继上次在社区发表了两天连载的关于企业安全建设的文章之后,有幸得到了火线303壮神的评论,想了解一些终端安全这块在企业安全建设过程中的一些思路和想法,既然壮神要求了,那就不得不把这件事提上日程,于是,拿起我那花了好多大洋的第一代M1,打开破解版的三剑客(word、Excel、PPT)一顿猛如虎的操作开搞(总感觉用着高逼格的M1装着破解版的软件,Low的一B,无奈,穷。。。。)。
其实在之前的文章里面也提到过,我是一个半路出家的安全技术人员,非专业人士,所以说的有不到之处还请各位看文章的大佬多多担待哈(欢迎评论区讨论)。
在建设企业安全的道路上,终端安全也是必不可少的一个重要环节,甚至可能说是一个核心重点之一(这里为啥说之一呢?因为核心安全还有很多,例如:网络安全、边界安全、应用安全、物理安全等)。在当今这个IT信息化时代高速发展的社会,百花齐放、百家争鸣,各行各业都在互联网的这个风口上高速发展,有些企业甚至可以说是发展过盛,而在这样一个信息化高速发展的时代,网络安全往往在企业高速发展的初期阶段并未考虑加入,因为绝大多数的安全都是被动的(例如:有些时候因为企业内部的政治任务、有些是因为涉及最终客户使用体验等等),初期可以说绝大多数都是以业务为导向的去建设,优先满足业务,后面再谈安全,给安全建设带来了比较大的苦恼。
而就在这样一个百花齐放、百家争鸣的信息化时代互联网时代,催生出了各种各样的使用终端(例如:笔记本电脑、手机(各个厂商的)、平板电脑等等这些都是比较常见的),我在平时的工作还发现一些比较独特的终端,例如:仓库用的扫描枪、汽车故障检测仪、彩票打印机等等,如下图所示:
汽车故障检测仪
仓库扫描枪
彩票打印机
这些终端由于他的特殊性可能在安全层面并没有做过多的安全防护,或者从某种意义上来说可能做不了(这里说一下个人见解,像这种独特的终端可能跟它的使用环境和底层代码有一定的关系,或者说没有什么比较知名的安全管控软件的适配)。因此这些特殊的终端系统其实在终端安全领域是比较薄弱的环节,之前在公司发布的内部系统业务中有个仓库管理系统,而这个系统有个终端APP,这个APP就是安装在扫码枪里面的,这个APP其实实际上就是个APK文件,而且未加任何的安全控制(这里指的是APK加壳),很容易就反编译得到了源码,所以从安全角度来讲这一块的安全缺失还是比较大的。
另外,传统的终端安全其实从今天来看相对来说做的是相对成熟了,电脑有对应的杀毒软件,手机有手机安全管家,平板也有对应杀毒软件平板版。不过其重要性还是在于安装在电脑、手机、平板上的那些APP。企业的终端安全建设个人感觉绝大多数都是杀毒+EDR+DLP+ivant套件,这里分开讲讲吧!杀毒这里就不展开说了,看这篇文章的大佬们都应该知道无非就是那些知名的杀毒软件,只不过区别就在于使用的是否是付费的(付费的反正我是没用过,不知道有哪些高深的功能)。而通常黑客在攻击一个终端,最常见的手法可能就是后门免杀(这里就不探讨系统本身的漏洞了,因为企业的终端系统的补丁更新周期根据企业重视安全程度以及其他原因吧,不同更新的频率可能也不太一样)。
EDR(端点检测与响应:Endpoint Detection and Response),这里的端点通常指的就是台式机、服务器、移动设备和嵌人式设备等。攻击者往往首先利用目标网络中的脆弱端点建立桥头堡,再通过进一步的漏洞利用来构筑长期驻留条件,最终迈向既定目标。
端点检测和响应是一种主动式端点安全解决方案,通过记录终端与网络事件(例如用户,文件,进程,注册表,内存和网络事件)(这里可能跟杀软有着相似的点,但也有些不同),并将这些信息本地存储在端点或集中数据库。结合已知的攻击指示器(Indicators of Compromise,IOCs)、行为分析的数据库来连续搜索数据和机器学习技术来监测任何可能的安全威胁,并对这些安全威胁做出快速响应。还有助于快速调查攻击范围,并提供响应能力。
相比于传统端点安全防护采用预设安全策略的静态防御技术,EDR加强了威胁检测和响应取证能力,能够快速检测、识别、监控和处理端点事件,从而在威胁尚未造成危害前进行检测和阻止,帮助受保护网络免受零日威胁和各种新出现的威胁。安全模型如下图所示:
体现EDR的四种能力:
(1)预测:risk assessment(风险评估);anticipate threats(预测威胁);baseline security posture(基线安全态势)。
(2)防护:harden systems(强化系统);isolate system(隔离系统);prevent attacks(防止攻击)。
(3)检测:detect incidents(检测事件);confirm and prioritize risk(确认风险并确定优先顺序)。contain incidents(包含事件)。
(4)响应:remediate(补救);design policy change(设计规则变更);investigate incidents(调查事件)。
那么可能有人会问了EDR是如何工作的呢?下面对EDR的工作原理大概的表述一下:
(1)一旦安装了 EDR 技术,它就会使用先进的算法来分析系统上单个用户的行为,允许它记住和连接他们的活动。(检测)
(2)感知到你系统中某个特定用户的异常行为。 数据会立即被过滤、丰富和监控,以防出现恶意行为的迹象。 这些迹象触发了警报,调查就开始了ーー确定攻击是真是假。(调查)
(3)如果检测到恶意活动,算法将跟踪攻击路径并将其构建回入口点。 (关联跟踪)
(4)然后,该技术将所有数据点合并到称为恶意操作的窄类别中,使分析人员更容易查看。(可视化)
(5)在发生真正的攻击事件时,客户会得到通知,并得到可采取行动的响应步骤和建议,以便进行进一步调查和高级取证。 如果是误报,则警报关闭,只增加调查记录,不会通知客户。(处理)
可能有人要问了,EDR到底能检测到哪些威胁呢?是不是全部都依赖于现有的库或者说字典呢?其实有一部分确实是这样的,下面让我们来了解一下EDR到底能检测出哪些安全威胁?
