徐建國

摘 要：針對目前日趨嚴(yán)重的高級威脅，傳統(tǒng)手段防護(hù)的終端安全已經(jīng)力不從心，安全防護(hù)理念需進(jìn)階到主動防御，終端安全應(yīng)該以檢測和響應(yīng)（即終端EDR）為核心，來加強(qiáng)自身的防護(hù)能力。本文主要介紹EDR的原理思路、模型構(gòu)成以及其在終端安全中所貢獻(xiàn)的能力。

關(guān)鍵詞：高級威脅;檢測;響應(yīng);威脅情報;大數(shù)據(jù)分析

中圖分類號：TM76 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-2064（2019）03-0005-02

0 前言

經(jīng)過近十年的大范圍網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的建設(shè)，國內(nèi)企業(yè)安全防護(hù)系統(tǒng)經(jīng)歷了一個從無到有、從有到全的發(fā)展過程，終端的定義也不再僅僅是Windows操作系統(tǒng)的計算機(jī)，可能是任何類型的機(jī)器，包括：筆記本電腦、臺式機(jī)、服務(wù)器、移動設(shè)備、嵌入式設(shè)備，SCADA系統(tǒng)，甚至IoT設(shè)備，大量的投資建設(shè)建起了龐大的安全防御工事：IDS、防火墻、掃描器、審計系統(tǒng)、WAF、防毒墻等安全設(shè)備應(yīng)有盡有，但是針對于網(wǎng)絡(luò)與終端的安全事件卻層出不窮，敏感數(shù)據(jù)泄露的安全事故更是比比皆是，惡意威脅由原來的盲目、直接、粗暴的攻擊手段轉(zhuǎn)變?yōu)楝F(xiàn)在的精確化、持久化、隱匿式的惡意攻擊，它們會依照安排好的多個階段進(jìn)行有條不紊的開展，預(yù)估好每一步驟，通過偵測、武器化、傳輸、漏洞利用、植入滲透、C2、竊取步驟達(dá)到最終的目的，并可在短時間造成用戶的慘重?fù)p失，但是要發(fā)現(xiàn)、解決威脅、評估損失則需要數(shù)周甚至數(shù)月的時間，究其原因在于依靠已知特征、已知行為模式進(jìn)行檢測的網(wǎng)絡(luò)安全防護(hù)技術(shù)手段無法預(yù)知新型惡意威脅的攻擊特征與攻擊行為模式，傳統(tǒng)的防御技術(shù)在面對當(dāng)今終端上的各種高級威脅問題已經(jīng)不再適用。因此我們需要通過技術(shù)手段來提升對終端對高級威脅的防護(hù)能力。

1 終端安全防御新思路

新一代終端安全的核心是在利用已有的經(jīng)驗(yàn)和技術(shù)來阻止已知威脅的前提下，通過云端威脅情報的能力、攻防對抗的能力、機(jī)器學(xué)習(xí)等方式，來快速發(fā)現(xiàn)并阻止先進(jìn)的惡意軟件和零日漏洞等威脅事件。同時基于終端的背景數(shù)據(jù)、惡意軟件的行為、以及整體的高級威脅的生命周期的角度進(jìn)行全面的檢測和響應(yīng)。進(jìn)行快速、自動化的阻止、補(bǔ)救、取證，從而有效的對終端進(jìn)行防護(hù)，這就是我們所說的終端檢測與響應(yīng)機(jī)制，即終端EDR。它針對高級威脅具有實(shí)時檢測和自動響能力，并做到自動化的預(yù)防機(jī)制，以確保在安全事件發(fā)生后，可以第一時間做出正確的響應(yīng)。那真正的EDR應(yīng)該如何去做？應(yīng)該建立一個什么樣的模型？

2 終端EDR模型

EDR應(yīng)采取一種全新的“攻防倒置”的思路，依靠大數(shù)據(jù)威脅情報的指引，通過最新的安全線索快速鎖定威脅終端，通過實(shí)時數(shù)據(jù)和歷史終端信息對于受害終端進(jìn)行深度評估，揭示內(nèi)網(wǎng)終端的安全缺陷，通過自動化響應(yīng)機(jī)制進(jìn)行處置。將一個復(fù)雜的高級威脅安全響應(yīng)，分解成為定位、評估、響應(yīng)、修復(fù)等一系列行動過程，從而解決高級威脅難以處置的問題。其具體模型包含持續(xù)監(jiān)測、主動檢測、自動響應(yīng)以及全面評估（見圖1）。

持續(xù)監(jiān)測：持續(xù)記錄終端上的每步動作，將動態(tài)和靜態(tài)的終端安全數(shù)據(jù)實(shí)時推送到大數(shù)據(jù)分析平臺進(jìn)行統(tǒng)一的存儲和管理。

