与危共存,履危而安 ——理解下一代终端安全利器EDR
星期二, 九月 10, 2019
1. 端点检测和响应的定义及市场前景
Gartner 的 AntonChuvakin 于 2013 年 7 月首次创造了端点威胁检测和响应 (Endpoint Threat Detection and Response,ETDR) 这一术语,用来定义一种 “检测和调查主机 / 端点上可疑活动(及其痕迹)” 的工具。后来通常称为端点检测和响应 (EDR),这是一种相对较新的终端安全解决方案,但有时会被业界在整体安全功能方面与高级威胁防护 (ATP) 进行比较,因为它也可满足持续监控和响应高级威胁的需求。人们甚至可以认为端点检测和响应是一种先进的威胁保护形式。
EDR 在 2014 年就进入 Gartner 的 10 大技术之列了,它的出现最初是为了弥补传统终端/端点管理系统 (EPP) 的不足。而现在,EDR 正在与 EPP 互相渗透融合,尤其是各大 EPP 厂商新发布的版本中纷纷加入了 EDR 的功能。目前基于云的 EDR 部署方式正逐渐成为主流,云数据的集中提供了更强大的检测分析功能,通过整合实时数据,并能够在后端使用机器学习和其他检测技术,提升检测能力。
Gartner 2017 年预计 EDR 市场在 2018 年超过 10 亿美元,相比 17 年估计增速 50% 以上,增长主要来自于部署终端数量的快速增加以及 EDR 功能的丰富带来的 ARPU (Average Revenue Per User) 值的增长,而实际上截止 2018 年仅 20% 的企业级终端布局了 EDR 代理,随着 EDR 功能的不断丰富,在全球范围内 EDR 至少存在 5 倍以上的增长空间,因此将会是终端安全领域下一个百亿美金级市场。
2. 产生的背景
在过去十多年里,端点安全仅仅指的是杀毒软件一种产品,从大的范畴讲有两种产品形态:在端点是杀毒软件,在网络边界侧则是防火墙。业内主要的厂商产品基本上都是沿着这两条线来发展的。因此过去的终端安全主要是依靠杀毒软件,当然也有一些准入产品。如今像杀毒软件、防火墙这类的产品在实现形式上似乎有些落伍。例如杀毒软件往往依赖于病毒库,这就意味着厂商需要不断地去扩展和更新自己的病毒库。
随着安全威胁形态的演化,传统端点安全产品存在的问题越来越突出:应对机制是被动的,组织只有受到攻击后才能感知和捕获,并将其特征放到病毒库中,然后通过升级杀毒软件并应用到用户才能应对;对于像利用恶意软件的变种、脚本化工具将恶意软件加壳使其随机产生新的恶意软件等具有针对性的攻击,传统的安全产品是无法有效的防御的,随着更多的设备接入互联网这也意味着将有更多的开放端点成为攻击者攻击的目标。同时防火墙和杀毒软件是基于各种 “库” 来实现其功能的,像病毒库、应用程序库等等,随着这些库的不断建设,其整体规模也越来越臃肿,效率也变得非常低下,相对而言防范未知威胁的效果并不尽如人意。
EDR 的出现有助于解决这些问题:要 “看到” 未知威胁是非常有难度的,其关键就在于检测异常行为。EDR 通过对端点进行持续检测,发现异常行为并进行实时干预,同时通过应用程序对操作系统调用等异常行为分析,检测和防护未知威胁,结合机器学习和人工智能辅助判断,最终达到应对传统安全网关和杀毒软件无法解决未知威胁的目的。
端点是用于访问组织数据和网络的任何连接设备。
传统意义上,信息技术专家把端点解释为 “任何有中央处理器和键盘的东西”。随着诸如传感器一类的新设备的大量出现,进一步增加了企业和组织的攻击面,端点的定义现在正在扩展到包括 IoT, IIoT 和 OT 中。过去被认为是底层架构的平台现在也变成了端点,并且更容易受到可利用的漏洞的攻击。
因此,端点的定义不断被扩大,包括服务器、移动设备、POS、HVAC、医疗设备、工业系统、物联网设备、摄像机,甚至是汽车。随着越来越多的系统(物理的或虚拟的、内部的或云中的)访问组织数据和网络,这一定义将很快进一步扩展。简而言之,任何可能成为攻击目标或被用作通往可能被攻击设备的 “管道” 都必须得到保护。专家强调,任何具有网络 IP 地址的设备,只要被允许与组织的网络进行交互,都是一个端点,应该进行相应的处理。
