Cynet 360:下一代 EDR 解決方案
作者:星期二, 十月 8, 20190

很多企業視終端檢測與響應 (EDR) 為數據泄露主要防御手段。2012 年,EDR 作為單獨的一類安全產品出現,并很快被認為是漏洞利用、零日惡意軟件和無文件攻擊等新型威脅的有力響應,補充了傳統殺毒軟件 (AV) 在這方面的弱勢。

雖說 EDR 應對當今多種高級威脅的有效性毋庸置疑,但新型“下一代 EDR”解決方案已浮出水面,不僅擁有全部 EDR 功能,還能抵御 EDR 未覆蓋的主要攻擊途徑,比如那些涉及用戶和網絡的攻擊。

Cynet(一種下一代 EDR 解決方案)共同創始人 Eyal Gruner 解釋道:很多人都無意識地搞混淆了兩種不同的東西——終端防護和數據泄露防護。

沒錯,很多攻擊始于終端,涉及惡意文件與惡意進程,使 EDR 成為了終端防護的完美解決方案。但實際攻擊界面遠比終端廣闊,你要?;さ牟喚黿鍪侵斬?,而是你的公司。

Gruner 白帽黑客出身(從 15 歲就開始了),還創辦了以色列最大的網絡安全咨詢公司 BugSec。如今,他是世界聞名的攻擊工具、技術及實踐專家。

可以這么想:攻擊者的動作必然會產生某種異常。而我們理解的‘正常行為’是不包含染指資源和盜取數據的。這些異常就是安全產品或者說威脅分析師的錨點,用以識別正在發生的不良情況并封鎖之。

Gruner 稱,這些異??稍諶齪誦牡牡胤嬌吹健討蔥?、網絡流量或用戶行為。比如說,勒索軟件會產生進程執行異常,因為會出現一個嘗試與大量文件交互的進程。

另一方面,多種橫向移動包含網絡流量異常,以超高服務器消息塊 (SMB) 流量的形式呈現。與之類似,當攻擊者以被盜用戶賬戶憑證登錄關鍵服務器時,唯一的異常存在于用戶行為中。兩種情況下,僅僅監視進程是無法發現攻擊的。

Gruner 表示,EDR 可以很好地防御那些可通過進程異常加以識別的攻擊。該工具駐守終端,監視進程行為,形成對此類威脅的有效防護。但其他類型的威脅呢?有很多主流攻擊方法在網絡流量和用戶行為層面操作,不會觸發絲毫過程異常,EDR 對此完全失明。

為更好地理解該問題,我們不妨從攻擊者的角度來看。攻擊者已成功入侵一臺終端,正在衡量怎樣進一步浸染整個環境,訪問并滲漏敏感數據。要完成這一任務還有幾個必要的步驟要做。我們以憑證竊取為例。

高權限憑證是訪問環境中資源的基礎。攻擊者可能嘗試從已入侵終端的內存中轉錄出這些憑證。因為該舉動會引發進程異常,EDR 可以捕獲到該入侵動作。

然而,密碼散列值也可以通過攔截內部網絡流量(利用地址解析協議 (ARP) 中毒或域名系統 (DNS) 響應器)獲取。這種攔截動作只有通過監視網絡流量異常才能探知,而 EDR 會完全漏掉這一異常。

Gruner 表示,以自己的經驗,厲害的攻擊者通常能快速摸清目標都設置了哪些防御措施,然后采取相應的規避和攻擊動作。如果發現設置了良好的 EDR,攻擊者會換用針對網絡和用戶領域的技術,在EDR 檢測不到的地方肆意操作。

所以,如果你想要的是安全技術棧中有個組件能夠防護基于進程的攻擊,比如惡意軟件、漏洞利用程序等,那 EDR 就能滿足你的需求。但如果你尋求的是防止數據泄露,你就得考慮更多東西了——這正是我們創建 Cynet 360 的初衷。

Cynet 360 持續監視進程、網絡流量和用戶行為,全方位覆蓋當今高級攻擊中所用各種攻擊方法。也就是說,包含全部 EDR 功能,并擴展和集成了用戶行為分析和網絡分析,補充了健壯的誘騙層——可使操作人員能夠植入充當誘餌的數據文件、密碼、網絡共享等,誘騙攻擊者暴露自身。

而且,Cynet 提供的遠不止增值那么簡單。Gruner 稱:不僅僅是基于進程的威脅+基于網絡的威脅+基于用戶的威脅。攻擊者越高端,就越精于隱藏自身及其行為。所以,很多攻擊僅靠觀測進程或流量或用戶行為根本無法發現。

只有通過綜合這些信號形成上下文,你才可以看出有惡意事件發生。Cynet 360 自動化該上下文創建過程,揭示其他方法發現不了的多種威脅。

Gruner 總結道:沒有哪種防護措施是 100% 無缺口的,但你必須扼守所有主要通路。攻擊者能夠繞過它們嗎?答案是 “能”,只要他們技術夠高、決心夠大、資源夠豐富。但如果你監視所有主要異常路徑,就能迫使他們前進得異常艱難——難到足以令他們中大多數人無功而返。

EDR 是個神奇的東西,這正是 Cynet 360 納入其所有功能并加以擴展和補充的原因所在。EDR 自身不足以提供完備的數據泄露防御,所以我們給 Cynet 360 配齊了欠缺的其他功能。

Cynet 下一代 EDR:

https://www.cynet.com/next-generation-edr/?utm_source=thn

相關閱讀

 

下一代EDR應該叫做XDR

EDR時代正在到來 并將形成3類細分

EDR:終端發現的三大原則和挑戰

 

 

 


相關文章

寫一條評論

 

 

0條評論