希望在选用终端检测及响应方案时迈出正确的一步?务必将系统洞察力作为选购重点。
对于正在考虑选用终端检测及响应方案(EDR)的企业来说,全球知名的网络安全技术基金会MITRE Engenuity最新发布的评测报告提供了一个独特的视角,让我们得以一窥未来EDR工具如何面对复杂的威胁。此次这一非盈利性组织的团队表现非常出色,完全模拟了最复杂恶意程序 – 高级持续性威胁(APT)的已知伎俩和技战术。
虽然揭示网络犯罪团伙所运用的伎俩,对指导企业安全战略会有一定的帮助,但想要全面得益于其中所披露的技术信息,则需要企业具备一定的安全成熟度 – 或拥有训练有素、承担此类任务的内部专职团队 – 很可惜,这两项条件很多企业都不具备或无法满足。严酷的现实是,大多数企业只配备有一至两名IT管理员…他们往往需要肩负许多其他职责,安全管理只是其副业之一。企业在不满足前述条件的情况下,想要从网络犯罪团伙技术手段的评估成果中受益,难免显得心有余而力不足。
由于网络犯罪团伙往往选择较为薄弱的企业作为攻击目标,同时模拟技术所反映的一整套安全规范,涵盖从基础配置和策略到高级微调和优化的方方面面,其中所披露的信息可供初用EDR、苦于自身安全水平低于行业标准的企业所借鉴。从提高安全性的角度入手,ATT&CK评测报告和EDR解决方案甚至可为安全体系不够成熟的企业,提供具有实际可操作性的行动指南。
一套稳健的EDR方案首先需具备终端设备活动的洞察力
利用EDR提高安全性,并不像在现有系统中安装插件那样简单。EDR在终端安全软件的基础上直接打造安全体系,需依赖终端安全软件来保障洞察力和基本防护能力。终端安全软件所监测到的底层事件,统一纳入借助EDR工具分析并反馈给信息安全工程师的事件集。
EDR方案与终端安全软件之间的不同之处在于,为后台逻辑分析提供保障的洞察力不处于同一量级。对于终端安全软件来说,后台分析过程并不可见。不错,IT管理员要是担心漏报,可借助一系列配置选项来提高检测敏感度,并通过创建企业网络环境所适用的排除项来减少误报。但毕竟检测技术本身运用的是开发商的专有技术,需取得用户信任方可实施事件分析、制订防御决策。
与之截然不同的是,对于EDR来说,ESET的开发初衷是使之成为一款高度透明化的逻辑分析利器。它面向信息安全工程师开放事件查阅权限,利用其中内置的规则集来分析所采集的事件,从而使信息安全工程师积极承担人工分析职能,辅助判断某一类事件是否构成威胁。EDR方案有别于终端安全软件的主要特征是,它能够对公司网络环境的安全状况提供一个分门别类、百无一漏的均衡审视窗口,作为贵司防御决策的最佳指导依据。
终端防护平台的设计要做到均衡
虽然网络安全性高度依赖于网络活动的洞察力,但这种依赖并非是可以不区分优先级、一视同仁的。终端安全软件要是采用始终实时扫描全部文件的一类设计,或EDR方案被设计成一切系统活动均会触发预警,便会背离安全软件的设计初衷,对软件易用性、系统性能、工作效率及其他目标造成直接的负面影响。极其有效的安全方案须能做到,实时监测终端设备上发生的海量底层事件,但这并不意味着可以无需优化。
需要监测那些应用程序接口(API),哪些行为应当判断为可疑或恶意,一连串可疑事件达到何种门槛就不允许其继续发生,如何避免误报,又如何最大限度降低对性能的影响等诸多问题上,都需要认真探寻、审慎决策一番。这些要素会直接影响产品所供防护层,以及各防护层所采用的检测技术,并最终影响恶意活动的报毒和拦截时间。
您在设计EDR规则集时,应监测终端设备上发生的所有事件 – 至少涵盖设备上已有终端安全软件所检测到的全部事件 – 但这样一来,不仅会给EDR事件数据库增加负荷,使之充斥海量数据,还会加大信息安全工程师优先处理疑似攻击事件、锁定可疑事件进行分析的难度。
评测报告中,对终端防护软件实施Carbanak / FIN7防攻击测试
最新一期的ATT&CK评测报告中,对可选设计元素带来的潜在影响做出了详细论证,见Carbanak / FIN7模拟防攻击测试篇。第12项测试中,ESET Endpoint Security抢在恶意程序发起攻击的第一步便将其成功拦截。当识别出samcat.exe即是开源的系统密码内存提取工具Mimikatz后,随即隔离了该文件。
与之迥异的是,第15项测试中,ESET Endpoint Security直到倒数第二步才阻止攻击;因为直到那时,它才认定rundll32.exe进程就是Meterpreter – 渗透测试中惯用的一种反向壳。其他厂商要么在这一步或更早阶段阻止了攻击,要么全然不知恶意程序的攻击手段。
很明显,防护测试表明,终端安全软件存在不同程度的漏杀,以及无法拦截某类攻击的一些短板。不止这一点,对于防范攻击过程中的拦截阶段,它们的表现也大相径庭。响应时效性方面的巨大差异,很大程度上是因终端安全软件的设计决策所造成的。
选用EDR方案,提高终端设备活动的透明度
终端防护软件所提供的自动防御机制存在一定的临界值;达到临界值后,便无法继续提升企业安全成熟度。这点意义上,终端安全软件本身具有局限性,需要获得用户授信,方可实现防御功能的自动化。它所采用的是一种设定后即忘的框架设计。
一些恶意程序有能力规避自动查杀机制。因为归根结底,每一个网络威胁的背后都有人类智慧的印记,只是后者不走正道而已。有时候,这一人类智慧会开发出全新的隐匿式或目标性攻击手段,只能借助另一人类智慧(信息安全工程师)及时发现和拦截,方可避免重大损失。
