Nick FitzGerald ESET 資深研究員
首先講一講為什么談EDR,?所有的信息系統(tǒng)都有端點(diǎn),在場(chǎng)的都是業(yè)內(nèi)人士,,一提到端點(diǎn)不要想到臺(tái)式筆記本這些,要擴(kuò)展你的思維,一切跟網(wǎng)絡(luò)連接的東西,,包括像平板,、服務(wù)器等等,。講端點(diǎn)的時(shí)候需要保護(hù)措施,免得網(wǎng)絡(luò)亂用攻擊,。
第一點(diǎn),有些代碼是沒(méi)有監(jiān)測(cè)出來(lái)的惡意代碼,,包括有一些代碼是合法的,,但使用是惡意的。
第二點(diǎn),,相關(guān)的機(jī)構(gòu)需要做的事情,,一定要去監(jiān)控這些端點(diǎn),而且要去監(jiān)測(cè)有沒(méi)有相關(guān)的威脅存在,,還有如何響應(yīng)這些威脅,。
在談到為什么講EDR的時(shí)候,這一頁(yè)非常的重要,。所有的端點(diǎn)有相關(guān)的安全軟件,,包括我們公司也有,防病毒,、反惡意軟件,,端點(diǎn)的保護(hù)產(chǎn)品ESET,剛剛講我是來(lái)自ESET的公司,,公司也有很多端點(diǎn)防護(hù)安全的產(chǎn)品,。另外,考慮到有些應(yīng)用程序白名單,,軟件的防火墻,、補(bǔ)丁管理措施等等。
可能現(xiàn)場(chǎng)的朋友會(huì)提問(wèn)或者有疑問(wèn)說(shuō),,我的公司企業(yè)正在用的是別的版本或者是其他軟件,、其他系統(tǒng),為什么要特意講一講關(guān)于EDR呢,?你要了解到資質(zhì),、系統(tǒng)內(nèi)置。也有可能您企業(yè)正在用的安全軟件挺滿(mǎn)意,,保不起哪一天遇到零日攻擊的事情,,當(dāng)下您怎么處理?這可能會(huì)是另外的選擇,。即使我們做到了萬(wàn)全的措施,,仍然有網(wǎng)絡(luò)的使用者,這些網(wǎng)友或者用戶(hù)們不一定完全按照您給他培訓(xùn)以及指導(dǎo)方針來(lái)做,。也就是像這一幅圖表示的,,明明有警告指示牌在那兒,,并不一定每個(gè)人會(huì)遵照它來(lái)做。
如果您真的想要考慮EDR解決方案的時(shí)候,,有哪些因素要特別考慮其中,?首先您要了解EDR不是指某一個(gè)東西或者某一個(gè)元素,它其實(shí)是一系列安全工具的組合,,而且關(guān)注的是各個(gè)端點(diǎn)的思維擴(kuò)展,。零日攻擊的問(wèn)題,可能是有目標(biāo)性持續(xù)的網(wǎng)絡(luò)攻擊也是您可以考慮的,。有可能你內(nèi)部的員工與外面串謀起來(lái)造成的網(wǎng)絡(luò)攻擊或者其他的事件也可以關(guān)注,。
常常有朋友或者業(yè)內(nèi)朋友會(huì)問(wèn)我一個(gè)問(wèn)題,EDR和EDP是不是一樣的,?EDR講端點(diǎn)的監(jiān)測(cè)和相應(yīng),,EDP是ESET生產(chǎn)一系列關(guān)于端點(diǎn)防護(hù)的產(chǎn)品。我常常被他們問(wèn),,首先會(huì)說(shuō),,是一樣,也不一樣,。EDR相關(guān)的有一些術(shù)語(yǔ),、一些工具,隨著你遇到網(wǎng)絡(luò)攻擊,、網(wǎng)絡(luò)環(huán)境和各種威脅的變化,,這些東西前者也必須進(jìn)一步拓展。
在比較早期的時(shí)候,,每次提到早期的端點(diǎn)威脅,,通常會(huì)把它定義成僅僅只是病毒,一般有了一個(gè)產(chǎn)品會(huì)說(shuō)這是防病毒,、殺病毒的,。早期叫病毒,接下來(lái)會(huì)有木馬病毒,,包括剛才提到惡意的代碼,,這個(gè)時(shí)候有怎么稱(chēng)呼的問(wèn)題。一開(kāi)始是叫反病毒,,別人會(huì)叫反惡意軟件的,,其實(shí)目前是沒(méi)有統(tǒng)一的。