大多数组织都将安全工作和防御控制集中在网络边界(或外围),认为这是抵御潜在攻击者的最佳方式。但是一旦攻击者通过端点进入内网,往往就可以自由施展了。更糟糕的是,尽管边界控制可能会阻止外部的不良行为者闯入,但这无助于防止内部威胁。端点数量众多,无处不在,是攻击的诱人目标。理想情况下(至少从攻击者的角度来看)对端点的成功攻击提供了对组织网络的进入、对其数字资产的访问以及对端点本身的控制。
有时,组织可能对威胁无能为力,因为威胁超出了他们的控制范围。但是,至少必须保持警惕,采取先发制人的行动,尽可能帮助防范威胁和漏洞。风险也总是存在于任何环境或系统中。必须对风险进行评估、理解和管理,以便组织能够识别风险,并优先考虑将缓解和补救工作重点放在哪些威胁上,以减少潜在的业务和运营损失。此外,组织必须理解和管理漏洞。必须保护和监控资产,以确保没有未经授权的访问、篡改、丢失或盗窃。
虽然威胁环境在不断演变,但以下是评估不同解决方案时需要考虑的一些关键端点威胁:
当考虑端点保护时,恶意软件程序通常是首要问题。恶意软件可以分为已知的和从未见过的两类,通常情况下很难检测未知恶意软件。为了应对这种威胁,端点检测应该善于发现已被修改的打包和多态文件,即使它们更难识别。
PUA 在技术上不是恶意软件的应用程序,但可能不是我们希望在自己的机器上运行的东西,例如广告软件。随着用于劫持攻击的密码挖掘程序的增加,PUA 检测变得越来越重要。
2017 年大量组织受到了勒索软件的攻击,平均花费 13.3 万美元。勒索软件的两种主要类型是文件加密器和磁盘加密器(擦除器)。文件加密器是最常见的,它对受害者的文件进行加密,以获取赎金。磁盘加密器锁定受害者的整个硬盘,而不仅仅是文件,或者完全擦除。
并非所有攻击都依赖恶意软件。基于漏洞的攻击借助软件缺陷和漏洞,获得对计算机的访问和控制。还有伪装后的文档(通常是经过精心制作或修改以造成损害的办公程序)和恶意脚本(通常是隐藏在合法程序和网站中的恶意代码)是这些攻击中常用的技术类型。其他还包括浏览器中间人攻击 MitB(使用恶意软件感染浏览器,允许攻击者查看和操纵流量)和恶意流量(将网络流量用于邪恶目的,例如联系命令和控制服务器)等。
许多端点攻击涉及多个阶段和多种技术。主动攻击技术的例子包括权限提升(攻击者在系统中获取额外访问权限的方法)、身份盗窃(窃取用户名和密码)和代码洞(将恶意代码隐藏在合法应用程序中)等等。
EDR 是一种主动式端点安全解决方案:
1. 通过记录终端与网络事件(大量端点级系统的行为与相关事件,譬如用户、文件、进程、注册表、内存和网络事件),结合已知的入侵指标 (Indicators of Compromise,IOCs)、行为分析和机器学习技术来监测任何可能的安全问题,识别信息泄露(包括内部威胁)的风险,并对这些安全威胁做出快速响应。
2. 能够对端点进行持续的检测,发现异常行为并进行实时的干预。
采取主动防御的方式保护端点安全越来越有必要。很多企业都逐渐意识到要想把恶意攻击者完全拦截在企业环境之外,并不像部署防火墙和防病毒软件那么简单。现在大多数恶意黑客都能够利用定制的恶意软件绕过传统的防病毒解决方案,所以需要采取更为主动强大的方法来保护端点。这种方法应该兼备实时监控、检测、高级威胁分析及响应等多种功能。
EDR 应具备的基本能力
EDR 至少需要四种类型的能力,如图1所示。
其中第一项是检测部分,其他项目属于响应部分:
a) 能够在安全事件发生时进行检测;
b) 记录相关终端事件;
c) 支持对事件的调查;
d) 为受影响端点提供补救机制。
一个有效的 EDR 系统首先要求在所有端点上线时以及以后每次使用时发现、分类和评估它们。基于端点发现,EDR 系统部署实施有代理或无代理机制,用于实现威胁检测、监控和报告功能,该功能插入特定管理服务,定期收集跟踪活动、软件配置、安全状态等数据,并存入相应数据库。同时先进的 EDR 系统可以帮助减少整体攻击面(在情报和技术允许的范围内),限制攻击的影响,并使用威胁情报和观察来预测攻击可能发生的时间和方式。
3. 具体技术方法
终端防护从发现开始,任何系统都无法保护在意识中根本不知道的东西。
