2022数字时代EDR技术发展趋势报告.pdf
《2022数字时代EDR技术发展趋势报告.pdf》由会员分享,可在线阅读,更多相关《2022数字时代EDR技术发展趋势报告.pdf(38页珍藏版)》请在咨信网上搜索。
1、数字时代EDR技术发展趋势2 1.背景概述安全形势高危:随着5G、云计算、大数据和人工智能的持续发展,信息化、智能化 已经渗透到社会发展的方方面面,网络空间的概念和范围得到前所未有的拓展。政府和企业信息化建设朝着高层次、多维度、立体化的方向发展,网络安全边界持续扩大,安全形势也越来越复杂。与此同时,网络空间的攻击面随之延伸和拓展,网络空间攻防双方信息的不对称性现象愈发明显。伴随着攻防对抗态势的升级,自动化、智能化技术与攻防技术的融合已成为网络安全技术发展的必然趋势之一,在数以亿计的终端上的安全防护变得越来越急迫,我们面临的是传统安全与高级威胁并存的防护环境。业务环境复杂:在当前及未来的智能化社
2、会,数据资产的安全变得尤为重要,而政企用户大量有价值的生产及业务数据早已成为有组织网络犯罪的重点目标。同时,在 新冠疫情的冲击下,远程办公变得越来越普遍,用户会使用各类终端远程访问企业 网络,企业既要保护终端安全,防止终端被攻击和突破,又要允许用户使用多种类型终端访问企业内部网络,并且要保证最小化的影响用户体验,这意味着企业的数据和人已经走出了企业的传统边界,使得企业的数据安全和网络安全的防护变得越来 越复杂。国际形势严峻:近年来,网络空间领域的斗争已经是大国博弈的焦点,网络战愈演 愈烈,APT攻击活动大幅增加,仅2021年上半年,全球公开APT相关报告约500篇,涉及APT组织达90个,攻击
3、目标涉及政府、国防军工、核工业、科研、医疗、金融等 诸多行业。中国仍是APT攻击的主要受害者,针对我国的攻击持续上升,其中政府,教育和国防军工等相关单位是重点被攻击目标。APT攻击具有针对性强、组织严密、持续时间长、隐蔽性高、采用技术手段先进等多种特征,检测相关的攻击给安全行业带来很大的挑战。对于攻击者而言,内网终端和主机既可以作为被攻击目标,也可以作为攻击的跳板。同时勒索病毒和APT结合的攻击方式也开始逐渐显现,外加新冠疫情冲击下直接带来的以聚焦远程办公为突破口,围绕新冠疫情话题攻击,针对医疗行业窃取抗疫情报的APT威胁也开始愈演愈烈。数字时代EDR技术 发展趋势数字时代EDR技术发展趋势2
4、Gartner的调研报告 2021年端点安全的 技术成熟度曲线16关于360政企安全集团38数字时代EDR技术发展趋势由奇虎发布。由奇虎提供的编辑内容与Gartner的分析结果相互独立。Gartner的所有调研报告的版权均为Gartner,Inc.所有。2022 Gartner,Inc.保留所有权利。所有Gartner资料在本出版物中的使用均已获得 授权。使用或者发布Gartner调研报告并不表示Gartner认可奇虎的产品和/或战略。未经Gartner事先书面许可,不得以任何形式复制或分发本出版物。本出版物中包含的信息均取自公认的可靠来源。Gartner不对此类信息的准确性、完整性或 适当性
5、做出任何保证。并且不对此类信息中的错误、遗漏或不适当承担任何责任,也不对此类信息的任何解读承担任何责任。此处表明的观点随时可能更改,恕不另行通知。虽然Gartner调研报告可能会讨论相关的法律问题,但Gartner并不提供 法律建议或法律服务,不应将其调研报告解释为或用作法律建议或法律服务。Gartner是一家上市公司,其股东拥有的公司或基金可能与Gartner调研报告中涉及的实体有财务利益关系。Gartner的董事会成员可能包括这些公司或基金的高级管理 人员。Gartner调研报告是由其调研机构独立完成的,并没有受到这些公司、基金或其管理人员的介入或影响。如需了解Gartner调研报告的独立
6、性和完整性的详细信息,请参阅其网站上的“独立性和目标的指导原则”。33 技术挑战升级:传统的终端安全解决方案EPP是基于已知风险产出的文件特征库和规则库,仍然属于反病毒的技术范畴,无法用于检测未知风险。不同于传统的签名检测或启发式技术,EDR通过观察攻击行为将检测 技术提升到新的层次,能真正解决终端安全所面临的APT、0day和勒索病毒等各类高级威胁,做到事前预 防、事中检测和事后修复,是面向未来的终端安全解决方案。EDR主要通过提供安全事件的完整可视来检测和防范未知风险。通常攻击者潜入到企业网络内部后会持续很长一段时间,其攻击手法比较隐蔽,企业一般很难直接检测到其攻击行为,更难形成有效的攻击
7、告警机制。为了更好地解决这种问题,EDR采用了记录攻击者行为和系统事件的方式,所有行为信息都会被完整地记录下来,整个安全事件从发生了什么、如何发生、到如何修复等所有环节信息都会被完整地记录并以图形化方式展示出来。随着我国网络安全形势的发展变化,尤其是2018年“永恒之蓝”勒索病毒的肆虐,让业界更加重视新攻击 方式带来的安全技术挑战,EDR产品也迎来了发展的热潮。360作为终端安全产品的引领者,拥有17年终端安全攻防对抗经验,积累了海量的全网安全大数据,历经十余年与各种木马、各类APT家族的攻防实战,持续打磨终端的恶意行为检测和响应能力,积累了全面细致的终端行为检测技术,在产品效果上打造了行业标
8、杆。2.国际标准EDR是现阶段在终端安全和风险管理领域最成熟、应用范围最广泛的安全解决方案,能有效防止终端被攻击和突破,保证远程访问安全。但同时面临的挑战也在持续不断加大,一方面是随着勒索病毒、无文件攻击和鱼叉攻击等攻击方法和复杂性的持续提升;另一方面 是突然增多的远程办公访问场景,因此安全防护需要以更创新的方式来应对这些高级威胁。EDR解决方案要能够提供安全事件检测,安全事件调查,抑制终端利用,以及提供安全修复能力。作为总体安全防御里必不可少的关键部分,EDR要能够识别异常和恶意的行为,展示出高级威胁的技战术细节,同时能够采取及时措施有效应对。EDR必须能够分析用户、进程、网络、驱动和配置等
9、系统行为的变化。EDR非常关键的能力之一就是做好 安全事件关联,理想的EDR能够自动响应,自动回滚 安全事件造成的影响,能够自动化集成其他安全工具协同分析安全事件。部署模式上,优先云端部署,同时也支持客户侧私有化部署,为了有效应对越来越复杂的高级威胁,EDR需要部署在所有托管的终端和服务器上。图12021年端点安全的技术成熟度曲线11 Gartner Inc.,2021年端点安全的技术成熟度曲线,2021年8月11日,G007474124 3.EDR演进方向3.1 必要能力EDR通过实时监测端点上发生的各类行为,采集端点运行状态,在后端通过大数据安全分析、机器学习、沙箱分析和行为分析等技术,提
10、供深度持续监控、威胁 检测、高级威胁分析、调查取证、事件响应处置和追踪溯源等功能,及时检测并发现恶意活动,其中包括已知和未知威胁,并快速智能地做出响应,全面赋予端点主动、积极的安全防御能力。其从预测、防护、检测和响应四个维度,实现持续性安全防护,贯穿安全威胁事件的整个生命周期。从中可以清晰的看出,EDR产品不可缺少的必要能力 是:大数据存储及处理能力、安全分析能力和安全专家能力。1)具备大数据存储及处理能力:安全大数据是支撑构建覆盖面足够广、精确度足够高的检测防御模型,以及发现攻击者痕迹的必要基础。大数据的存储及处理能力,核心目标是不丢失终端安全相关的重要数据,并通过分析原始终端安全数据而形成
11、全局的、缜密的、连贯的攻击视图。在EDR中,端点采集的各类安全行为数据是终端安全防御、检测和响应的核心依据,是应对APT攻击的重要手段。通过对多维度高质量的大数据进行自动化和智能化的关联分析和运营,可以追溯攻击过 程,寻找漏洞源和攻击源,是有效防御和确保终端安全的有效途径和方法。2)具备安全分析能力:需要有各种安全检测分析技术,能对海量多异构数据进行分析,同时结合全网APT 情报,确保各类威胁全面可视。由于高级威胁攻击的蛛丝马迹往往隐蔽在常规软件运行的类似行为当中,因此检测需要对终端海量数据进行安全分析,需要具备对历史数据的反复检测能力,这些都要求产品具备极强的大数据运算能力。针对APT攻击的
12、极强持续性和阶段 性,关联分析过程中应尽量收集各层面、各阶段的全方位数据,同时适量将时间窗口拉大,通过宽时间域数据分析提取具有内在关联的若干属性,识别出攻击发生的时间、地点、攻击类型和强度等信息,也就是攻击场景的重构技术,这也就是安全分析能力的核心之一。3)具备能够部署及使用产品的专业人士:由于产品使用对专业性要求较高,多数企业选择采用驻场或远程托管给专业人士(MSS、MDR)。在传统EDR中,专业人士的角色是不可忽视的,缺少专业人士过硬的技术能力,EDR的安全分析能力将大打折扣。基于最新漏洞、APT等各种攻击方式,机器学习和大数据自动化关联分析固然必不可少,但对收集到的数据进行人工分析和解释
13、也十分重要,分析师能够调查并提供合法的威胁解决方案。3.2 关键能力在EDR的必要能力基础上,360从实战层面提出了EDR的关键功能,包括端上的安全能力、云端的大数据存储和处理能力、安全分析能力和360核心安全大脑。在这几个核心能力的协同作用下,360 EDR能够帮助企业用户提升整个安全事件的可见性,通过定位到攻击行为让安全专家主动进行威胁狩猎。同时对安全事件进行检测和调查,并快速做出反应,及时阻止攻击者的恶意行为,保护企业的网络安全。360 EDR终端上部署了非常轻量级的Agent,具备全面的安全事件采集能力。面对入侵活动特别是系统级事件,能够完整地记录攻击事件的上下文信息。基于内核之下虚拟
14、化层的超强安全监控能力,能够监控账号修改事件、进程事件、网络事件、文件操作、驱动加载、磁盘和内存访问事件等,任何恶意或者异常的行为、事件和信息等都会被完整地监控并记录下来,为安全专家提供实时和后续的持续追踪分析。360 EDR自研的核心数据采集技术能够有效避免收集数据的探针被绕过,不同于传统基于环3的用户态探针,自研探针工作在内核下面的虚拟化层,能够在更底层截获到用户层和内核层的漏洞利用事件,从而保证了在端上能够完整地记录攻击者的任何恶意和可疑行为。云端基于360在终端安全领域17年积累的安全大数据,具备全网安全攻防和态势感知能力,能够以业界最快的速度掌握最新安全情报,保证大容量数据的准确性、
15、实时性以及快速的分析和处理能力,为终端安全的快速检测和响应提供安全大数据赋能。云端同时提供了对历史数据的回溯能力,通过引入新的行为特征库IOA和外部特征库IOC,可检查一段时间内的终端行为数据,配合威胁情报和安全人员的手动分析,给出最终的威胁评估结果。安全分析能力是360最核心的安全能力之一,搭载由360核心安全大脑赋能的全球顶级云端查杀平台,基于360云引擎、鲲鹏大数据引擎、QVM II人工智能引擎和QEX引擎构造的立体协同检测机制,能够有效识别各类木马病毒、未知病毒或变种,提供服务安全防御的真能力。云查杀引擎:360云查杀引擎建立在云端庞大的黑白名单数据库基础上,病毒检出率高、系统资源占用