接下來(lái)發(fā)現(xiàn)有各種各樣的網(wǎng)絡(luò)攻擊被一一識(shí)別偵測(cè)出來(lái),,面對(duì)不同的問(wèn)題,,包括各種新興手段方法都層出不窮。你這個(gè)時(shí)候應(yīng)該把它叫EDP,這種防護(hù)測(cè)試就是剛才提到的端點(diǎn)保護(hù)測(cè)試相關(guān)安全產(chǎn)品,。通常越大,、越復(fù)雜的系統(tǒng)會(huì)發(fā)現(xiàn)整個(gè)流程、系統(tǒng)的圖表會(huì)越來(lái)越復(fù)雜,,甚至比現(xiàn)在動(dòng)態(tài)展示給各位朋友的更加復(fù)雜,。其實(shí)復(fù)雜性是兩面的,第一,,系統(tǒng)作為整體是復(fù)雜的,。第二,大家理解上面的每一個(gè)要素本身自己也是復(fù)雜的,。所以也就是說(shuō)整個(gè)復(fù)雜性涉及兩個(gè)方面。
用一句話(huà)小結(jié)剛才之前的幾個(gè)幻燈片內(nèi)容,,以前叫做防病毒,、殺病毒,現(xiàn)在更多的是EDP比它更復(fù)雜一些,,因?yàn)槲覀冊(cè)黾恿硕它c(diǎn)管控的措施,,中間這些跳過(guò),不再給大家贅述,。即便是這樣,,你還會(huì)發(fā)現(xiàn)那些網(wǎng)絡(luò)攻擊的人也在進(jìn)步,所以還是會(huì)有網(wǎng)絡(luò)攻擊成功,。我相信很多朋友都知道,,有可能是專(zhuān)業(yè)的業(yè)內(nèi)人士幫他,也有可能您企業(yè)內(nèi)部員工幫著他們串謀在一起,,還有可能種種其他的原因,。我相信大家會(huì)同意我,常常發(fā)現(xiàn)要取證的時(shí)候是最頭疼的一件事情,,不僅要取證,,還要找到解決方案,所以這會(huì)是一個(gè)問(wèn)題,。
什么是EDR,?總結(jié)起來(lái)有五大功能或者五個(gè)最重要的能力。第一個(gè),,可以監(jiān)測(cè)出安全事件發(fā)生,。第二個(gè),進(jìn)行細(xì)致的調(diào)查,。第三個(gè),,把這些放到端點(diǎn)處進(jìn)行研究。第四個(gè),有沒(méi)有補(bǔ)救措施或者修補(bǔ)措施,?第五個(gè),,你希望未來(lái)不再發(fā)生,還有通過(guò)這一次經(jīng)驗(yàn)教訓(xùn)能夠做一些什么樣防護(hù)的措施,?不希望接下來(lái)再發(fā)生類(lèi)似的事情,。
另外,除了剛剛提到EDR的五大能力以外,,提到EDR會(huì)想到數(shù)據(jù),,現(xiàn)在是大數(shù)據(jù)的時(shí)代,想大數(shù)據(jù)時(shí)代的時(shí)候會(huì)蹦出來(lái)幾個(gè)數(shù)據(jù),,收集數(shù)據(jù),、挖掘數(shù)據(jù)、處理數(shù)據(jù),。我用了三行并沒(méi)有全部羅列出來(lái),,會(huì)處理相關(guān)的設(shè)備、ID,、文件,、設(shè)置、網(wǎng)絡(luò)流量,、相關(guān)掃描,、電子郵件過(guò)濾器,還有很多相關(guān)的各種文件,、系統(tǒng)都是涉及到其中的,。
當(dāng)你有了海量數(shù)據(jù)之后又進(jìn)行了一部分的處理或者挖掘之后做什么?你要進(jìn)行組織進(jìn)一步分析,,怎么呈現(xiàn)出數(shù)據(jù)對(duì)你的意義是什么,。這中間涉及到搜索能力、過(guò)濾能力,、分組研究,、分組處理能力以及最后要適事發(fā)出警報(bào)。這個(gè)過(guò)程是非常的復(fù)雜,,包括未來(lái)是越來(lái)越自動(dòng)化的時(shí)代,,同樣你要考慮這個(gè)事情。下一步如何做出積極響應(yīng)的措施,?比如說(shuō),,繼續(xù)深挖數(shù)據(jù)或者是病毒防護(hù)措施,最重要的是未來(lái)怎么樣避免這件事情重復(fù)的發(fā)生,。
