在當(dāng)前這個APT(高級持續(xù)性威脅)逐漸增多的時代,傳統(tǒng)的安全防護(hù)手段越發(fā)力不從心,單純的“預(yù)防”已不能應(yīng)對如今的安全形勢。

　　·在面對實際威脅時,如何辨別攻擊者的真實意圖并采取相應(yīng)的對策?

　　·采用EDR技術(shù)的產(chǎn)品架構(gòu)如何設(shè)計?

　　·與傳統(tǒng)安全產(chǎn)品相比,新一代的安全解決方案有何優(yōu)勢?

　　·在實踐中,MDR是如何為企業(yè)提供有效幫助?

　　在今天(7月25日)Freebuf舉行的【聚焦終端響應(yīng) 智慧安全運營 2018 SOC & EDR應(yīng)用建設(shè)高峰論壇】上,安全狗創(chuàng)始人陳奮給出了明晰的解答。

　　小編會將演講里的重要內(nèi)容采編出來,選出最有價值的部分以饗讀者!

　　本次論壇還邀請了其他多位在SOC建設(shè)與運營以及在端點安全、EDR產(chǎn)品研發(fā)、落地應(yīng)用等方面有著豐富實踐經(jīng)驗的企業(yè)安全負(fù)責(zé)人和知名廠商代表,帶來了精彩分享與解讀。

　　與會嘉賓與主辦方合影

　　安全狗展位

　　安全狗CEO陳奮正在演講

　　01、新的安全威脅與EDR技術(shù)

　　近幾年來,新型安全威脅層出不窮:大量0day漏洞泄露,其中部分漏洞被武器化,波及大多數(shù)系統(tǒng);針對特定對象的APT攻擊日漸增多,防御更加困難;數(shù)字貨幣的興起刺激了網(wǎng)絡(luò)黑產(chǎn)的擴張,勒索和挖礦的惡意軟件影響日趨擴大;黑客攻擊流量加密、網(wǎng)絡(luò)層和邊界的防護(hù)失效等問題更是不一而足。

　　另一方面,技術(shù)的迭代發(fā)展對于安全防護(hù)也提出了更高的要求:虛擬化云計算技術(shù)的大量應(yīng)用,衍生出安全運營的需求升級;所有權(quán)和控制權(quán)的變化,形成管理機制的變化,引出安全責(zé)任共擔(dān)機制,運維流程的變化,安全運營由外到內(nèi),防御和檢測面臨著深刻的變革。

　　在這種新的安全形勢下,采取主動防御的方式保護(hù)端點安全越來越有必要。我們需要一種新的防護(hù)方案,這種方案應(yīng)該兼?zhèn)鋵崟r監(jiān)控、檢測、高級威脅分析及響應(yīng)等多種功能。因此,業(yè)界提出了一種新型的安全解決方案——EDR,即端點檢測與響應(yīng)。

　　EDR解決方案應(yīng)具備四大基本功能:安全事件檢測、安全事件調(diào)查、遏制安全事件,以及將端點修復(fù)至感染前的狀態(tài)。EDR工具通過記錄大量終端與網(wǎng)絡(luò)事件,并將這些數(shù)據(jù)存儲在終端本地或者集云端數(shù)據(jù)庫中,對這些數(shù)據(jù)進(jìn)行IOC比對,行為分析和機器學(xué)習(xí),用以持續(xù)對這些數(shù)據(jù)進(jìn)行分析,識別威脅,并快速進(jìn)行響應(yīng)。

　　02、安全狗的解決方案

　　安全狗的(云)主機安全安全解決方案吸收了EDR技術(shù)的核心優(yōu)勢,并結(jié)合安全狗自身的威脅情報優(yōu)勢和其他云安全技術(shù)的積累,為用戶打造了全新的(云)主機安全解決方案。

　　我們在事前、事中、事后三個階段,從資產(chǎn)聚合、反殺傷鏈、入侵響應(yīng)三個維度來看待主機安全問題,通過主機EDR能力的增強,反哺SIEM或SOC平臺,最終達(dá)到全網(wǎng)自動響應(yīng) 已知威脅的能力 以及對 未知定向攻擊的檢測告警能力。

　　為了更貼合云環(huán)境下的安全需求,我們同時采用了CWPP(Cloud Workload Protection Platforms,云工作負(fù)載安全平臺方案)設(shè)計,采用輕量級Agent,與全部功能的重量級Agent相比,輕量級Agent實現(xiàn)了功能的最小集合,大大減輕Agent對于主機性能的影響。并且輕量級agent簡單,能夠動態(tài)地升級和更新,實現(xiàn)的代碼少,容易傳輸。

　　03、MDR威脅檢測與響應(yīng)服務(wù)

　　MDR服務(wù)是Gartner在2016年正式提出來的,定位于對高級威脅的檢測與響應(yīng)服務(wù)。與傳統(tǒng)MSSP主要幫客戶監(jiān)測內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)內(nèi)外間流量不同,MDR還試圖幫助客戶監(jiān)測內(nèi)部網(wǎng)絡(luò)中的流量,尤其是識別高級威脅攻擊的橫向移動環(huán)節(jié)的蛛絲馬跡,以求更好地發(fā)現(xiàn)針對客戶內(nèi)部網(wǎng)絡(luò)的高級威脅。

　　對于安全狗,我們這樣提供MDR服務(wù)

　　SAAS服務(wù):用SAAS方式為企業(yè)解決數(shù)據(jù)中心安全問題,提供(云)服務(wù)器、應(yīng)用、業(yè)務(wù)在內(nèi)的一站式云安全防護(hù)服務(wù)。累計保護(hù)服務(wù)器超過 400萬臺。

　　現(xiàn)場服務(wù):常駐客戶現(xiàn)場,定期對安全設(shè)備、服務(wù)器進(jìn)行安全巡檢,實時跟進(jìn)安全風(fēng)險事件,協(xié)助處理安全突發(fā)事件,事件結(jié)束后出具安全報告和安全整改建議。

　　隨著網(wǎng)絡(luò)襲擊事件數(shù)量的不斷攀升,傳統(tǒng)安全防御手段已難以招架規(guī)模龐大、攻勢越猛的新式攻擊。利用包括EDR在內(nèi)的新型的安全技術(shù)和思路,可以讓我們在應(yīng)對新型的網(wǎng)絡(luò)安全威脅時更加游刃有余,攻防不止,市場和行業(yè)會給出全新的解答,讓我們拭目以待!