产品的价格。这都是不公平的。

5、有些厂商用 EPP甚至是AV产品代替EDR,也有的用EDR代替EPP(或者AV),这些都是不完整的。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
地球胖头鱼
未填写
  • 作者发布文章79
  • 作者收获粉丝1
  • 作者收到点赞0
  • 所有文章被收藏了0
  • 博客总访问量排行第5
  • 博客总访问量5036(每日更新)
查看所有博文