第一個(gè),,我用詞比較簡(jiǎn)單,,想簡(jiǎn)單的告訴大家,假設(shè)一開(kāi)始的時(shí)候網(wǎng)絡(luò)是干凈的,、沒(méi)問(wèn)題的,。給大家解釋?zhuān)婚_(kāi)始干凈的意思是兩點(diǎn):(1)系統(tǒng)運(yùn)行正常。(2)獨(dú)立,,沒(méi)有外來(lái)的入侵,。大家知道我講故事的結(jié)局是出現(xiàn)不好的外來(lái)的攻擊,先把故事的開(kāi)端跟結(jié)局告訴大家,。中間有各種可能性,,比如說(shuō),大家常見(jiàn)的有可能你在使用你電子郵件的時(shí)候出現(xiàn)惡意的軟件,,還有可能你在插優(yōu)盤(pán)的時(shí)候不知道怎么回事帶來(lái)惡意軟件,,還有服務(wù)器出現(xiàn)問(wèn)題或者是其他惡意的攻擊。我想把服務(wù)器的問(wèn)題作為例子詳細(xì)的講一下,。
剛剛要講的是服務(wù)器的問(wèn)題,,一開(kāi)始講系統(tǒng)是干凈的、獨(dú)一無(wú)二的,,沒(méi)有外來(lái)入侵的。你的網(wǎng)站,、服務(wù)器聯(lián)系的非常好,,這個(gè)時(shí)候有壞人來(lái)做壞事了。在說(shuō)這些網(wǎng)絡(luò)攻擊的時(shí)候,,剛才有提到我們進(jìn)步的同時(shí)他們也在進(jìn)步,。有一些人厲害到什么程度?不需要借助外來(lái)的任何設(shè)備或者是其他外來(lái)的一些技術(shù),,他就是我們用英文中轉(zhuǎn)成中文叫做“就地取材”,。他入侵了你的系統(tǒng)、入侵了你的網(wǎng)站,、你的服務(wù)器,,在里面溜達(dá)一圈之后,他可以利用你里面任何參數(shù)或者本身具備的某種性能里面的東西就可以來(lái)做一些文章,。
這個(gè)時(shí)候大家通常會(huì)怎么做,?我猜有些朋友是為某個(gè)機(jī)構(gòu)或者是為某一家公司工作的,你的上司或者你本人就是上司,,第一件事情是不同的部門(mén)決定一下到底發(fā)生什么樣的入侵,。假設(shè)您正在使用的是講的EDR的解決方案,這個(gè)時(shí)候EDR能幫你做到的事情就是及時(shí),、快速的追蹤,,到底是哪個(gè)環(huán)節(jié)或者是發(fā)生了什么樣的入侵,,在服務(wù)器上檢查出來(lái)。還有識(shí)別出來(lái)是配置發(fā)生了問(wèn)題,,是哪個(gè)參數(shù)發(fā)生問(wèn)題,,是有補(bǔ)丁必須要馬上修復(fù)等快速的識(shí)別出來(lái)在做下一步,這個(gè)時(shí)候把服務(wù)器回到故事一開(kāi)始的時(shí)候給大家講到干凈,、獨(dú)立的服務(wù)器的樣子,。
用一個(gè)圖給大家解釋一下,剛才講的入侵行為是怎么發(fā)生的,。首先,,不管您是主觀的懷疑有狀況發(fā)生,還是您的系統(tǒng)自動(dòng)的給您發(fā)出警報(bào)可能有狀況發(fā)生,。我用激光筆指到黃色的位置是它首先的位置,。因?yàn)槟昧薊DR,所以管理員第一時(shí)間會(huì)去關(guān)注,,而且解決方案會(huì)幫助您清晰的看到入侵者是入侵到了哪個(gè)位置,,是到哪一個(gè)步驟以及它整個(gè)入侵的路線是怎么樣的,你可以清晰的看到,,這是第一點(diǎn),。也就是說(shuō),做出反映之前找到別人入侵行為的路徑,。第二點(diǎn),,發(fā)出的警報(bào),其實(shí)就是EDR的解決方案幫助您收到警報(bào)的,。
同樣EDR怎么樣發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中有不當(dāng)?shù)男袨??現(xiàn)在大家看到的這些設(shè)備、機(jī)器,,有可能您是跟第三方合作的,,收到來(lái)自于第三方的信息,可能有外來(lái)入侵或者是外來(lái)不當(dāng)作為影響到機(jī)器運(yùn)行,,這個(gè)時(shí)候您想了解這一臺(tái)機(jī)器設(shè)備中某一個(gè)地方發(fā)生了什么樣的問(wèn)題,,是怎么洋法生的。
