转载 你真的了解EDR吗?
到底什么是EDR? 通过该篇文来好好了解下。在说EDR之前还得提另外两个概念:AV和EPP。
1. AV
AV - Anti Virus 就是大家都熟悉的防病毒软件。为防止电脑被病毒感染,于是诞生了一批公司专门查杀病毒,最初应用的主要就是就是病毒特征码技术。
其思路是 安全厂商收集到该病毒后进行分析,找到能标识其特特征的一段代码(病毒码特征),讲其放入一个数据库(反病毒特征库,俗称病毒库)中,终端用户通过升级病毒库,并用扫描软件的扫描引擎调用该数据库记录与要扫描的文件进行匹配,成功了就表示该文件被病毒感染,没有匹配则说明没有感染病毒。如果匹配成功,则将该病毒清除掉。
这种方式的优点是查杀准确,并能做清除处理。但缺点也很明显:
不能查杀未知病毒。传统的查毒思路都是病毒先出现,甚至是大规模爆发后,安全厂商才提取特征码放入病毒库,终端用户通过升级将最新的病毒清除掉。这种做法显然不能在第一时间完成对最新病毒的防护。
采集样本难度大。判断一个杀毒软件防病毒能力强弱的一个重要指标就是病毒库的大小,当新病毒出来后,厂商能不能第一时间捕获该样本,能不能第一时间给出解药,直接决定了该杀毒软件查杀的结果。
于是,后来出现了主动防御技术,变被动为主动,关于主动防御的定义,一般都认为是一种不依赖于传统的特征码扫描,其特征库(行为、规则)等不需要即时更新的识别新病毒的技术,常见的技术如行为检测,根据其行为判断其是否是恶意程序。而且很久之前业界就有共识:主动防御像别的技术一样,并不能医治百病,而只是传统的被动防御技术的一个很好的补充。
带主动防御技术防病毒软件,我们可以称之为第二代防病毒软件。
2. EPP
再后来,我们发现单纯依靠防病毒软件做被动的防御还是很难避免病毒感染,端点安全是需要团队作战的,不仅要被动的防病毒,还要主动地从病毒可能感染和传播的各个方面进行防御,比如主机入侵检测系统(HIPS)、主机防火墙(HFW)、移动设备的管理、WEB控制和应用程序控制等。
这就出现了EPP的概念,可以理解为第三代的杀毒软件。
EPP,Endpoint Protection Platform 端点保护平台,我们来看下Gartner的定义:
端点保护平台(EPP)是部署在端点设备上的解决方案,用来防止基于文件的恶意软件,检测和阻止来自受信任和不受信任的应用程序的恶意活动,并提供响应所需的调查和修复功能安全事件和警报。
Chopedia的定义是:EPP是一组软件工具和技术,可以保护端点设备,它是一种统一的安全解决方案,结合了防病毒、反间谍软件、入侵检测、预防、个人防火墙和其他端点保护解决方案。要保护的端点设备主要包括标准工作站(PC和笔记本电脑)也包括处理和移动设备(智能手机和平板电脑)。EPP的核心功能包括保护端点设备免受病毒、间谍软件、网络钓鱼和未授权的访问,它还提供数据丢失防护和数据加密服务,以保护端点设备上的静态数据。
从上定义可看出,EPP产品不是一个简单的防病毒这么简单,它的核心功能是保护端点设备的安全,包括的主要功能有:防病毒、防间谍软件、防网络攻击、防网络钓鱼、防火墙、防止未经授权的访问(设备、程序、网站),还提供数据丢失防护和数据加密等多种功能,是一个综合的终端防护产品。
可以说,EPP产品是防病毒的升级产品。其功能完全囊括了防病毒软件的功能。
端点保护平台(EPP)目前基本上是单位网络安全的标配产品(当然还有一些单位基于成本的考虑仍在使用简单的防病毒产品),EPP可控制传统恶意软件等已知威胁,还可以处理未知病毒,并从多个角度对病毒感染和传播渠道进行控制。所以非常适合防范已知和未知的威胁。
3. EDR
现在有了新的变化。
对于单位和安全管理人员来说,在终端已经部署了安全解决方案,但是还是无法避免被攻击的厄运,在攻击前没有有效预警,当攻击发生时无法快速察觉和定位问题,在攻击过后追踪溯源困难,不能有效响应,避免攻击再次发生。
传统的终端安全解决方案以防御威胁为触发点,被动检测和拦截攻击。无法对威胁来源,运行过程和产生的影响进行监控和记录,而产生的告警信息数量庞大且相互间缺乏关联,导致针对整个安全威胁事件的可见性缺乏,带来了以下问题:
- 难以应对复杂和有针对性的攻击
当前攻击者通过定制化的恶意软件可以成功绕过防御,利用多种技术手段和工具结合的攻击更加难易识别,即时识别其中一种或多种并产生告警,在后续的威胁追查中这些告警都需要安全管理人员再次进行人工分析和挖掘,以还原出事件攻击全貌,难度可想而知。
- 威胁溯源困难
原有的终端安全解决方案只针对检测到的威胁进行告警,缺乏对终端的持续监控,当威胁事件产生,管理人员针对威胁事件进行溯源时,发现很难定位到威胁的来源以及威胁造成的影响,所以很难进行有效的处理。
- 应急响应周期长
当前的终端解决方案中,针对威胁产生的告警往往都是相互独立,告警间没有进行有效关联,结果导致管理人员很难看清楚整个安全事件的全貌,在处理威胁事件的过程中,往往淹没在大量的告警中筛查中,无法及时做出正确响应和处理,导致威胁产生的影响进一步扩大。
