在當(dāng)前這個(gè)APT(高級(jí)持續(xù)性威脅)逐漸增多的時(shí)代,傳統(tǒng)的安全防護(hù)手段越發(fā)力不從心,單純的“預(yù)防”已不能應(yīng)對(duì)如今的安全形勢(shì)。

　　·在面對(duì)實(shí)際威脅時(shí),如何辨別攻擊者的真實(shí)意圖并采取相應(yīng)的對(duì)策?

　　·采用EDR技術(shù)的產(chǎn)品架構(gòu)如何設(shè)計(jì)?

　　·與傳統(tǒng)安全產(chǎn)品相比,新一代的安全解決方案有何優(yōu)勢(shì)?

　　·在實(shí)踐中,MDR是如何為企業(yè)提供有效幫助?

　　在今天(7月25日)Freebuf舉行的【聚焦終端響應(yīng) 智慧安全運(yùn)營(yíng) 2018 SOC & EDR應(yīng)用建設(shè)高峰論壇】上,安全狗創(chuàng)始人陳奮給出了明晰的解答。

　　小編會(huì)將演講里的重要內(nèi)容采編出來(lái),選出最有價(jià)值的部分以饗讀者!

　　本次論壇還邀請(qǐng)了其他多位在SOC建設(shè)與運(yùn)營(yíng)以及在端點(diǎn)安全、EDR產(chǎn)品研發(fā)、落地應(yīng)用等方面有著豐富實(shí)踐經(jīng)驗(yàn)的企業(yè)安全負(fù)責(zé)人和知名廠商代表,帶來(lái)了精彩分享與解讀。

　　與會(huì)嘉賓與主辦方合影

　　安全狗展位

　　安全狗CEO陳奮正在演講

　　01、新的安全威脅與EDR技術(shù)

　　近幾年來(lái),新型安全威脅層出不窮:大量0day漏洞泄露,其中部分漏洞被武器化,波及大多數(shù)系統(tǒng);針對(duì)特定對(duì)象的APT攻擊日漸增多,防御更加困難;數(shù)字貨幣的興起刺激了網(wǎng)絡(luò)黑產(chǎn)的擴(kuò)張,勒索和挖礦的惡意軟件影響日趨擴(kuò)大;黑客攻擊流量加密、網(wǎng)絡(luò)層和邊界的防護(hù)失效等問題更是不一而足。

　　另一方面,技術(shù)的迭代發(fā)展對(duì)于安全防護(hù)也提出了更高的要求:虛擬化云計(jì)算技術(shù)的大量應(yīng)用,衍生出安全運(yùn)營(yíng)的需求升級(jí);所有權(quán)和控制權(quán)的變化,形成管理機(jī)制的變化,引出安全責(zé)任共擔(dān)機(jī)制,運(yùn)維流程的變化,安全運(yùn)營(yíng)由外到內(nèi),防御和檢測(cè)面臨著深刻的變革。

　　在這種新的安全形勢(shì)下,采取主動(dòng)防御的方式保護(hù)端點(diǎn)安全越來(lái)越有必要。我們需要一種新的防護(hù)方案,這種方案應(yīng)該兼?zhèn)鋵?shí)時(shí)監(jiān)控、檢測(cè)、高級(jí)威脅分析及響應(yīng)等多種功能。因此,業(yè)界提出了一種新型的安全解決方案——EDR,即端點(diǎn)檢測(cè)與響應(yīng)。

　　EDR解決方案應(yīng)具備四大基本功能:安全事件檢測(cè)、安全事件調(diào)查、遏制安全事件,以及將端點(diǎn)修復(fù)至感染前的狀態(tài)。EDR工具通過記錄大量終端與網(wǎng)絡(luò)事件,并將這些數(shù)據(jù)存儲(chǔ)在終端本地或者集云端數(shù)據(jù)庫(kù)中,對(duì)這些數(shù)據(jù)進(jìn)行IOC比對(duì),行為分析和機(jī)器學(xué)習(xí),用以持續(xù)對(duì)這些數(shù)據(jù)進(jìn)行分析,識(shí)別威脅,并快速進(jìn)行響應(yīng)。