我用了比較夸張的圖像移動(dòng),,引起大家的注意,。你識(shí)別出的是那一臺(tái)機(jī)器或者設(shè)備的那一個(gè)環(huán)節(jié)出現(xiàn)問(wèn)題,這個(gè)時(shí)候EDR有一個(gè)很大的功能,,可以幫助您日后的取證,。它準(zhǔn)確的、精準(zhǔn)的識(shí)別了定位了,,這個(gè)時(shí)候?qū)τ谀蘸蟮娜∽C是非常好的基礎(chǔ),。它也是跟這個(gè)例子或者其他的例子相關(guān)的,,有一些細(xì)節(jié)會(huì)稍微談一下。更加復(fù)雜,,但是又非常容易清晰操作理解的流程是這樣的,,在上一步之后大家一目了然知道有很多的IP地址,通過(guò)地址知道某一臺(tái)機(jī)器怎么樣運(yùn)作,,過(guò)程中就會(huì)精準(zhǔn)的追蹤到機(jī)器發(fā)生什么問(wèn)題,,另外遇到問(wèn)題怎么去打破它,還有更加復(fù)雜的流程是怎么處理,。
EDR還有一個(gè)很大的幫助,,它能幫助我們根據(jù)現(xiàn)有的狀況去設(shè)計(jì)出一系列的規(guī)則。這個(gè)規(guī)則針對(duì)你怎么樣更好的去了解識(shí)別IP地址,,這是針對(duì)IP地址規(guī)則的例子,。這是關(guān)鍵軟件的例子,兩種情況,,第一種是您跟軟件開(kāi)發(fā)上的例子,,第二種是您跟軟件開(kāi)發(fā)上簽約的形式。如果大家真的想要了解EDR,,并且想要尋求供應(yīng)商,,應(yīng)該特別看重什么呢?有很多不同的,,大概有30多個(gè)選擇,。如果您真的想要考慮,EDR怎么樣和您內(nèi)部的安全戰(zhàn)略匹配,?
如果您需要做的有以下事情,您的響應(yīng)的速度也好,、措施也好,,應(yīng)該要更好,而且是研發(fā)性攻擊前提下,。如果接下來(lái)還有可能發(fā)生攻擊,,甚至你還沒(méi)有辦法識(shí)別的這一部分,你也應(yīng)該把它識(shí)別跟找到,。如果你想要停止或者是響應(yīng)攻擊的時(shí)候,,大家考慮到內(nèi)部是不是有合規(guī)部門(mén)要處理了。還有風(fēng)險(xiǎn)是不是存在供應(yīng)鏈部分等等,。接下來(lái)您需要知道怎么樣在未來(lái)防止類(lèi)似或者這樣的事情重復(fù)發(fā)生,,最后你可能要展現(xiàn)你已經(jīng)做的事情恩避免它發(fā)生。假設(shè)上面講的東西都在各位朋友的腦海里面,,如果你有這些考量因素的話(huà),,那我覺(jué)得EDR挺適合您的,。
如果您真的想要用EDR,到底最大獲益是多少,?如果您真的要用EDR,,它取決于您本身的企業(yè)和組織內(nèi)部的安全措施成熟度。還有關(guān)于不同的組織機(jī)構(gòu),,可能您的科學(xué)技術(shù)的發(fā)展程度也是不一樣的,。舉個(gè)例子來(lái)說(shuō),這里列出來(lái)像更好的什么叫成熟的,,本身企業(yè)安全的措施和安全的項(xiàng)目非常好建立起來(lái),,而且還有很好的SOC。另外考慮警報(bào)措施,、威脅獵殺,,還有您在使用EDR的功能是不是來(lái)自于非常專(zhuān)注、非常卓越的供應(yīng)商,,它實(shí)時(shí)更新的,,給您的是最新的這些技術(shù)解決方案。還有您要考慮資源運(yùn)用,。
如果是成熟的機(jī)構(gòu)和成熟的安全措施,,你的很多的安全能力是具備的,包括剛才提到怎么樣去甄別出這些威脅,,還有怎么樣快速做出響應(yīng),。另外,我們會(huì)知道它可能會(huì)有一個(gè)要求,,希望對(duì)用戶(hù)來(lái)講是特別容易使用的,。還有你是不是有一些相關(guān)的調(diào)查、指導(dǎo)方針,?另外,,是不是整合了現(xiàn)有的安全工具?