16、低。鲲鹏引擎:360鲲鹏引擎是以数据驱动安全的思路构 建的大数据特征引擎,具备自动化病毒特征提取分析能力。相较于传统引擎的病毒特征提取方式,鲲鹏引擎依托360核心安全大脑大存储、多样本、高算力和机器学习等资源,实现了后端病毒特征的自动分析提取。QVM II引擎:新一代QVM智能识别引擎采用人工智能与机器学习的方法,对360目前已经积累的海量样本进行多次切片学习,抽取出病毒与恶意代码共性特征,建立恶意代码不同族系模型,对加壳和变种病毒具有出色的免疫能力。QEX脚本引擎:针对非PE类宏病毒、VBS、REG等恶意文件,360(云)主机安全防护系统利用专用QEX脚本查杀引擎进行检测。该引擎既能结合精确
17、特征和启发特征,检测出已知和高级恶意威胁,又能对VBS和BAT脚本模拟执行,根据输出结果做二次检查,确保结果的准确性。安全专家和安全专业技术一直是360的安身立命之本,作为国内头号安全公司,360拥有大量顶级安全专家,他们从事安全攻防多年,积累了丰富的安全攻防经验,特别是应对高级威胁方面,为国家和企业共发现了50个境外APT组织,发现多个0day漏洞。55 3.3 传统方案痛点传统的EDR产品在实现上面临着很多痛点,无法解决多场景安全性问题,如不具备真正的大数据存储和处理能力,不具备真正从实战中总结出来的知识库和安全分析能力、安全专家和安全专业技能,终端上的信息采集能力比较欠缺、不具备完整采集
18、攻击行为的能力,从而导致攻击者行为信息记录不全面。为了营造市场概念,部分安全厂商用入侵检测、漏洞防御产品来充当EDR产品。这些产品在检测能力上还是传统的本地特征匹配,并不具备终端行为采集和大数据分析能力,甚至只是在反病毒防护产品基础上增加了设备间的联动。这对客户理解EDR产品特性造成了一定程度的误导。3.3.1 大数据存储和处理能力不足传统EDR产品缺少足够规模且高质量的大网安全数据积累,直接影响了攻击行为的整体识别效果。离开大数据谈EDR产品能力和价值是空谈,即使是大型企业部署数十万终端设备,所能掌握的安全数据量仍不够“大”。传统EDR产品后端缺乏安全大数据支撑,没有构建出覆盖面足够广、精确
19、度足够高的检测防御模型,检测规则较为局限,同时情报能力的不足也大大影响了EDR产品总体的防御效果。3.3.2 安全分析能力欠缺APT攻击并非无迹可循,需要从大量的历史数据分析中得到启发,从而发现攻击者的痕迹。若缺乏真实攻防场景下的实战经验,就不具备发现并分析攻击者的能力。很多安全厂商的EDR产品,只是简单将终端上记录的一些行为数据传给云端,但是数据到了云端之后,怎样处理这些大数据,查询哪些关键信息仍是待解决的问题。由于缺少安全专家和安全专业知识,这些EDR产品无法快速基于历史数据和多终端横向数据来做关联分析,导致这些有价值的数据在客户侧很难被有效利用。安全分析能力的另外一个重点是威胁情报的积累
20、,威胁情报是EDR产品识别高级威胁攻击的钥匙,大多数厂商的威胁情报来自公开渠道,并没有自己的实战分析 积累,因此很难及时发现新的攻击线索。3.3.3 终端采集被攻击行为绕过终端的关键行为记录要非常全面。由于高级威胁和正常 程序的行为非常相似,只有行为记录更全面,才有可能发现异常,特别是系统级行为的监测和记录能力。众所周知,网络攻防是一个持续对抗的过程,APT组织也 一直在尝试各类绕过行为,让传统EDR防御方式失效。基于文件数字签名、系统文件属性衍生的伪装混淆变本加厉,API Hooking绕过、白利用以及无文件攻击技术层出不穷,0day漏洞防不胜防,这些不断演进的攻击手段给当前EDR产品的检测
21、防御能力带来了极大的压力。传统的EDR产品信息采集和攻击者处于同一个层次,往往通过挂钩程序用户态(即Ring3层监控)内存中的DLL,实现对运行进程的监控。但是用户内存空间存在被修改的可能性,导致传统EDR产品的挂钩被抹除绕过,无法有效监测恶意攻击行为。3.3.4 端点性能影响EDR为了能获取最全面的威胁数据,往往会采集大量的端点信息,而行为数据采集活动容易消耗终端和服务器的宝贵资源。传统EDR产品缺少灵活的性能调优和自适应机制,无法实现安全能力与资源占用的良好平衡。如果消息截获层面在用户层,将对终端的性能和用户体验产生较大的影响。3.3.5 专业能力有限由于组织专业人士队伍普遍成本较高,中小
