在當前這個APT(高級持續性威脅)逐漸增多的時代,傳統的安全防護手段越發力不從心,單純的“預防”已不能應對如今的安全形勢。

　　·在面對實際威脅時,如何辨別攻擊者的真實意圖并采取相應的對策?

　　·采用EDR技術的產品架構如何設計?

　　·與傳統安全產品相比,新一代的安全解決方案有何優勢?

　　·在實踐中,MDR是如何為企業提供有效幫助?

　　在今天(7月25日)Freebuf舉行的【聚焦終端響應 智慧安全運營 2018 SOC & EDR應用建設高峰論壇】上,安全狗創始人陳奮給出了明晰的解答。

　　小編會將演講里的重要內容采編出來,選出最有價值的部分以饗讀者!

　　本次論壇還邀請了其他多位在SOC建設與運營以及在端點安全、EDR產品研發、落地應用等方面有著豐富實踐經驗的企業安全負責人和知名廠商代表,帶來了精彩分享與解讀。

　　與會嘉賓與主辦方合影

　　安全狗展位

　　安全狗CEO陳奮正在演講

　　01、新的安全威脅與EDR技術

　　近幾年來,新型安全威脅層出不窮:大量0day漏洞泄露,其中部分漏洞被武器化,波及大多數系統;針對特定對象的APT攻擊日漸增多,防御更加困難;數字貨幣的興起刺激了網絡黑產的擴張,勒索和挖礦的惡意軟件影響日趨擴大;黑客攻擊流量加密、網絡層和邊界的防護失效等問題更是不一而足。

　　另一方面,技術的迭代發展對于安全防護也提出了更高的要求:虛擬化云計算技術的大量應用,衍生出安全運營的需求升級;所有權和控制權的變化,形成管理機制的變化,引出安全責任共擔機制,運維流程的變化,安全運營由外到內,防御和檢測面臨著深刻的變革。

　　在這種新的安全形勢下,采取主動防御的方式保護端點安全越來越有必要。我們需要一種新的防護方案,這種方案應該兼備實時監控、檢測、高級威脅分析及響應等多種功能。因此,業界提出了一種新型的安全解決方案——EDR,即端點檢測與響應。

　　EDR解決方案應具備四大基本功能:安全事件檢測、安全事件調查、遏制安全事件,以及將端點修復至感染前的狀態。EDR工具通過記錄大量終端與網絡事件,并將這些數據存儲在終端本地或者集云端數據庫中,對這些數據進行IOC比對,行為分析和機器學習,用以持續對這些數據進行分析,識別威脅,并快速進行響應。

　　02、安全狗的解決方案

　　安全狗的(云)主機安全安全解決方案吸收了EDR技術的核心優勢,并結合安全狗自身的威脅情報優勢和其他云安全技術的積累,為用戶打造了全新的(云)主機安全解決方案。

　　我們在事前、事中、事后三個階段,從資產聚合、反殺傷鏈、入侵響應三個維度來看待主機安全問題,通過主機EDR能力的增強,反哺SIEM或SOC平臺,最終達到全網自動響應 已知威脅的能力 以及對 未知定向攻擊的檢測告警能力。

　　為了更貼合云環境下的安全需求,我們同時采用了CWPP(Cloud Workload Protection Platforms,云工作負載安全平臺方案)設計,采用輕量級Agent,與全部功能的重量級Agent相比,輕量級Agent實現了功能的最小集合,大大減輕Agent對于主機性能的影響。并且輕量級agent簡單,能夠動態地升級和更新,實現的代碼少,容易傳輸。

　　03、MDR威脅檢測與響應服務

　　MDR服務是Gartner在2016年正式提出來的,定位于對高級威脅的檢測與響應服務。與傳統MSSP主要幫客戶監測內部網絡與互聯網內外間流量不同,MDR還試圖幫助客戶監測內部網絡中的流量,尤其是識別高級威脅攻擊的橫向移動環節的蛛絲馬跡,以求更好地發現針對客戶內部網絡的高級威脅。

　　對于安全狗,我們這樣提供MDR服務

　　SAAS服務:用SAAS方式為企業解決數據中心安全問題,提供(云)服務器、應用、業務在內的一站式云安全防護服務。累計保護服務器超過 400萬臺。

　　現場服務:常駐客戶現場,定期對安全設備、服務器進行安全巡檢,實時跟進安全風險事件,協助處理安全突發事件,事件結束后出具安全報告和安全整改建議。

　　隨著網絡襲擊事件數量的不斷攀升,傳統安全防御手段已難以招架規模龐大、攻勢越猛的新式攻擊。利用包括EDR在內的新型的安全技術和思路,可以讓我們在應對新型的網絡安全威脅時更加游刃有余,攻防不止,市場和行業會給出全新的解答,讓我們拭目以待!