掌握EDR这一利器后,对于终端设备上生成、终端安全软件监测到的底层安全事件,贵司信息安全工程师便如虎添翼,具备了深入的洞察能力。由于对公司网络环境了如指掌,再结合高效事件过滤器的运用,贵司信息安全工程师能够重点分析网络攻击的全部过程,精准复现从开始到结束的每一个攻击步骤,为提高企业资安管理水平奠定基础。
ATT&CK评测报告中的EDR性能测试结果
ATT&CK评测报告在对终端防护产品展开测试的同时,也将EDR方案的实际表现纳入了检测范围。经检测,ESET公司所开发的EDR方案ESET Enterprise Inspector(简称“EEI”),在模拟攻击情景中100%检测到所有主步骤,子步骤的检测率也高达91%。围绕EEI在评测中的优异表现,ESET公司首席技术官Juraj Malcho 特地撰写了一篇博文,标题是《知己知彼,百战不殆:MITRE Engenuity新一期ATT&CK®评测报告揭示,EDR选用环节需注重均衡性》 。
图片
(扫描或长按二维码进入相关博文页面)
对于尚不具备高级持续性威胁(APT)防御能力的企业来说,阅读评测报告时需要考虑的一个主要问题就是,如何才能借此提高自身安全成熟度。说到底,信息安全工程师的最终核心目标就是熟悉本公司信息系统动态,据此规划防护优先级。这是基本安全举措以外的附加要求,必须始终落实到位。选用EDR的目的在于,深入洞察贵司网络的动态变化,以此提高企业安全机制成熟度 – 这正是防范高级持续性威胁的前提条件。
EEI实测结果证明,这款由ESET开发的EDR方案具备优秀的洞察力。虽然能够洞察系统活动信息是保障系统安全的关键一步,但它只不过是开端。核心环节在于,信息安全工程师必须对企业网络状况和EDR工具了如指掌,因为只有这样,才能结合自身网络环境做精细化调整。
事实上,很多企业初用EDR方案后,可能会出现一些意外情况。比如,公司IT团队是否在员工计算机上设置了本地管理员帐户,是否给予员工相关内部资源甚至潜在有害程序的自主访问权?对于员工使用远程监管工具(RMM)、远程桌面协议(RDP)、TeamViewer或VNC等软件远程访问公司网络的情况,是否采取了通讯加密措施?借助EDR工具的洞察分析能力,便可揭晓以往长时间存在,但需要即刻改正的一些高风险行为和习惯。
缺少能力或时间来管理EDR?
虽然安全作业规范至少在基础层面上仍是广为人知的实务指南,但现实中不少企业却因资源短缺的简单障碍,难以将规范落到实处。这些企业往往只配备有一两名管理员,将信息安全作为副业来做。这不符合选用EDR的基本逻辑和动机 – 即深入分析高级持续性威胁的复杂攻击手段,用作资安政策的指导依据。毕竟,企业需具备一定水平的安全成熟度,方可与这一级别的对手展开较量。
对于部分企业来说,它们所面临的另一挑战是,信息安全业务位于核心业务模式之外。故而,这部分企业宁可将信息安全业务外包给认证服务机构来做。这使得企业安全成熟度严重依赖于第三方服务商的资金投入水平、信托能力和专业水准,及其对委托方网络基础设施、威胁类型和分布模式的了解程度。另一方面,当EDR被金融机构等安全成熟度高的企业用来应对高级持续性威胁,并通过实际案例取得骄人成效、大放异彩的同时,这类企业既可保障资金预算的投入,也具备源自于法律法规的迫切动力来维护安全团队的齐备性,从而能从中取得更大的收益。
结论
随着开发商、分析师和ATT&CK评估报告纷纷掀起EDR方案的广泛热度,已有越来越多的企业正在考虑选用EDR的益处,即使只为获取入门级的安全成熟度。简单说来,如果转向EDR能够让企业IT管理员习得更好的安全规范,那么为此付出投资便是值得的。无论不良的资安习惯是否因以往安全规范的缺失、疏忽大意或无知所造成,通过EDR方案当中的预警信息来唤醒贵司,并借此摆脱掉坏习惯仍不失为亡羊补牢、查漏补缺。
对于恰好被MITRE Engenuity分析师选中、用于模拟防攻击测试的高级持续性威胁(APT)而言,开发这些APT的每一个幕后团伙所运用的技术手段,都深深吸引着资安工程师们去分析和探索,因为我们亟待了解,成熟的外部黑客与本公司安全布阵相交锋情况下所暴露出的综合风险。
关于ESET
eset总代理,eset四川代理,eset杀毒软件,eset续费,eset升级,eset到期怎么办,eset许可,eset病毒库,
图片
过去30年来,ESET始终致力于开发行业领先的IT安全软件和服务,保护全球企业、关键基础设施和客户免受日益复杂的数字威胁。从终端和移动安全到终端检测和响应以及加密和多重身份验证,ESET高性能、简单易用的解决方案悄无声息地为您的设备提供7×24小时不间断防毒监测,实时更新防御机制,保护用户系统安全,使企业运营不被中断。随着威胁的不断发展,我们需要一家不断进步、能够安全使用技术的IT安全公司。ESET的全球研发中心为此提供保障,共同构建美好未来。欲了解更多信息
成都科汇科技有限公(IT解决方案商 )
地址:成都市人民南路四段1号时代数码大厦18F
电话:400-028-1235
QQ: 1325383361
手机:180 8195 0517(微信同号)
本文章为转发的公开信息,如有相关侵权,敬请联系上述联系方式即可删除。