EDR 保护用户免受无文件型的恶意软件,恶意脚本,或被窃取的用户凭证的攻击。 它被设计用来跟踪攻击者使用的技术、策略和过程。 但是它还有更深的含义。 它不仅可以了解攻击者如何侵入你的网络,还可以检测他们的活动路径: 他们如何了解你的网络,如何转移到其他机器上,并试图在攻击中实现他们的目标。 你可以避免以下情况:
(1)恶意软件(犯罪软件、勒索软件等)
(2)无文件型攻击
(3)滥用合法应用程序
(4)可疑的用户活动和行为
对于恶意脚本、恶意软件等这些相对常见的威胁,EDR有自己的威胁病毒库,通过一些列的比对进行评判,而对于其他的方式的威胁检测后面我们还会详细说到。
EDR的主要技术有一下几个方面:
1、 智能沙箱技术:
沙箱技术目前已经很常见了,对于威胁检测能力的都是自带的,最常见的就是蜜罐,是一个非常典型的沙箱技术。针对可疑代码进行动态行为分析,通过模拟各类虚拟资源,创建严格受控和高度隔离的程序运行环境,运行并提取可疑代码运行过程中的行为信息,实现对未知恶意代码的快速识别。这就是沙箱的主要功能。
2、 机器学习技术:
是一门多学科交叉知识,是人工智能领域的核心,专门研究计算机如何模拟实现人类的学习行为,通过获取新的技能知识重组已有的知识体系,并不断完善自身性能。在大规模数掘处理中,可以自动分析获得规律,然后利用这些规律预测未知的数据。
其实机器学习涉及比较核心的就是算法,算法的建设和优化相对来说还是比较难得(像我这种没有数学脑子的人就不说了,丢人。。。。)。
3、 大数据关联分析技术:
大数据关联分析的主要目标是不丢失终端安全相关的重要信息,并通过分析原始终端安全数据而形成全局、缜密、连贯的攻击视图。
4、 攻击场景重构:
通过对攻击者一次完整的攻击行为所采用的攻击步骤进行关联分析,根据检测到攻击发生的时间序列,将该次完整的攻击的每一步攻击步骤以图形的形式重新表示出来,称为攻击场景的重构。
在EDR中,攻击场景重构通过对关联规则及知识的形式化表述,将庞杂,无序的安全数据流转换为结构化、易于理解的攻击场景,将反映攻击过程和意图的场景图呈现出来,发现攻击者的攻击策略和目的,甚至推测漏报的告警和预测下一步可能的攻击行为,以协助管理人员获取更有价值的网络安全信息。
5、 数字取证技术:
数字取证是指对具有足够可靠和有说服力的,存在于计算机、网络、电子设备等数字设备中的数字证据,进行确认、保护、提取和归档的过程。在EDR中,数字取证要克服云计算环境取证、智能终端取证、大数据取证等关键技术,自动定位和采集端点人侵电子证据,降低取证分析的技术门槛,提高取证效率及其分析结果的准确性,为端点安全事件调查、打击网络犯罪提供技术支持。
以上就是讲的EDR除了在发现威胁时比对自己的威胁库之外的威胁感知技术。多种技术基于一生,可见EDR是多么的强大(这里虚一下。。。)。
所以,如果你所在的企业内部在终端这块使用了EDR技术的话,那么你就要小心了,别在终端上做一些小动作,很容易被监控。(好了,上半部分就先聊到这里,下周再探讨探讨DLP和ivante(这个估计很多人不太了解是啥吧?如果了解可以现在评论区说说))。
