關(guān)于終端檢測與響應(yīng)(EDR)的論述

徐建國

摘 要：針對目前日趨嚴重的高級威脅，傳統(tǒng)手段防護的終端安全已經(jīng)力不從心，安全防護理念需進階到主動防御，終端安全應(yīng)該以檢測和響應(yīng)（即終端EDR）為核心，來加強自身的防護能力。本文主要介紹EDR的原理思路、模型構(gòu)成以及其在終端安全中所貢獻的能力。

關(guān)鍵詞：高級威脅;檢測;響應(yīng);威脅情報;大數(shù)據(jù)分析

中圖分類號：TM76 文獻標識碼：A 文章編號：1671-2064（2019）03-0005-02

0 前言

經(jīng)過近十年的大范圍網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的建設(shè)，國內(nèi)企業(yè)安全防護系統(tǒng)經(jīng)歷了一個從無到有、從有到全的發(fā)展過程，終端的定義也不再僅僅是Windows操作系統(tǒng)的計算機，可能是任何類型的機器，包括：筆記本電腦、臺式機、服務(wù)器、移動設(shè)備、嵌入式設(shè)備，SCADA系統(tǒng)，甚至IoT設(shè)備，大量的投資建設(shè)建起了龐大的安全防御工事：IDS、防火墻、掃描器、審計系統(tǒng)、WAF、防毒墻等安全設(shè)備應(yīng)有盡有，但是針對于網(wǎng)絡(luò)與終端的安全事件卻層出不窮，敏感數(shù)據(jù)泄露的安全事故更是比比皆是，惡意威脅由原來的盲目、直接、粗暴的攻擊手段轉(zhuǎn)變?yōu)楝F(xiàn)在的精確化、持久化、隱匿式的惡意攻擊，它們會依照安排好的多個階段進行有條不紊的開展，預(yù)估好每一步驟，通過偵測、武器化、傳輸、漏洞利用、植入滲透、C2、竊取步驟達到最終的目的，并可在短時間造成用戶的慘重損失，但是要發(fā)現(xiàn)、解決威脅、評估損失則需要數(shù)周甚至數(shù)月的時間，究其原因在于依靠已知特征、已知行為模式進行檢測的網(wǎng)絡(luò)安全防護技術(shù)手段無法預(yù)知新型惡意威脅的攻擊特征與攻擊行為模式，傳統(tǒng)的防御技術(shù)在面對當今終端上的各種高級威脅問題已經(jīng)不再適用。因此我們需要通過技術(shù)手段來提升對終端對高級威脅的防護能力。

1 終端安全防御新思路

新一代終端安全的核心是在利用已有的經(jīng)驗和技術(shù)來阻止已知威脅的前提下，通過云端威脅情報的能力、攻防對抗的能力、機器學(xué)習等方式，來快速發(fā)現(xiàn)并阻止先進的惡意軟件和零日漏洞等威脅事件。同時基于終端的背景數(shù)據(jù)、惡意軟件的行為、以及整體的高級威脅的生命周期的角度進行全面的檢測和響應(yīng)。進行快速、自動化的阻止、補救、取證，從而有效的對終端進行防護，這就是我們所說的終端檢測與響應(yīng)機制，即終端EDR。它針對高級威脅具有實時檢測和自動響能力，并做到自動化的預(yù)防機制，以確保在安全事件發(fā)生后，可以第一時間做出正確的響應(yīng)。那真正的EDR應(yīng)該如何去做？應(yīng)該建立一個什么樣的模型？

2 終端EDR模型

EDR應(yīng)采取一種全新的“攻防倒置”的思路，依靠大數(shù)據(jù)威脅情報的指引，通過最新的安全線索快速鎖定威脅終端，通過實時數(shù)據(jù)和歷史終端信息對于受害終端進行深度評估，揭示內(nèi)網(wǎng)終端的安全缺陷，通過自動化響應(yīng)機制進行處置。將一個復(fù)雜的高級威脅安全響應(yīng)，分解成為定位、評估、響應(yīng)、修復(fù)等一系列行動過程，從而解決高級威脅難以處置的問題。其具體模型包含持續(xù)監(jiān)測、主動檢測、自動響應(yīng)以及全面評估（見圖1）。

持續(xù)監(jiān)測：持續(xù)記錄終端上的每步動作，將動態(tài)和靜態(tài)的終端安全數(shù)據(jù)實時推送到大數(shù)據(jù)分析平臺進行統(tǒng)一的存儲和管理。