在当今不稳定的威胁形势下,单靠预防性技术无法保护企业免受高级威胁。事实上,任何的EPP产品都不能100%保护电脑免受恶意软件攻击,有些突破防火墙和防病毒软件。如果能在恶意软件有可能造成任何严重损害之前,对端点上的文件活动进行此类监视可以提供发现攻击所需警报类型,那么将会大大减少攻击的发生。
因此,EDR技术也就应运而生了。
EDR——Endpoint Detection and Response,端点检测与响应平台。EDR平台是下一代预防病毒与其他工具相结合的安全系统,可提供实时异常检测和警报,取证分析和端点修复功能。
EDR的一个重要功能就是“威胁追踪(threat hunting)”,EDR工具通常会记录大量端点和网络事件,把这些信息保存在端点本地,或者保存在中央数据中。然后使用已知的攻击指示器(IOC)、行为分析和机器学习技术的数据库,来持续搜索数据,以发现威胁行为者或新型攻击的迹象,而不是依赖已知的威胁签名。它是威胁情报和大数据分析相结合的产物。威胁追踪是全面EDR解决方案的重要组成部分,同时也是EDR和端点保护平台(EPP)这两种易混淆概念的关键区别。
我们来看一下Gartner对于EDR的定义:EDR市场定义为记录和存储端点系统级行为的解决方案,使用各种数据分析技术检测可疑系统行为,提供上下文信息,阻止恶意活动,并提供修复建议以恢复受影响的系统。EDR解决方案必须提供以下四个主要功能:
- 检测安全事件
- 在端点控制事件
- 调查安全事件
- 提供补救指导
EPP和EDR的区别
- 目标不同
EPP依赖存储的模式和签名文件来阻止已知威胁。最新的下一代端点保护平台,使用机器学习和深度检测机制进行威胁搜索和发现,也专注于提供反恶意软件保护。
EDR的主要目标是主动检测新的或未知的威胁,以前未识别的感染直接通过端点和服务器渗透到组织。这是通过分析灰色区域中的事件来实现的,灰色区域是“受信任”区域和“绝对恶意”区域中包括的那些对象或进程的主页。
- 功能不同
从功能上看,EPP和EDR有一些部分功能是重合的,比如漏洞利用、机器学习、行为侦测等,但大部分是不同的。下图显示了EPP和EDR的区别:
- 位置不同
如果从著名的PPDR网络安全模型上看,EPP和EDR所处位置也不同。EPP是阻止层次的产品,EDR是检测和响应层次的产品。
EDR解决方案可以实现以下功能:
- 对终端的持续监控
利用终端集成探针功能实现对终端的持续性监控,全面记录并保存终端上活动的进程、网络连接、注册表信息、文件操作行为、移动存储使用、用户信息操作等,为终端威胁可见性的提升提供基础数据支持。
- 以威胁事件为起点实现自动根因分析
当一个威胁产生时,EDR解决方案不是直接提供一个告警,而是以这个威胁源以起点自动关联这个威胁的来源和方式,在终端上执行的操作以及操作带来的影响,并形成一个威胁告警,管理人员通过查看告警即可了解这个安全事件的全貌。
- 高级关联分析应对针对性和复杂攻击
利用关联分析技术,将终端上不同时间段、不同类别的活动信息进行关联分析,以洞悉其中存在的异常行为和可能存在的攻击,有效减少产生的威胁告警信息,避免漏报和误报对管理人员造成影响,让威胁事件变得更容易解读和处置。
- 以安全调查为抓手的全网威胁追踪
对终端的持续性监控,以管理人员带来了全网安全可视性的提升,进一步增强了针对网络内终端的安全预警能力,利用安全调查功能根据终端安全关注的不同维度实现全网快速检索,主动发现和追踪发现的威胁,以便在威胁产生影响之初做出响应和处置。
总结
EDR不是防病毒软件,EDR本身不能杀毒,需要与EPP产品结合使用才能达到最佳效果。而且EDR和EPP也可以是不同的品牌,二者并不冲突,而是互相补充,如果是同一品牌则可以实现联动的效果。
EDR是一个单独的产品,但目前也有一些厂商推出了结合EPP(或者AV)的混合产品。
EDR与 EPP最主要的区别是“沙盒”和“威胁追踪”。
一些安全厂商同时推出的有AV、EPP和EDR产品。客户在购买的时候一定要分清楚你买的是什么,不要只是看价格。不要用AV产品的价格去要求提供EPP或者EDR产品。也不要用某EPP或者EDR产品去对比另外一个AV产品的价格。这都是不公平的。
有些厂商用 EPP甚至是AV产品代替EDR,也有的用EDR代替EPP(或者AV),这些都是不完整的。
参考
什么是端点检测和响应(EDR)? - 华为 <https://info.support.huawei.com/info-finder/encyclopedia/zh/EDR.html>
了解端点检测与响应 <https://www.kaspersky.com.cn/resource-center/preemptive-safety/endpoint-detection-and-response>
理解下一代终端安全利器EDR <https://www.aqniu.com/learn/55036.html> CornflowerBlue