主動檢測：實(shí)時接威脅情報、安全告警等線索信息，在大數(shù)據(jù)分析平臺中主動檢索、定位符合條件的威脅終端。

全面評估：針對于威脅終端進(jìn)行全面的安全評估，結(jié)合終端背景數(shù)據(jù)，對于終端的安全漏洞、威脅的攻擊進(jìn)行分析評估，發(fā)現(xiàn)終端淪陷的根本原因。

自動響應(yīng)：針對不同類型的終端威脅提供相應(yīng)的自動響應(yīng)手段，結(jié)合終端、業(yè)務(wù)、系統(tǒng)等因素提供補(bǔ)救手段，提升安全基線，防止同類型攻擊再次發(fā)生。

3 EDR應(yīng)具備的能力

一個好的終端EDR應(yīng)具備以下能力：

數(shù)據(jù)采集：能夠?qū)崟r記錄端點(diǎn)上行為數(shù)據(jù)、靜態(tài)樣本、軟硬件資產(chǎn)等信息，進(jìn)行集中化存儲，便于實(shí)時的檢測和安全評估。

動態(tài)行為分析：能夠針對于終端的相關(guān)行為操作進(jìn)行實(shí)時動態(tài)監(jiān)測、分析，基于惡意威脅的行為動作進(jìn)行檢測，以確定它是否為惡意行為。

云端威脅情報：能夠?qū)⑼{情報實(shí)時和終端行為關(guān)聯(lián)分析后，確認(rèn)企業(yè)上是否已經(jīng)存在已經(jīng)淪陷的終端。并對于發(fā)現(xiàn)的終端威脅情報進(jìn)行端點(diǎn)之間的共享，以便立即免疫其它終端面臨此類的攻擊。

自動化響應(yīng)：能夠自動處置高級威脅在殺傷鏈中不同階段需要做出的對應(yīng)的響應(yīng)動作，例如結(jié)束進(jìn)程、隔離文件、補(bǔ)丁更新等，提供立即止損的手段。

修復(fù)、取證：需具備恢復(fù)的終端在執(zhí)行惡意軟件前的狀態(tài)的能力，進(jìn)行全面的安全補(bǔ)救。同時對于發(fā)生在整個組織的惡意活動清晰可見，便于安全人員能夠快速確定問題的范圍、影響，對威脅事件進(jìn)行取證。

數(shù)據(jù)存儲能力：能夠?qū)?shù)據(jù)存儲平臺進(jìn)行擴(kuò)展，以支持終端點(diǎn)數(shù)的快速增長，同時具備海量的數(shù)據(jù)存儲和快速的計算能力。

自適應(yīng)安全體系結(jié)構(gòu)：自適應(yīng)體系結(jié)構(gòu)包括四個階段（預(yù)防、檢查、預(yù)測和回顧）。一個完整的終端安全解決方案應(yīng)該與此體系結(jié)構(gòu)的四個階段對齊，以提供全面的自適應(yīng)保護(hù)，從而免受高級威脅的攻擊。

4 EDR構(gòu)成

EDR通過終端多維度的安全數(shù)據(jù)持續(xù)采集，實(shí)時存儲在本地終端大數(shù)據(jù)分析平臺中，通過推送定制的專屬終端威脅情報，同時結(jié)合基于惡意威脅行為的上下文信息檢測，對高知威脅的惡意行為實(shí)現(xiàn)的快速發(fā)現(xiàn)，并可對受害的內(nèi)網(wǎng)終端進(jìn)行精準(zhǔn)定位，最終達(dá)到對惡意威脅的及時處置響應(yīng)。主要包括終端采集器、數(shù)據(jù)采集平臺、大數(shù)據(jù)分析平臺、控制中心、威脅情報五個部分組成（見圖2）。

終端Agent數(shù)據(jù)采集。終端Agent主要負(fù)責(zé)對全網(wǎng)終端的安全數(shù)據(jù)進(jìn)行采集并對威脅事件進(jìn)行自動化的響應(yīng)處置，終端Agent會將采集到的終端安全數(shù)據(jù)會匯總到數(shù)據(jù)采集平臺上進(jìn)行統(tǒng)一的歸類、加密，并傳輸給大數(shù)據(jù)分析平臺。終端Agent支持采集IM文件傳輸信息、驅(qū)動信息、操作系統(tǒng)信息、進(jìn)程信息、DNS訪問審計、IP訪問記錄、U盤使用記錄、軟件安裝信息、郵件日志信息、證書相關(guān)信息等。

終端大數(shù)據(jù)分析平臺。隨著終端數(shù)據(jù)收集越來越全面，數(shù)據(jù)量面臨快速增長，當(dāng)數(shù)據(jù)有幾百、幾千億條數(shù)據(jù)時，現(xiàn)有的數(shù)據(jù)庫檢索能力則會受到制約，數(shù)據(jù)庫執(zhí)行操作響應(yīng)變得不夠及時。需要建立基于搜索技術(shù)的終端數(shù)據(jù)存儲分析平臺，具備分布式計算、分布式搜索能力。并對所有終端安全數(shù)據(jù)進(jìn)行快速的處理并為檢索提供支持，可以將索引以多個分片和多個副本的形式存儲于分布式系統(tǒng)當(dāng)中，提高檢索性能，同時保證數(shù)據(jù)的可靠性?？膳c威脅情報或其他告警進(jìn)行關(guān)聯(lián)幫助進(jìn)一步分析，對攻擊進(jìn)行有效地回溯定位。

