《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > Nick FitzGerald:利用全方位網(wǎng)絡可視化,提升企業(yè)終端安全防御

Nick FitzGerald:利用全方位網(wǎng)絡可視化,提升企業(yè)終端安全防御

2019-08-30
關鍵詞: NickFitzGerald EDR ESET

1.jpg

Nick FitzGerald  ESET 資深研究員

  首先講一講為什么談EDR,?所有的信息系統(tǒng)都有端點,,在場的都是業(yè)內(nèi)人士,一提到端點不要想到臺式筆記本這些,,要擴展你的思維,,一切跟網(wǎng)絡連接的東西,包括像平板,、服務器等等,。講端點的時候需要保護措施,免得網(wǎng)絡亂用攻擊,。

  第一點,,有些代碼是沒有監(jiān)測出來的惡意代碼,包括有一些代碼是合法的,,但使用是惡意的,。

  第二點,相關的機構需要做的事情,,一定要去監(jiān)控這些端點,,而且要去監(jiān)測有沒有相關的威脅存在,還有如何響應這些威脅,。

  在談到為什么講EDR的時候,,這一頁非常的重要。所有的端點有相關的安全軟件,,包括我們公司也有,,防病毒、反惡意軟件,,端點的保護產(chǎn)品ESET,,剛剛講我是來自ESET的公司,公司也有很多端點防護安全的產(chǎn)品,。另外,,考慮到有些應用程序白名單,軟件的防火墻,、補丁管理措施等等,。

  可能現(xiàn)場的朋友會提問或者有疑問說,我的公司企業(yè)正在用的是別的版本或者是其他軟件,、其他系統(tǒng),,為什么要特意講一講關于EDR呢?你要了解到資質(zhì),、系統(tǒng)內(nèi)置,。也有可能您企業(yè)正在用的安全軟件挺滿意,保不起哪一天遇到零日攻擊的事情,當下您怎么處理,?這可能會是另外的選擇,。即使我們做到了萬全的措施,仍然有網(wǎng)絡的使用者,,這些網(wǎng)友或者用戶們不一定完全按照您給他培訓以及指導方針來做,。也就是像這一幅圖表示的,明明有警告指示牌在那兒,,并不一定每個人會遵照它來做。

  如果您真的想要考慮EDR解決方案的時候,,有哪些因素要特別考慮其中,?首先您要了解EDR不是指某一個東西或者某一個元素,它其實是一系列安全工具的組合,,而且關注的是各個端點的思維擴展,。零日攻擊的問題,可能是有目標性持續(xù)的網(wǎng)絡攻擊也是您可以考慮的,。有可能你內(nèi)部的員工與外面串謀起來造成的網(wǎng)絡攻擊或者其他的事件也可以關注,。

  常常有朋友或者業(yè)內(nèi)朋友會問我一個問題,EDR和EDP是不是一樣的,?EDR講端點的監(jiān)測和相應,,EDP是ESET生產(chǎn)一系列關于端點防護的產(chǎn)品。我常常被他們問,,首先會說,,是一樣,也不一樣,。EDR相關的有一些術語,、一些工具,隨著你遇到網(wǎng)絡攻擊,、網(wǎng)絡環(huán)境和各種威脅的變化,,這些東西前者也必須進一步拓展。

  在比較早期的時候,,每次提到早期的端點威脅,,通常會把它定義成僅僅只是病毒,一般有了一個產(chǎn)品會說這是防病毒,、殺病毒的,。早期叫病毒,接下來會有木馬病毒,,包括剛才提到惡意的代碼,,這個時候有怎么稱呼的問題。一開始是叫反病毒,別人會叫反惡意軟件的,,其實目前是沒有統(tǒng)一的,。

  接下來發(fā)現(xiàn)有各種各樣的網(wǎng)絡攻擊被一一識別偵測出來,面對不同的問題,,包括各種新興手段方法都層出不窮,。你這個時候應該把它叫EDP,這種防護測試就是剛才提到的端點保護測試相關安全產(chǎn)品,。通常越大,、越復雜的系統(tǒng)會發(fā)現(xiàn)整個流程、系統(tǒng)的圖表會越來越復雜,,甚至比現(xiàn)在動態(tài)展示給各位朋友的更加復雜,。其實復雜性是兩面的,第一,,系統(tǒng)作為整體是復雜的,。第二,大家理解上面的每一個要素本身自己也是復雜的,。所以也就是說整個復雜性涉及兩個方面,。

  用一句話小結剛才之前的幾個幻燈片內(nèi)容,以前叫做防病毒,、殺病毒,,現(xiàn)在更多的是EDP比它更復雜一些,因為我們增加了端點管控的措施,,中間這些跳過,,不再給大家贅述。即便是這樣,,你還會發(fā)現(xiàn)那些網(wǎng)絡攻擊的人也在進步,,所以還是會有網(wǎng)絡攻擊成功。我相信很多朋友都知道,,有可能是專業(yè)的業(yè)內(nèi)人士幫他,,也有可能您企業(yè)內(nèi)部員工幫著他們串謀在一起,還有可能種種其他的原因,。我相信大家會同意我,,常常發(fā)現(xiàn)要取證的時候是最頭疼的一件事情,不僅要取證,,還要找到解決方案,,所以這會是一個問題。

  什么是EDR,?總結起來有五大功能或者五個最重要的能力,。第一個,,可以監(jiān)測出安全事件發(fā)生。第二個,,進行細致的調(diào)查,。第三個,把這些放到端點處進行研究,。第四個,,有沒有補救措施或者修補措施?第五個,,你希望未來不再發(fā)生,,還有通過這一次經(jīng)驗教訓能夠做一些什么樣防護的措施?不希望接下來再發(fā)生類似的事情,。

  另外,,除了剛剛提到EDR的五大能力以外,提到EDR會想到數(shù)據(jù),,現(xiàn)在是大數(shù)據(jù)的時代,想大數(shù)據(jù)時代的時候會蹦出來幾個數(shù)據(jù),,收集數(shù)據(jù),、挖掘數(shù)據(jù)、處理數(shù)據(jù),。我用了三行并沒有全部羅列出來,,會處理相關的設備、ID,、文件,、設置、網(wǎng)絡流量,、相關掃描,、電子郵件過濾器,還有很多相關的各種文件,、系統(tǒng)都是涉及到其中的,。

  當你有了海量數(shù)據(jù)之后又進行了一部分的處理或者挖掘之后做什么?你要進行組織進一步分析,,怎么呈現(xiàn)出數(shù)據(jù)對你的意義是什么,。這中間涉及到搜索能力、過濾能力,、分組研究,、分組處理能力以及最后要適事發(fā)出警報。這個過程是非常的復雜,,包括未來是越來越自動化的時代,,同樣你要考慮這個事情,。下一步如何做出積極響應的措施?比如說,,繼續(xù)深挖數(shù)據(jù)或者是病毒防護措施,,最重要的是未來怎么樣避免這件事情重復的發(fā)生。

  第一個,,我用詞比較簡單,,想簡單的告訴大家,假設一開始的時候網(wǎng)絡是干凈的,、沒問題的,。給大家解釋,一開始干凈的意思是兩點:(1)系統(tǒng)運行正常,。(2)獨立,,沒有外來的入侵。大家知道我講故事的結局是出現(xiàn)不好的外來的攻擊,,先把故事的開端跟結局告訴大家,。中間有各種可能性,比如說,,大家常見的有可能你在使用你電子郵件的時候出現(xiàn)惡意的軟件,,還有可能你在插優(yōu)盤的時候不知道怎么回事帶來惡意軟件,還有服務器出現(xiàn)問題或者是其他惡意的攻擊,。我想把服務器的問題作為例子詳細的講一下,。

  剛剛要講的是服務器的問題,一開始講系統(tǒng)是干凈的,、獨一無二的,,沒有外來入侵的。你的網(wǎng)站,、服務器聯(lián)系的非常好,,這個時候有壞人來做壞事了。在說這些網(wǎng)絡攻擊的時候,,剛才有提到我們進步的同時他們也在進步,。有一些人厲害到什么程度?不需要借助外來的任何設備或者是其他外來的一些技術,,他就是我們用英文中轉成中文叫做“就地取材”,。他入侵了你的系統(tǒng)、入侵了你的網(wǎng)站,、你的服務器,,在里面溜達一圈之后,他可以利用你里面任何參數(shù)或者本身具備的某種性能里面的東西就可以來做一些文章,。

  這個時候大家通常會怎么做,?我猜有些朋友是為某個機構或者是為某一家公司工作的,,你的上司或者你本人就是上司,第一件事情是不同的部門決定一下到底發(fā)生什么樣的入侵,。假設您正在使用的是講的EDR的解決方案,,這個時候EDR能幫你做到的事情就是及時、快速的追蹤,,到底是哪個環(huán)節(jié)或者是發(fā)生了什么樣的入侵,,在服務器上檢查出來。還有識別出來是配置發(fā)生了問題,,是哪個參數(shù)發(fā)生問題,,是有補丁必須要馬上修復等快速的識別出來在做下一步,這個時候把服務器回到故事一開始的時候給大家講到干凈,、獨立的服務器的樣子,。

  用一個圖給大家解釋一下,剛才講的入侵行為是怎么發(fā)生的,。首先,,不管您是主觀的懷疑有狀況發(fā)生,還是您的系統(tǒng)自動的給您發(fā)出警報可能有狀況發(fā)生,。我用激光筆指到黃色的位置是它首先的位置,。因為您用了EDR,所以管理員第一時間會去關注,,而且解決方案會幫助您清晰的看到入侵者是入侵到了哪個位置,是到哪一個步驟以及它整個入侵的路線是怎么樣的,,你可以清晰的看到,,這是第一點。也就是說,,做出反映之前找到別人入侵行為的路徑,。第二點,發(fā)出的警報,,其實就是EDR的解決方案幫助您收到警報的,。

  同樣EDR怎么樣發(fā)現(xiàn)網(wǎng)絡環(huán)境中有不當?shù)男袨椋楷F(xiàn)在大家看到的這些設備,、機器,,有可能您是跟第三方合作的,收到來自于第三方的信息,,可能有外來入侵或者是外來不當作為影響到機器運行,,這個時候您想了解這一臺機器設備中某一個地方發(fā)生了什么樣的問題,是怎么洋法生的,。

  我用了比較夸張的圖像移動,,引起大家的注意,。你識別出的是那一臺機器或者設備的那一個環(huán)節(jié)出現(xiàn)問題,這個時候EDR有一個很大的功能,,可以幫助您日后的取證,。它準確的、精準的識別了定位了,,這個時候對于您日后的取證是非常好的基礎,。它也是跟這個例子或者其他的例子相關的,有一些細節(jié)會稍微談一下,。更加復雜,,但是又非常容易清晰操作理解的流程是這樣的,在上一步之后大家一目了然知道有很多的IP地址,,通過地址知道某一臺機器怎么樣運作,,過程中就會精準的追蹤到機器發(fā)生什么問題,另外遇到問題怎么去打破它,,還有更加復雜的流程是怎么處理,。

  EDR還有一個很大的幫助,它能幫助我們根據(jù)現(xiàn)有的狀況去設計出一系列的規(guī)則,。這個規(guī)則針對你怎么樣更好的去了解識別IP地址,,這是針對IP地址規(guī)則的例子。這是關鍵軟件的例子,,兩種情況,,第一種是您跟軟件開發(fā)上的例子,第二種是您跟軟件開發(fā)上簽約的形式,。如果大家真的想要了解EDR,,并且想要尋求供應商,應該特別看重什么呢,?有很多不同的,,大概有30多個選擇。如果您真的想要考慮,,EDR怎么樣和您內(nèi)部的安全戰(zhàn)略匹配,?

  如果您需要做的有以下事情,您的響應的速度也好,、措施也好,,應該要更好,而且是研發(fā)性攻擊前提下,。如果接下來還有可能發(fā)生攻擊,,甚至你還沒有辦法識別的這一部分,你也應該把它識別跟找到,。如果你想要停止或者是響應攻擊的時候,,大家考慮到內(nèi)部是不是有合規(guī)部門要處理了,。還有風險是不是存在供應鏈部分等等。接下來您需要知道怎么樣在未來防止類似或者這樣的事情重復發(fā)生,,最后你可能要展現(xiàn)你已經(jīng)做的事情恩避免它發(fā)生,。假設上面講的東西都在各位朋友的腦海里面,如果你有這些考量因素的話,,那我覺得EDR挺適合您的,。

  如果您真的想要用EDR,到底最大獲益是多少,?如果您真的要用EDR,,它取決于您本身的企業(yè)和組織內(nèi)部的安全措施成熟度。還有關于不同的組織機構,,可能您的科學技術的發(fā)展程度也是不一樣的,。舉個例子來說,這里列出來像更好的什么叫成熟的,,本身企業(yè)安全的措施和安全的項目非常好建立起來,,而且還有很好的SOC。另外考慮警報措施,、威脅獵殺,,還有您在使用EDR的功能是不是來自于非常專注、非常卓越的供應商,,它實時更新的,,給您的是最新的這些技術解決方案。還有您要考慮資源運用,。

  如果是成熟的機構和成熟的安全措施,,你的很多的安全能力是具備的,包括剛才提到怎么樣去甄別出這些威脅,,還有怎么樣快速做出響應。另外,,我們會知道它可能會有一個要求,,希望對用戶來講是特別容易使用的。還有你是不是有一些相關的調(diào)查,、指導方針,?另外,是不是整合了現(xiàn)有的安全工具,?


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉載的所有的文章,、圖片,、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者,。如涉及作品內(nèi)容,、版權和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。