被APT“盯上”,360EDR一招化解

近几年网络攻击愈演愈烈 , 诸如数据泄漏、勒索软件、黑客攻击等层出不穷 , 攻击类型和策略也变得复杂多变 , 尤其APT(高级持续性威胁)成为了人们心中挥之不去的隐忧 。
就在两个月前 , 美国NSA下属的特定入侵行动办公室(TAO)发起的针对我国国防高校西北工业大学的特定高持续性威胁攻击活动被曝光 , 引爆了全球舆论 。
据统计 , 全球发现的APT组织超过150个 , 分布在美国、以色列等国 。 过去几年 , 有50个其他背景的黑客组织 , 对中国的国家级网络进行了数千次攻击 。 他们攻击领域广泛、规模庞大 , 攻击目标多样 , 全域覆盖 , 攻击技术先进 , 手法复杂 。 被动的病毒对抗、保密对抗、恶意代码对抗、安全风险对抗 , 已无法遏制和威慑APT组织的攻击态势 。
在这样的背景下 , 或许下一个WannaCry随时会出现 , 对于大多数企业来说 , 依靠现有的安全体系可能真的防不住APT攻击 , 不少企业面对入侵攻击、勒索病毒毫无招架之力 。
一、传统的终端安全策略“防不住”
2014年 , 赛门铁克高级副总裁布莱恩·戴伊(BrianDye)提出了“杀毒软件已死”这一观点 。 这一观点是否严谨 , 我们先不讨论 , 但是可以说明一点问题 , 那就是终端安全光靠“杀毒”防不住了 。
在当今互联网时代以及全球疫情影响之下 , 接入互联网的终端越来越多 , 笔记本电脑、手机、平板、移动设备、服务器等 , 任何连接到网络的终端都暴露在风险之下 。
正所谓“千里之堤溃于蚁穴” , 看似不起眼的终端安全俨然就是整个企业安全“千里大堤”上的蚁穴 。
传统的被动病毒检测技术依赖于特征库的方式进行防御 , 将文件与已知的“恶意”文件数据库进行比较 , 当找到匹配项时 , 该文件则被识别为威胁 。
但随着互联网和云计算等技术广泛应用于企业中 , 企业终端管理的复杂程度也随之上升;而多云时代的来临进一步加剧了企业终端的混乱度 。 毫无疑问 , 这给企业安全防御带来了巨大的挑战 。
这时 , EPP的出现一定程度上解决了传统杀毒软件的弱项 。 不止通过特征库的方式 , 还通过云端的协同分析 , 以及威胁情报能力 , EPP能够抵御更多的已知威胁 。 但是 , 对于高级威胁 , 比如0day漏洞、无文件攻击 , 或者有预谋、有计划、有目标地APT攻击 , 这种针对整个IT环境下多个端点一环接一环的攻击 , EPP关联防护能力显然不足 。
因此 , 要想降低病毒的“造访” , 我们不仅要时刻“巡逻”端点 , 预防威胁隐患藏匿其中 , 还要在威胁来临之前做出快速响应 , 立即预警 , 甚至找到攻击源头 , 通过安全闭环把病毒扼杀在摇篮之中 , 从根本上保护我们的终端安全 。 EDR也就应运而生 。
EDR , 即端点检测和响应 , 是一种主动式端点安全解决方案 , 被称为终端安全界新晋网红 。 为什么EDR能够如此火?
一方面 , 相比以前传统被动的终端安全防护策略 , EDR不仅仅通过“特征”进行“预防” , 更依靠“行为”进行“检测” , 并且进行“响应” 。 同时 , EDR不再只是着眼于单个终端的防御 , 而是能够对各个终端上事件的关联分析 , 还原整个攻击的流程 , 描绘出攻击事件的全貌 , 这在当下愈演愈烈的APT攻击中 , 尤为重要 。
另一方面 , 国家相关的合规政策中也对终端安全提出了更加细致的需求 , 例如“等保2.0”中对企业各类终端的风险进行预警和防范的要求 , 以及对分散在各处的终端设备进行集中管理和审计的要求 。
不论是针对合规的需求 , 还是市场的需求 , 都让EDR成为现阶段企业抵御复杂的恶意软件和防不胜防的零日威胁以及APT攻击的第一道防线 。