22、企业难以承担,而专业人士本身也可能存在弱点。真正经过长期实战训练的专业人员极为稀缺,经历过全网真实攻击的专家更是凤毛麟角,因此难以判断为企业组织部署EDR的技术队伍是否满足EDR分析的需要。3.4 EDR能力成熟度模型360将EDR能力成熟度模型定义为4个等级,初级是EPP、中级是具备有限的EDR、高级是标准化的EDR、特级是SaaS化和智能化的EDR。初级:企业在只有EPP的情况下,直接面对高级威胁是非常脆弱的。不仅无法进行有效防护,还无法检测到高级威胁的攻击,包括攻击的时间点和行为方式等都没有任何记录,企业的数据和网络安全面临着极大风险。中级:在有限的EDR场景下,终端能够将收集到的攻击行
23、为数据以及系统级事件上传到云端。但是云端的大数据处理能力和安全分析能力都比较欠缺,面对海量大数据,缺少安全知识和具备专业技能的安全专家,无法有效存储、处理以及利用这些安全大数据。图2360 EDR能力成熟度模型资料来源:Qihu6 高级:标准化的EDR,能够检测和调查安全事件,限制终端漏洞利用,提供安全修复指导建议。理想状态下,能够实时检测到安全攻击事件,同时基于云端的数据和安全能力分析,为终端提供快速响应,还具备一定的攻击后修复和清理能力,能够最大程度减少企业用户的损失。特级:SaaS化和智能化的EDR,在云端采用SaaS多租户的部署模式,提供安全大数据的存储、数据实时处理、关联分析、并行查
24、询以及秒级响应能力,支撑安全专家随时进行主动的威胁狩猎。同时基于查杀引擎、知识图谱和AI技术实现技术提升,使得EDR越来越智能化,包括对海量安全事件的自动分类、自动分优先级和对攻击行为采取自动响应等,极大地体现了下一代EDR的智能化特点。3.5 EDR未来演进基于以上EDR能力成熟度模型的定义,360认为未来EDR发展的两大关键词是:SaaS化和智能化。未来EDR应该整合云端能力和终端资源以SaaS化服务形式面向大中小客户输出,增强内网端点威胁防御以及威胁对抗能力,保障各类生产和办公业务平稳持续运行。通过SaaS化提供云EDR的能力,同时可以将云端强大的数据存储、分析以及实时情报能力及时赋能到
25、终端,实现终端和云端的实时交互。用户通过订阅方式,能够及时获取到安全事件的完整 分析报告,当终端记录的安全事件信息实时传到云端之后,无论终端是否在线,安全专家团队都能够非常方便地对安全事件进行查询和调查,并且能够实时回溯到指定的时间段进行过查询和分析。这就意味着在云端可以查询任何时间段的历史数据,且对终端的性能没有任何影响,这为安全专家针对任何恶意或可疑行为主动进行威胁狩猎提供了方便易用的平台。同时,借助安全专家团队的多年攻防经验,赋予产品安全有效的检测处置能力,能够相对智能地提供处理结果,并将防御和清除威胁及溯源结果及时反馈给用户。通过主动进行威胁狩猎实现EDR早期发现威胁的目的,能够将24
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022 数字 时代 EDR 技术发展 趋势 报告
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Stan****Shan】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Stan****Shan】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。