主動檢測：實時接威脅情報、安全告警等線索信息，在大數(shù)據(jù)分析平臺中主動檢索、定位符合條件的威脅終端。

全面評估：針對于威脅終端進行全面的安全評估，結(jié)合終端背景數(shù)據(jù)，對于終端的安全漏洞、威脅的攻擊進行分析評估，發(fā)現(xiàn)終端淪陷的根本原因。

自動響應(yīng)：針對不同類型的終端威脅提供相應(yīng)的自動響應(yīng)手段，結(jié)合終端、業(yè)務(wù)、系統(tǒng)等因素提供補救手段，提升安全基線，防止同類型攻擊再次發(fā)生。

3 EDR應(yīng)具備的能力

一個好的終端EDR應(yīng)具備以下能力：

數(shù)據(jù)采集：能夠?qū)崟r記錄端點上行為數(shù)據(jù)、靜態(tài)樣本、軟硬件資產(chǎn)等信息，進行集中化存儲，便于實時的檢測和安全評估。

動態(tài)行為分析：能夠針對于終端的相關(guān)行為操作進行實時動態(tài)監(jiān)測、分析，基于惡意威脅的行為動作進行檢測，以確定它是否為惡意行為。

云端威脅情報：能夠?qū)⑼{情報實時和終端行為關(guān)聯(lián)分析后，確認企業(yè)上是否已經(jīng)存在已經(jīng)淪陷的終端。并對于發(fā)現(xiàn)的終端威脅情報進行端點之間的共享，以便立即免疫其它終端面臨此類的攻擊。

自動化響應(yīng)：能夠自動處置高級威脅在殺傷鏈中不同階段需要做出的對應(yīng)的響應(yīng)動作，例如結(jié)束進程、隔離文件、補丁更新等，提供立即止損的手段。

修復(fù)、取證：需具備恢復(fù)的終端在執(zhí)行惡意軟件前的狀態(tài)的能力，進行全面的安全補救。同時對于發(fā)生在整個組織的惡意活動清晰可見，便于安全人員能夠快速確定問題的范圍、影響，對威脅事件進行取證。

數(shù)據(jù)存儲能力：能夠?qū)?shù)據(jù)存儲平臺進行擴展，以支持終端點數(shù)的快速增長，同時具備海量的數(shù)據(jù)存儲和快速的計算能力。

自適應(yīng)安全體系結(jié)構(gòu)：自適應(yīng)體系結(jié)構(gòu)包括四個階段（預(yù)防、檢查、預(yù)測和回顧）。一個完整的終端安全解決方案應(yīng)該與此體系結(jié)構(gòu)的四個階段對齊，以提供全面的自適應(yīng)保護，從而免受高級威脅的攻擊。

4 EDR構(gòu)成

EDR通過終端多維度的安全數(shù)據(jù)持續(xù)采集，實時存儲在本地終端大數(shù)據(jù)分析平臺中，通過推送定制的專屬終端威脅情報，同時結(jié)合基于惡意威脅行為的上下文信息檢測，對高知威脅的惡意行為實現(xiàn)的快速發(fā)現(xiàn)，并可對受害的內(nèi)網(wǎng)終端進行精準定位，最終達到對惡意威脅的及時處置響應(yīng)。主要包括終端采集器、數(shù)據(jù)采集平臺、大數(shù)據(jù)分析平臺、控制中心、威脅情報五個部分組成（見圖2）。

終端Agent數(shù)據(jù)采集。終端Agent主要負責對全網(wǎng)終端的安全數(shù)據(jù)進行采集并對威脅事件進行自動化的響應(yīng)處置，終端Agent會將采集到的終端安全數(shù)據(jù)會匯總到數(shù)據(jù)采集平臺上進行統(tǒng)一的歸類、加密，并傳輸給大數(shù)據(jù)分析平臺。終端Agent支持采集IM文件傳輸信息、驅(qū)動信息、操作系統(tǒng)信息、進程信息、DNS訪問審計、IP訪問記錄、U盤使用記錄、軟件安裝信息、郵件日志信息、證書相關(guān)信息等。

終端大數(shù)據(jù)分析平臺。隨著終端數(shù)據(jù)收集越來越全面，數(shù)據(jù)量面臨快速增長，當數(shù)據(jù)有幾百、幾千億條數(shù)據(jù)時，現(xiàn)有的數(shù)據(jù)庫檢索能力則會受到制約，數(shù)據(jù)庫執(zhí)行操作響應(yīng)變得不夠及時。需要建立基于搜索技術(shù)的終端數(shù)據(jù)存儲分析平臺，具備分布式計算、分布式搜索能力。并對所有終端安全數(shù)據(jù)進行快速的處理并為檢索提供支持，可以將索引以多個分片和多個副本的形式存儲于分布式系統(tǒng)當中，提高檢索性能，同時保證數(shù)據(jù)的可靠性。可與威脅情報或其他告警進行關(guān)聯(lián)幫助進一步分析，對攻擊進行有效地回溯定位。

