应对不断变化的威胁环境,微步OneSEC的破解之道

才疏学浅

  2013年,Gartner首次提出了终端威胁检测与响应(Endpoint  Detection &  Response,EDR)的概念。EDR是一种记录和存储端点系统等级行为的解决方案,并且通过多种数据分析技术检测可疑的系统行为,提供关联信息,从而阻断恶意行为并为受影响系统提供修复建议。

  然而,有些国内安全厂商会将杀毒软件包装成EDR,这使得用户难以区分两者之间的差异,错以为EDR就是高级版的杀毒软件,严重扰乱终端安全市场。实际上,杀毒软件和EDR在防御方式、功能和技术路线上有明显的区别。在防御方式上,杀毒软件是一种被动防御工具,而EDR则是一种主动防御工具。

  在功能上,杀毒软件通过识别已知的恶意文件,阻止其感染系统。EDR无法查杀恶意文件,但它能发现绕过杀毒的恶意文件行为。EDR不能做到在恶意行为执行前就提前防护,但它能在一个攻击事件中检测到攻击者的攻击动作,帮助在攻击中进行快速响应。

  此外,EDR也不是桌面管理,无法管控员工的软件、网络访问和外设的使用,但它能发现由于员工不合规操作带来的安全威胁。EDR不能零信任和准入,无法验证身份并实现接入控制,但它能作为持续的终端安全验证引擎,增强零信任的策略控制。EDR不能做到完全自动化,但它能提高日常安全运营效率。

  在技术路线上,EDR也不同于传统的杀毒软件。杀毒软件具备的关键能力包括病毒识别、实时监控和防御、系统资源占用控制、自我保护和反卸载等。而EDR解决方案需要具备四个关键能力:检测安全事件、遏制威胁、调查安全事件、提供修复指导。这些能力使得EDR能够更加全面地应对终端威胁。

▲Gartner:EDR的定义和典型场景

  与传统的终端安全相比,EDR带来了一些本质的变化。第一是计算方式的变化,从PC端转移到服务端。第二个是安全运营的变化,从防御转为检测与响应。总的来看,EDR技术的出现使得终端安全得到显著提升,有效应对各类终端威胁,保护企业业务的连续性,降低运维成本和复杂性,提高安全性和隐私保护。

  EDR产品能力与技术挑战分析

  EDR作为传统安全防护产品的重要补充,凭借其对终端安全信息的持续监测与分析,受到全球技术提供商及买家的广泛关注。据Mordor   Intelligence预测,2025年EDR市场规模将达到42.35亿美元,年复合增长率为22.97%。这意味着EDR将成为终端安全市场规模持续增长的重要驱动力。

  随着网络攻击和恶意软件的日益增多,企业对终端安全的需求也越来越高,越来越多的企业开始采用EDR产品来提升自身的终端安全能力。选型时,企业需要根据自身需求和实际情况进行综合评估,考虑EDR产品的多个关键能力,包括行为采集、威胁检测、溯源分析、事件响应。

  具体而言,行为采集包括采集事件的类型、采集技术的种类,以及采集带来的网络带宽压力;威胁检测包含检测的准确度和覆盖度;溯源分析包括溯源到进程的源头、执行的源头和事件的源头;事件响应涉及响应动作的丰富性,可进一步调查到事件源头。

  在行为采集方面,采集是后续检测、分析能力的重要基础。一方面,从事件采集的类型来看,只靠基础行为事件是远远不够的,要随攻防不断调整事件采集类型。另一方面,从采集采用的技术来看,单纯基于ETW、API  Hook技术会带来不稳定、丢失、绕过多种风险。最后,网络带宽压力是极大限制EDR应用的重要因素,特别是在网络带宽受限的环境。

  威胁检测的技术挑战包括两个方面,检测的覆盖度考验的是对攻防和实战的深度认知和持续跟进;检测的准确度是EDR检测中最难的部分,是流量检测中不曾遇到的挑战。

▲微步技术合伙人 黄雅芳

  黄雅芳认为,“在溯源分析方面,一般来说溯源到进程源头和执行源头还比较容易,而溯源到事件源头,涉及到跨机器间的执行链的关联却是一个非常难的课题。”在事件响应方面,响应动作不是简单的隔离机器和进程,面对复杂威胁,通常还需要进一步调查取证。

  微步OneSEC有效应对新型高级威胁

  成立于2015年的微步在线,是数字时代网络安全技术创新型企业,以守护数字世界的安全为使命,致力于成为全球顶级的能力型网络安全公司。黄雅芳表示,“对于微步而言,我们并不想做整个终端安全市场,而是想要覆盖其中的EDR领域,用更强的能力去补齐杀毒软件的部分客户。”

  作为一款专业的EDR产品,OneSEC可有效应对僵木蠕常见网络威胁和钓鱼、勒索、挖矿与APT等新型威胁攻击,并提供了SaaS和本地化两种部署模式,实现政企办公网络从风险发现、事前预防、事中检测响应、事后溯源处置的一体化安全闭环。OneSEC具备以下技术优势:

   ● 更全面的终端事件采集能力

  一方面,除了采集基础的事件之外,OneSEC还可以采集凭借窃取、横向移动、自启位置等行为事件。另一方面,OneSEC组合运用关联器、快照分析、智能过滤等采集技术,具备更强的采集能力。

  ● 更全面的威胁检测能力

  在服务端,OneSEC提供非常全面的威胁检测技术,基于各种最新的、花样繁多的威胁情报IoC、百亿hash云查、僵木蠕IoA和图检测规则,调用云端算力,进行大数据分析和筛查。黄雅芳强调到,“威胁情报是微步的看家能力之一,可以做到百万级别、秒级更新,准确率高达99.9%,让各种高级威胁难以遁形。”

  ● 更完善的溯源和响应能力

  在溯源上,传统的安全产品只能做到中间进程链的追溯,而OneSEC具备追溯到执行源头的串链能力,能够把左右两边的链条补齐。同时,OneSEC提供序列化、智能化、自动化的响应能力,而且响应体系在不断更新迭代。

  OneSEC的背后,有更专业的团队在云端及时分析和响应。据黄雅芳介绍,“微步拥有一支由一线运营专家、样本分析专家、hunting专家组成的专业安全服务团队,在云端实时帮助客户进行人工研判、处置特殊的事件和威胁。”

▲追溯到执行源头的串链能力

  ●  SaaS化灵活的部署模式

  对于支持SaaS化部署的客户来说,微步OneSEC提供更低的成本+更好的效果+更强的服务+更低的风险。黄雅芳指出,“OneSEC并不会传输敏感数据,且云端有充分的安全保障机制,云化后带来更强、更及时的能力,以及更低的成本。当前测试的超过5000点的超大规模的金融企业都选择了SaaS模式,说明客户对SaaS的认可和接受度在不断提升。”

  写在最后

  如今,微步OneSEC可以满足新型威胁防护、攻防演练、混合办公、APT防护四大场景需求,已广泛应用于证券、银行、基金期货、央企、物流、互联网等行业领域。未来,微步将继续专注技术的锤炼,不断推出更具创新性的前沿产品,为数字时代的发展保驾护航。