什么是EDR(端点检测与响应):
端点:台式机、服务器、移动设备和嵌入式设备等。攻击者往往首先利用目标网络中的脆弱端点建立桥头堡,再通过进一步的漏洞利用来构筑长期驻留条件,最终迈向既定目标。
端点检测与响应:不同于端点的被动防护思路,是通过云端威胁情报、机器学习、异常行为分析、攻击指示器等方式。主动发现外部或内部的安全威胁,并进行自动化的阻止、取证、补救和溯源,从而有效对端点进行防护。
举例:360天擎终端检测与响应系统,融入了360威胁情报、大数据安全分析等功能,可以实时检测用户端点的异常行为和漏洞,通过与360威胁情报对比,能够及时发现威胁,做出木马隔离和漏洞修补的安全响应。
EDR基本原理与框架:
定义:
端点检测和响应是一种主动式端点安全解决方案,通过记录终端与网络事件(例如用户,文件,进程,注册表,内存和网络事件),并将这些信息本地存储在端点或集中数据库。结合已知的攻击指示器(Indicators of Compromise,IOCs)、行为分析的数据库来连续搜索数据和机器学习技术来监测任何可能的安全威胁,并对这些安全威胁做出快速响应。还有助于快速调查攻击范围,并提供响应能力。
一些调查结果:EDR解决方案必须能够检测的无文件恶意活动;EDR要具有可扩展的数据管理,数据挖掘分析能力和检测技术,要做到对不断变化的攻击者技术的深入了解。
注:攻击指示器,IOC是一种入侵后可以取证的指标,以xml文档类型描述捕获多种威胁的事件响应信息,包括病毒文件的属性,注册表改变的特征,虚拟内存等。
EDR安全模型:
相比于传统端点安全防护采用预设安全策略的静态防御技术(被动防御),EDR加强了威胁检测和响应取证能力,能够快速检测、识别、监控和处理端点事件,从而在威胁尚未造成危害前进行检测和阻止,帮助受保护网络免受零日威胁和各种新出现的威胁。安全模型如图所示:
(1)资产发现:定期通过主动扫描、被动发现、手工录入和人工排查等多种方法收集当前网络中所有软硬件资产,包括全网所有的端点资产和在用的软件名称、版本,确保整个网络中没有安全盲点。
(2)系统加固:定期进行漏洞扫描、补丁修复、安全策略设置和更新端点软件清单,通过软件白名单限制未经授权的软件运行,通过主机防火墙限制未经授权的服务端口开放,并定期检查和清理内部人员的账号和授权信息。
(3)威胁检测:通过端点本地的主机入侵检测和借助云端威胁情报、异常行为分析、<