随着终端和终端上应用程序的激增,快速检测网络上的任何影子 IT 技术或流氓软件非常重要。Gartner 的分析师 Simon Mingay 在一份研究报告中写道,广义的影子 IT 包括 “在 IT 组织的正式控制之外对 IT 解决方案进行收购,开发和 / 或运营的投资”。通俗的说影子 IT 就是 “在没有得到首席信息官的批准并在他们毫不知情的情况下发生的” IT 应用和解决方案,这会对企业 IT 系统造成安全威胁,有人认为,正是由于这些影子 IT 没有经过 IT 部门的严格测试,因此这些软件或应用程序本质上是不安全的,可能会危及整个网络的安全。
EDR 需要持续扫描整个组织的所有扩展网络,以随时发现任何新的端点资产(硬件、软件或操作系统)。
端点获取过程的下一步是对设备盘点。需要了解终端设备上运行的是固件、操作系统和软件的哪个版本。然后,安全分析师可以根据一组已知的属性自动对其进行分类,并对其进行漏洞扫描,记录和记录端点配置和版本信息以及所有已知漏洞,并根据其严重性进行评分。
当对终端进行监控时,必须确定什么是端点的 “正常” 状态,从而提供与后续异常状态、配置和活动的进行对比的基准,最终达到通过推断来检测威胁的目的。端点基线为后续监控和管理建立了参考点。
在对端点进行漏洞分析和评估后,安全专家可以决定监控级别(代理或无代理、实时或按需)并应用适当的策略来根据组织的安全计划持续监控和保护资产。所有端点都受到监控,这意味着至少有两件事:第一,这意味着它们的当前配置(固件、操作系统、软件、补丁、安全状态等)会被持续检查。此外,系统还会监控任何更改、违反策略和未经授权的文件更改;第二,需要观察端点在做什么。监控可确保检测和分析任何系统或文件的更改和访问,以发现未经授权或恶意的访问或意图。这种监控可以理解为 “警惕可疑、不良或恶意行为”。
所有端点也必须受到保护,保护措施包括:通过管理设备配置以使更新和补丁保持最新;确保任何偏离基线 “安全” 配置的 “漂移” 或任何违反策略的行为都被立即标记出来;针对不需要的、未经授权的或恶意的事件进行分析;设备加固是另一种保护,在这种保护中,终端设备会不断更新和管理,以保护它们免受已知配置缺陷的影响;保护还需要监控安全情报源,以了解影响与组织端点相关的系统、软件和服务的新威胁;最后组织必须尽快了解如何识别和应对可能出现的威胁,并了解针对这些威胁必要的补救措施。
事实上,一流的 EDR 系统可以检测、分析和验证常见威胁,包括零日威胁和APT高级持续威胁。通过 EDR 可以实现对系统状态变化的实时监测,同时自动与 IOCs 进行比较,可疑文件可以自动上传并到 “沙箱” 的隔离测试区域 “引爆”。
美国安全技术公司 Digital Guardian 给出了一个实施案例,某公司在部署了其 EDR 系统后,通过 200 多条预先建立的基于行为的规则中的某条,确定了安装在记录键盘敲击、控制麦克风和记录屏幕活动的多个设备上的后门。
之后,Digital Guardian 的高级威胁与分析中心 (ATAC) 团队从受影响的设备远程收集取证数据,包括事件日志、注册表项和相关取证。数据显示,此次威胁来自公司内部。几个月前,该公司一个网站的商业分析师开始访问各种黑客和网络安全网站,并下载了多种黑客工具和编码技术书籍。接下来,他开始通过运行各种密码转储程序来测试自己的技能。然后,他写了一个并安装到他的工作笔记本电脑上,利用聊天客户端 Pidgin 来发布命令和控制命令,并使用 FTP 协议来将数据过滤到他管理的网站。详细取证证据表明,该分析师在公司超过 25 台设备上安装了后门,通过笔记本电脑摄像头收集视频,记录他们的日常讨论和键盘敲击信息。新部署的 EDR 系统成功阻断了该公司的这次内部威胁。
[1] Gartner Magic Quad – Endpoint Protection Platforms [EB / OL],
https://www.fairline.com.tw/data/editor/files/01%20%20Gartner%20-%20Magic%20Quad%20-%20Endpoint%20Protection%20Platforms%201-2018.pdf
[2] Endpoint Detection and Response For Dummies[EB / OL],
http://safewayconsultoria.com/wp-content/uploads/2016/07/Endpoint-Detection-and-Response.pdf
相关阅读