很多企业视终端检测与响应 (EDR) 为数据泄露主要防御手段。2012 年,EDR 作为单独的一类安全产品出现,并很快被认为是漏洞利用、零日恶意软件和无文件攻击等新型威胁的有力响应,补充了传统杀毒软件 (AV) 在这方面的弱势。
虽说 EDR 应对当今多种高级威胁的有效性毋庸置疑,但新型“下一代 EDR”解决方案已浮出水面,不仅拥有全部 EDR 功能,还能抵御 EDR 未覆盖的主要攻击途径,比如那些涉及用户和网络的攻击。
Cynet(一种下一代 EDR 解决方案)共同创始人 Eyal Gruner 解释道:很多人都无意识地搞混淆了两种不同的东西——终端防护和数据泄露防护。
没错,很多攻击始于终端,涉及恶意文件与恶意进程,使 EDR 成为了终端防护的完美解决方案。但实际攻击界面远比终端广阔,你要保护的不仅仅是终端,而是你的公司。
Gruner 白帽黑客出身(从 15 岁就开始了),还创办了以色列最大的网络安全咨询公司 BugSec。如今,他是世界闻名的攻击工具、技术及实践专家。
可以这么想:攻击者的动作必然会产生某种异常。而我们理解的‘正常行为’是不包含染指资源和盗取数据的。这些异常就是安全产品或者说威胁分析师的锚点,用以识别正在发生的不良情况并封锁之。
Gruner 称,这些异常可在三个核心的地方看到——进程执行、网络流量或用户行为。比如说,勒索软件会产生进程执行异常,因为会出现一个尝试与大量文件交互的进程。
另一方面,多种横向移动包含网络流量异常,以超高服务器消息块 (SMB) 流量的形式呈现。与之类似,当攻击者以被盗用户账户凭证登录关键服务器时,唯一的异常存在于用户行为中。两种情况下,仅仅监视进程是无法发现攻击的。
Gruner 表示,EDR 可以很好地防御那些可通过进程异常加以识别的攻击。该工具驻守终端,监视进程行为,形成对此类威胁的有效防护。但其他类型的威胁呢?有很多主流攻击方法在网络流量和用户行为层面操作,不会触发丝毫过程异常,EDR 对此完全失明。
为更好地理解该问题,我们不妨从攻击者的角度来看。攻击者已成功入侵一台终端,正在衡量怎样进一步浸染整个环境,访问并渗漏敏感数据。要完成这一任务还有几个必要的步骤要做。我们以凭证窃取为例。
高权限凭证是访问环境中资源的基础。攻击者可能尝试从已入侵终端的内存中转录出这些凭证。因为该举动会引发进程异常,EDR 可以捕获到该入侵动作。
然而,密码散列值也可以通过拦截内部网络流量(利用地址解析协议 (ARP) 中毒或域名系统 (DNS) 响应器)获取。这种拦截动作只有通过监视网络流量异常才能探知,而 EDR 会完全漏掉这一异常。
Gruner 表示,以自己的经验,厉害的攻击者通常能快速摸清目标都设置了哪些防御措施,然后采取相应的规避和攻击动作。如果发现设置了良好的 EDR,攻击者会换用针对网络和用户领域的技术,在EDR 检测不到的地方肆意操作。
所以,如果你想要的是安全技术栈中有个组件能够防护基于进程的攻击,比如恶意软件、漏洞利用程序等,那 EDR 就能满足你的需求。但如果你寻求的是防止数据泄露,你就得考虑更多东西了——这正是我们创建 Cynet 360 的初衷。
Cynet 360 持续监视进程、网络流量和用户行为,全方位覆盖当今高级攻击中所用各种攻击方法。也就是说,包含全部 EDR 功能,并扩展和集成了用户行为分析和网络分析,补充了健壮的诱骗层——可使操作人员能够植入充当诱饵的数据文件、密码、网络共享等,诱骗攻击者暴露自身。
而且,Cynet 提供的远不止增值那么简单。Gruner 称:不仅仅是基于进程的威胁+基于网络的威胁+基于用户的威胁。攻击者越高端,就越精于隐藏自身及其行为。所以,很多攻击仅靠观测进程或流量或用户行为根本无法发现。
只有通过综合这些信号形成上下文,你才可以看出有恶意事件发生。Cynet 360 自动化该上下文创建过程,揭示其他方法发现不了的多种威胁。
Gruner 总结道:没有哪种防护措施是 100% 无缺口的,但你必须扼守所有主要通路。攻击者能够绕过它们吗?答案是 “能”,只要他们技术够高、决心够大、资源够丰富。但如果你监视所有主要异常路径,就能迫使他们前进得异常艰难——难到足以令他们中大多数人无功而返。
EDR 是个神奇的东西,这正是 Cynet 360 纳入其所有功能并加以扩展和补充的原因所在。EDR 自身不足以提供完备的数据泄露防御,所以我们给 Cynet 360 配齐了欠缺的其他功能。
Cynet 下一代 EDR: