杰思安全EDR带你探寻“异常行为”

       ●漏洞补丁更新不及时：当微软在发布Windows漏洞补丁后，总会有很多用户更新不及时，而攻击者就是利用这段时间差来对尚未更新的用户进行漏洞扫描进而进行攻击。

       ●对勒索软件的检测效果不明显：特征库对勒索软件的检测效果不明显，攻击者利用脚本工具对勒索软件进行变更成为更多新的勒索软件，而特征库对此束手无策。

       ●虚拟机安全问题：在政企云环境下，部署虚拟机之后，在不同的服务器内部也可以调用相同的业务系统，虚拟机分配管理上的混乱给企业各业务系统带来较大风险。现在的云IDC中，往往并非单纯的云架构而是混合形态，例如有物理服务器还有各种品牌的虚拟机，这就需要有许多不同的安全管理体系，导致了安全管理的混乱。

       国内对终端安全的定义主要是PC端，一般所讲的终端实际上在国外叫做Endpoint（端点），就是服务器、虚拟机、PC机甚至是移动终端，统称为端点。这是和我们的IT应用环境相关的，以前说的应用基本上就是PC到服务器，但是现在在企业管理中应用的类型已经远远不止于此。杰思做的就是端点领域的安全。

       在过去十多年之前，端点安全仅仅指的是杀毒软件一种产品，从大的范畴讲有两种产品形态，在端点是杀毒软件，在网络边界侧则是防火墙。在业内主要的厂商产品基本上就是沿着这两条线来发展的。因此过去的终端安全主要是依靠杀毒软件，当然也有一些准入产品。如今像杀毒软件、防火墙这类的产品在实现形式上似乎有些落伍。例如杀毒软件往往依赖于病毒库，这就意味着厂商需要不断地去扩展和更新自己的病毒库，这在机制上讲其实是被动的，只有企业受到攻击后才能感知和捕获，并将其特征放到病毒库中，然后升级到杀毒软件中并应用到用户。但是像利用恶意软件的变种、脚本化工具将恶意软件加壳使其随机产生新的恶意软件等具有针对性的攻击是无法有效的防御的。随着“互联网+”的推进，将会有更多的设备接入互联网，同时也意味着将有更多的开放的入口成为攻击者攻击的目标。

       现在的防火墙和杀毒软件基于各种各样的“库”的建设，像病毒库、应用程序的库等等，但随着库的不断建设，其规模也越来越臃肿，效率也将变得非常低下，并且其对防范未知威胁方面却不尽如人意。

       但一系列的问题对杰思安全来说则意味着机会。“尤其对于终端安全来说，市场是非常的广阔的”，杰思安全CEO蒋波表示。

       杰思安全的与众不同之处在于利用新技术解决未知威胁的能力。其实这些新技术在国外是较为成熟的了，但在国内应用的并不多，即“端点检测与响应（EDR）”，要想解决端点的安全就需要对端点进行持续的检测，发现异常行为并进行实时地干预。若要“看到”未知威胁是非常有难度的，其关键就是检测异常行为。

异常行为的检测

       在端点侧检测异常行为方面，杰思安全在技术上已经积累了很多年了，如何实现对异常行为的检测？在业内一种方法是模拟黑客行为进行攻防演练，进而建立基线（baseline）；另一种方法是预测攻击思路和行为。但这些方法效果往往不理想，因为总会“百密一疏”，这并不能防范针对性攻击。

       杰思安全并没有采取这些方式，也未做流量侧产品，而采取了应用程序对操作系统的内核调用。流量侧的检测实现简单，但仍存在很多问题，如流量在加密后无法检测，有些威胁并未选择从流量侧攻击，且精准度差。因为不管是合法程序还是恶意攻击往往都会通过此方式运行，通过梳理合法程序对操作系统的内核调用所进行的正常行为，而超出此类行为的将被认定为恶意行为，这样就实现了对异常行为的检测，这是“单机层面的纵向判断异常”。另外，在对服务器的渗透攻击时，可采取“多机层面的横向对比”，当出现对某台服务器的渗透攻击时，必然会出现相对于其他服务器的某些异常，这时即可实时检测到这种异常行为。这两种机制的检测方式相结合，可有效做到实时检测异常行为。

       这两种机制是杰思安全的核心检测机制，当然还包括其他辅助方式，如沙箱、人工辅助判断等，这样就最大限度的发挥了检测的高效性。EDR基于应用程序对操作系统调用行为分析的机制检测和防护未知威胁，通过机器学习和人工智能辅助判断，有效解决了传统安全网关和杀毒软件无法解决的未知威胁问题。

       传统的安全产品并不适合在虚拟化环境中采用,而EDR产品弥补了虚拟化环境安全产品的空白：不依赖于传统静态特征防护机制，能实现未知威胁的秒级检测与响应。

       产品的实现机制上包括控制台和服务器PC侧的探针。探针的优点是其本身所占用内存很小，同等环境下其CPU占用仅1%左右。探针在后台静默监测系统内核和用户态的各种活动（包括文件、进程、存储、注册表、网络等），不会打扰用户正常工作。客户交付则主要以私有云交付为主，控制台可以远程批量的将软件探针推送到需要管理的PC、服务器或虚拟机等环境，其可支持Windows、Linux等操作系统。由于操作系统版本会不定期进行更新，其对系统内核调用也会发生改变，因此这就要求从技术上要持续不断的跟进。其在不同品牌的虚拟机中都能够做到统一安全管理。

       杰思安全的核心检测机制本身的技术难度还是很高的，其探针的特点是能够做到对正在运行的操作系统动态地注入和动态的撤销，也即“热干预”，而不会引起服务器的重启，保证了业务的正常运转。很多技术在向运行的服务器系统注入或撤销探针后会引起系统的重启，这无疑影响了用户业务的进行。

杰思安全

       北京杰思安全科技有限公司，中国自主品牌的信息安全产品及方案供应商，成立于2015年，总部位于北京。自创立以来，以“构建可信互联世界”为使命，专注于企业级市场的创新型可信网络与高级威胁防护解决方案研发，持续为企业客户解决网络与信息安全防护难题。

       2016年，公司在业内率先发布“猎鹰新一代高级威胁防护系统”，这也是中国首个成熟应用终端检测和响应(EDR)创新技术的高级威胁防护系统。得益于领先的技术架构和多年的安全产品研发经验，杰思猎鹰新一代高级威胁防护系统在未知威胁发现实时性、准确性和防护能力等方面都居于业界领先水平，是高级威胁防护市场的领导产品。 目前，杰思猎鹰新一代高级威胁防护系统已广泛应用于政府、公安、金融、运营商、证券、互联网、医疗、军队、大型企业等，防护服务器和PC终端数万台。公司与国家互联网应急中心、工信部电信研究院等权威机构，针对未知威胁防护、威胁态势感知和管理、网络设备安全管控等前沿信息安全标准和产业化工作已展开深入合作。 

标签： idc linux 安全 标准 防火墙 服务器 服务器系统 工信部 互联网 脚本 金融 漏洞 企业 网络 问题 信息安全 选择 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。