威脅情報實時推送。EDR將所有與攻擊相關(guān)的信息，如攻擊團體，惡意域名，受害者IP，惡意文件MD5等相關(guān)信息匯總，通過人工智能結(jié)合大數(shù)據(jù)知識以及攻擊者的多個維度特征還原出攻擊者的全貌，包括程序形態(tài)，不同編碼風格和不同攻擊原理的同源木馬程序，惡意服務(wù)器（C&C）等，通過全貌特征‘跟蹤攻擊者，持續(xù)的發(fā)現(xiàn)未知威脅，最終確保發(fā)現(xiàn)的未知威脅的準確性，并生成了可供大數(shù)據(jù)本地分析平臺使用的可機讀的威脅情報，并通過加密通道推送到企業(yè)側(cè)的大數(shù)據(jù)分析平臺。威脅情報為整個方案的核心內(nèi)容承擔了連接互聯(lián)網(wǎng)信息和企業(yè)本地信息的重要作用，為APT事件在企業(yè)側(cè)的最終定位提供了定位依據(jù)。

控制中心。控制中心提供威脅追蹤和告警響應(yīng)的安全能力，威脅追蹤可以提供給運維人員手工搜索全網(wǎng)終端安全數(shù)據(jù)的能力，可以通過模糊搜索、精確搜索來快速查找到有價值的特定內(nèi)容，并可對特定內(nèi)容進行類型的篩選、統(tǒng)計、過濾等，方便有安全經(jīng)驗的運維人員去主動發(fā)現(xiàn)內(nèi)網(wǎng)的安全事件。告警中心會將與威脅情報關(guān)聯(lián)到的內(nèi)網(wǎng)安全事件進行告警，針對于涉及的終端、風險級別、事件的類型、告警的概要和詳情進行詳細的描述，提供安全響應(yīng)的功能，并針對已響應(yīng)任務(wù)進行查看，了解響應(yīng)的終端范圍與進度。

5 EDR優(yōu)勢體現(xiàn)

威脅情報驅(qū)動，發(fā)現(xiàn)高級威脅。通過機器學(xué)習與自動化數(shù)據(jù)處理技術(shù)，持續(xù)的發(fā)現(xiàn)未知威脅，通過統(tǒng)一的規(guī)范化格式將攻擊中出現(xiàn)的多種攻擊特征進行標準化，滿足未來擴展攻擊特征，用于驅(qū)動終端在第一時間內(nèi)對威脅進行及時檢測和響應(yīng)。

持續(xù)采集監(jiān)測，消除終端盲區(qū)。通過終端安全數(shù)據(jù)的不間斷采集、監(jiān)測、與分析功能，可以顯著提升發(fā)現(xiàn)潛在威脅的能力，提升調(diào)查工作的便捷性，為深入透徹的了解終端的威脅狀況提供重要的背景基礎(chǔ)。

快速檢索定位，主動發(fā)現(xiàn)威脅。使用分布式多協(xié)同處理方式建立索引，達到實時、穩(wěn)定、可靠的查詢性能，快速返回終端威脅查詢結(jié)果，有效地避免了傳統(tǒng)系統(tǒng)中在處理海量數(shù)據(jù)遇到的穩(wěn)定性、及時性、可靠性等技術(shù)瓶頸。

自動化響應(yīng)，及時清除風險。針對于發(fā)現(xiàn)的高級威脅事件，可提供對應(yīng)的安全響應(yīng)的處置策略和任務(wù)，對于威脅事件提供隔終止、隔離、取證等安全手段，快速終止威脅的持續(xù)發(fā)生。提升安全運維團隊的響應(yīng)的效率和處置威脅事件的能力。

6 結(jié)語

終端EDR可以持續(xù)洞察內(nèi)網(wǎng)終端的安全活動信息，結(jié)合大數(shù)據(jù)威脅情報等線索對內(nèi)網(wǎng)淪陷終端進行快速的檢索和定位，并提供針對威脅事件的自動化響應(yīng)和修復(fù)能力，在對抗高級威脅中獲得更好的效果與更快的效率，最大限度壓縮攻擊者的攻擊時間，減少高級威脅最終達到目的可能性，從而更好地加強終端的整體安全性。