威脅情報實(shí)時推送。EDR將所有與攻擊相關(guān)的信息，如攻擊團(tuán)體，惡意域名，受害者IP，惡意文件MD5等相關(guān)信息匯總，通過人工智能結(jié)合大數(shù)據(jù)知識以及攻擊者的多個維度特征還原出攻擊者的全貌，包括程序形態(tài)，不同編碼風(fēng)格和不同攻擊原理的同源木馬程序，惡意服務(wù)器（C&C）等，通過全貌特征‘跟蹤攻擊者，持續(xù)的發(fā)現(xiàn)未知威脅，最終確保發(fā)現(xiàn)的未知威脅的準(zhǔn)確性，并生成了可供大數(shù)據(jù)本地分析平臺使用的可機(jī)讀的威脅情報，并通過加密通道推送到企業(yè)側(cè)的大數(shù)據(jù)分析平臺。威脅情報為整個方案的核心內(nèi)容承擔(dān)了連接互聯(lián)網(wǎng)信息和企業(yè)本地信息的重要作用，為APT事件在企業(yè)側(cè)的最終定位提供了定位依據(jù)。

控制中心?？刂浦行奶峁┩{追蹤和告警響應(yīng)的安全能力，威脅追蹤可以提供給運(yùn)維人員手工搜索全網(wǎng)終端安全數(shù)據(jù)的能力，可以通過模糊搜索、精確搜索來快速查找到有價值的特定內(nèi)容，并可對特定內(nèi)容進(jìn)行類型的篩選、統(tǒng)計、過濾等，方便有安全經(jīng)驗(yàn)的運(yùn)維人員去主動發(fā)現(xiàn)內(nèi)網(wǎng)的安全事件。告警中心會將與威脅情報關(guān)聯(lián)到的內(nèi)網(wǎng)安全事件進(jìn)行告警，針對于涉及的終端、風(fēng)險級別、事件的類型、告警的概要和詳情進(jìn)行詳細(xì)的描述，提供安全響應(yīng)的功能，并針對已響應(yīng)任務(wù)進(jìn)行查看，了解響應(yīng)的終端范圍與進(jìn)度。

5 EDR優(yōu)勢體現(xiàn)

威脅情報驅(qū)動，發(fā)現(xiàn)高級威脅。通過機(jī)器學(xué)習(xí)與自動化數(shù)據(jù)處理技術(shù)，持續(xù)的發(fā)現(xiàn)未知威脅，通過統(tǒng)一的規(guī)范化格式將攻擊中出現(xiàn)的多種攻擊特征進(jìn)行標(biāo)準(zhǔn)化，滿足未來擴(kuò)展攻擊特征，用于驅(qū)動終端在第一時間內(nèi)對威脅進(jìn)行及時檢測和響應(yīng)。

持續(xù)采集監(jiān)測，消除終端盲區(qū)。通過終端安全數(shù)據(jù)的不間斷采集、監(jiān)測、與分析功能，可以顯著提升發(fā)現(xiàn)潛在威脅的能力，提升調(diào)查工作的便捷性，為深入透徹的了解終端的威脅狀況提供重要的背景基礎(chǔ)。

快速檢索定位，主動發(fā)現(xiàn)威脅。使用分布式多協(xié)同處理方式建立索引，達(dá)到實(shí)時、穩(wěn)定、可靠的查詢性能，快速返回終端威脅查詢結(jié)果，有效地避免了傳統(tǒng)系統(tǒng)中在處理海量數(shù)據(jù)遇到的穩(wěn)定性、及時性、可靠性等技術(shù)瓶頸。

自動化響應(yīng)，及時清除風(fēng)險。針對于發(fā)現(xiàn)的高級威脅事件，可提供對應(yīng)的安全響應(yīng)的處置策略和任務(wù)，對于威脅事件提供隔終止、隔離、取證等安全手段，快速終止威脅的持續(xù)發(fā)生。提升安全運(yùn)維團(tuán)隊的響應(yīng)的效率和處置威脅事件的能力。

6 結(jié)語

終端EDR可以持續(xù)洞察內(nèi)網(wǎng)終端的安全活動信息，結(jié)合大數(shù)據(jù)威脅情報等線索對內(nèi)網(wǎng)淪陷終端進(jìn)行快速的檢索和定位，并提供針對威脅事件的自動化響應(yīng)和修復(fù)能力，在對抗高級威脅中獲得更好的效果與更快的效率，最大限度壓縮攻擊者的攻擊時間，減少高級威脅最終達(dá)到目的可能性，從而更好地加強(qiáng)終端的整體安全性。