　　02、安全狗的解決方案

　　安全狗的(云)主機(jī)安全安全解決方案吸收了EDR技術(shù)的核心優(yōu)勢(shì),并結(jié)合安全狗自身的威脅情報(bào)優(yōu)勢(shì)和其他云安全技術(shù)的積累,為用戶打造了全新的(云)主機(jī)安全解決方案。

　　我們?cè)谑虑啊⑹轮小⑹潞笕齻€(gè)階段,從資產(chǎn)聚合、反殺傷鏈、入侵響應(yīng)三個(gè)維度來(lái)看待主機(jī)安全問題,通過主機(jī)EDR能力的增強(qiáng),反哺SIEM或SOC平臺(tái),最終達(dá)到全網(wǎng)自動(dòng)響應(yīng) 已知威脅的能力 以及對(duì) 未知定向攻擊的檢測(cè)告警能力。

　　為了更貼合云環(huán)境下的安全需求,我們同時(shí)采用了CWPP(Cloud Workload Protection Platforms,云工作負(fù)載安全平臺(tái)方案)設(shè)計(jì),采用輕量級(jí)Agent,與全部功能的重量級(jí)Agent相比,輕量級(jí)Agent實(shí)現(xiàn)了功能的最小集合,大大減輕Agent對(duì)于主機(jī)性能的影響。并且輕量級(jí)agent簡(jiǎn)單,能夠動(dòng)態(tài)地升級(jí)和更新,實(shí)現(xiàn)的代碼少,容易傳輸。

　　03、MDR威脅檢測(cè)與響應(yīng)服務(wù)

　　MDR服務(wù)是Gartner在2016年正式提出來(lái)的,定位于對(duì)高級(jí)威脅的檢測(cè)與響應(yīng)服務(wù)。與傳統(tǒng)MSSP主要幫客戶監(jiān)測(cè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)內(nèi)外間流量不同,MDR還試圖幫助客戶監(jiān)測(cè)內(nèi)部網(wǎng)絡(luò)中的流量,尤其是識(shí)別高級(jí)威脅攻擊的橫向移動(dòng)環(huán)節(jié)的蛛絲馬跡,以求更好地發(fā)現(xiàn)針對(duì)客戶內(nèi)部網(wǎng)絡(luò)的高級(jí)威脅。

　　對(duì)于安全狗,我們這樣提供MDR服務(wù)

　　SAAS服務(wù):用SAAS方式為企業(yè)解決數(shù)據(jù)中心安全問題,提供(云)服務(wù)器、應(yīng)用、業(yè)務(wù)在內(nèi)的一站式云安全防護(hù)服務(wù)。累計(jì)保護(hù)服務(wù)器超過 400萬(wàn)臺(tái)。

　　現(xiàn)場(chǎng)服務(wù):常駐客戶現(xiàn)場(chǎng),定期對(duì)安全設(shè)備、服務(wù)器進(jìn)行安全巡檢,實(shí)時(shí)跟進(jìn)安全風(fēng)險(xiǎn)事件,協(xié)助處理安全突發(fā)事件,事件結(jié)束后出具安全報(bào)告和安全整改建議。

　　隨著網(wǎng)絡(luò)襲擊事件數(shù)量的不斷攀升,傳統(tǒng)安全防御手段已難以招架規(guī)模龐大、攻勢(shì)越猛的新式攻擊。利用包括EDR在內(nèi)的新型的安全技術(shù)和思路,可以讓我們?cè)趹?yīng)對(duì)新型的網(wǎng)絡(luò)安全威脅時(shí)更加游刃有余,攻防不止,市場(chǎng)和行業(yè)會(huì)給出全新的解答,讓我們拭目以待!