数字化转型危机四伏
安全建设仍是“孤岛”
数字化转型,是企业增长的催化剂,却也成为安全防线的新挑战。
高级持续性威胁、供应链攻击、勒索软件……这些隐匿的网络猎手,在数字暗夜中悄然逼近,对业务设施构成无声且致命的威胁。仅过去的一年内,APT攻击数量就激增了150%,而传统孤立的安全措施对此类高级威胁的检测率却低得惊人,仅为30%。这一严峻现实迫使安全厂商开始重视并推动产品间的联动解决方案,以期构建起更为坚固的安全防线。
产品联动是化解防护孤岛危机的强效解决方案,但传统的网端联动往往效果不佳,急需革新。
在真实的安全运营场景中,当攻击者通过免杀技术或白利用的手段获取到终端的控制权,在外联的时候被态势感知或者流量检测类的设备发现时,将告警同步到端侧,由端进行无差别的全盘查杀。
结果却是在端侧即使发现威胁,也难以与网络侧的告警准确对应;或者是已经被查杀的文件反复出现,无法根治,形成告警轰炸。系列问题导致安全团队疲惫不堪,最后只能冒着风险扩散去选择性忽略或者暴力隔离后重装系统。
理论而言,网端联动可实现风险提前预警以及实时联动查杀处置。但是使用起来却总是发现网络侧的告警下发到终端防护平台后,经常查不到、查不准、查不全、查不尽,让网络侧的告警成为了悬而未决的难题,也让所谓网端联动处置变成了一个“食之无味,弃之可惜”的鸡肋功能。
突破联动桎梏
安恒EDR全新版本,
四大革新开启网端联动新纪元
面对传统联动的局限,安恒EDR从攻击者的视角代入实网攻防的场景重新思考了产品联动的本质:攻击者的行为远不止风险实体文件落地,还包括恶意进程创建、注册表、计划任务等位置修改,以实现隐蔽化和持久化。而传统的基于特征匹配及被动防御的终端产品在这些行为面前显得力不从心,因为被动以及攻击过程的不可见导致安全产品之间没有足够的信息去进行有效对话,只能“盲猜”,无法进行有效联动。
因此,真正的联动闭环需要充分发挥终端是“安全最后一公里”的关键作用,实现对攻击行为的精准定位和快速响应。
革新第一步
终端数据全量采集,关联分析精准定位威胁
安恒EDR终端产品抛开了传统被动式终端防护软件的无差别检测逻辑,转而采用基于终端行为的全量采集记录和关联分析能力。EDR和安恒AiLPHA态势感知平台(以下简称AiLPHA平台)的联动后,Ailpha结合网端数据,将安全日志聚合为安全事件,可针对终端行为事件进行调查取证和溯源。在攻击者成功渗透终端并尝试建立外联通信时,EDR和AiLPHA的联动能力能够迅速响应,帮助安全运营人员在端侧快速定位威胁实体,并及时采取清除措施,有效遏制威胁的扩散。
革新第二步
从源头上根除威胁,终结威胁复发
网络侧相同的告警反复出现,本质是因为没对风险进行根除。通过联动,平台侧及网络层设备将风险域名信息、网络 2/3/4/5组信息同步给安恒EDR,由 EDR直接追溯到发起外联的恶意进程及相关进程链。利用域名拦截、网络封停、进程阻断等响应功能,快速阻断进程的C2外联和横向扩散。同时进一步通过高细粒度终端响应处置功能,彻底删除恶意程序及其计划任务及注册表后门驻留项,确保事件闭环不复发。
革新第三步
自动化响应,遏制威胁扩散
针对深夜时段、无人值守时的场景,EDR支持联动 SOAR 通过预制的剧本进行自动化数据举证和响应处置,遏制威胁的扩散,实现终端安全问题的快速协同闭环,最大程度上减少威胁的响应时间,也增强了企业在非工作时间的自我保护能力。
革新第四步
深度威胁挖掘,领先于威胁一步
仅仅在攻击发生后才作出反应是远远不够的。面对像勒索软件及APT威胁这样的多阶段攻击,关键在于主动发现并识别正在进行的攻击行为,并在攻击完全展开之前采取果断措施来阻止它。
EDR采集了全量终端行为及原始日志数据,联动安恒信息AiLPHA产品大数据关联分析及处理能力,通过场景化的建模分析,对海量终端原始日志数据进行深度剖析,揭示隐藏的攻击模式与异常行为。
这种深度威胁挖掘能力,结合EDR的实时监控,为安全防护装上了“先知之眼”,提前预警潜在威胁,真正实现从被动防御到主动防护的转变。
真实案例
以某金融机构的一次真实网络安全攻防演习为例。当攻击者(红队)试图通过内网渗透,利用免杀技术绕过传统防护时,通过EDR与AiLPHA的联动迅速且精准的发现了异常网络回连行为,并使用SOAR自动化剧本,迅速且精准的定位到主机威胁实体,一键隔离攻击源、阻断攻击链、铲除威胁根因。从检测到响应处置,整个过程仅用了8分钟。
在数字化转型的浪潮中,单一安全产品已不足以应对日益复杂的威胁。通过整合EDR终端产品与AiLpha、SOAR、APT等多款产品的联动,企业不仅能够实现对威胁的深度挖掘和快速响应,还能够构建起一个全面、立体的威胁视图,大幅提升威胁检出率,降低误报率。这种全新的联动模式,将为企业带来前所未有的安全防护能力,终结传统EDR联动“无效”困境,迎接数字化时代的安全挑战。
此外,除了网端联动,我们还需要更大层面上产品联动去解决更加复杂的安全问题,而在产品联动之中,EDR产品是保障端侧安全的根本,是风险数据来源和威胁处置的抓手。若无EDR,联动便成为无本之木,无根之水,终将枯萎、干涸。