終端威脅檢測與響應(yīng)技術(shù)研究及發(fā)展研判

0引言近年來網(wǎng)絡(luò)安全事件頻發(fā)，從“震網(wǎng)”病毒事件到烏克蘭“電力門事件”，從棱鏡門事件到勒索病毒事件，以及針對我國的“蔓靈化”事件、“海連花”事件、“藍(lán)寶菇”事件等，這些安全事件歸納起來，均具備如下三方面特點(diǎn)。首先，都發(fā)生在終端設(shè)備上，攻擊的主要對象是各類計(jì)算實(shí)施設(shè)備，通過攻擊各類終端設(shè)備，實(shí)現(xiàn)數(shù)據(jù)竊取、系統(tǒng)破壞、錢財(cái)勒索等目的。其次，對傳統(tǒng)的攻擊而言，這些攻擊過程更具隱蔽性，攻擊目標(biāo)也更有針對性。攻擊者在發(fā)起攻擊之前，往往會(huì)進(jìn)行潛伏、偵查、分析、武器化、傳輸、漏洞利用、滲透、攻擊、隱蔽等步驟，攻擊步驟經(jīng)過精心策劃和縝密設(shè)計(jì)。最后，這些攻擊大多會(huì)利用操作系統(tǒng)上未公開的漏洞，傳統(tǒng)的終端安全防護(hù)軟件（EPP軟件），大多基于已有經(jīng)驗(yàn)或者已知特征進(jìn)行被動(dòng)式防御，在面臨通過0day漏洞發(fā)起的攻擊時(shí)，顯得無能為力。面對攻擊手段出現(xiàn)的這些新變化，以及操作系統(tǒng)層出不窮的未知安全漏洞，終端安全亟需打破傳統(tǒng)的防御思路，破解被動(dòng)挨打的局面，從技術(shù)上主動(dòng)發(fā)現(xiàn)、識別各類已知和未知安全威脅，及時(shí)阻斷網(wǎng)絡(luò)入侵行為，同時(shí)能夠提供一種安全防護(hù)托底的手段，在安全事件發(fā)生后，對安全事件進(jìn)行取證分析和追蹤溯源。1EDR概述1.1EDR的定義終端威脅檢測與響應(yīng)技術(shù)（Endpoint

DetetionAndResponse，EDR）是一種新型的、智能化和快速迅捷的主動(dòng)防御技術(shù)，該技術(shù)遵循Gartner“預(yù)測、防護(hù)、檢測和響應(yīng)”的技術(shù)體系，作用貫穿安全事件發(fā)生的全過程。EDR實(shí)時(shí)監(jiān)測終端上發(fā)生的各類行為，采集終端運(yùn)行狀態(tài)，在后端通過大數(shù)據(jù)安全分析、機(jī)器學(xué)習(xí)、沙箱分析、行為分析、機(jī)器學(xué)習(xí)等技術(shù)，提供深度持續(xù)監(jiān)控、威脅檢測、高級威脅分析、調(diào)查取證、事件響應(yīng)處置、追蹤溯源等功能，可第一時(shí)間檢測并發(fā)現(xiàn)惡意活動(dòng)，包括已知和未知威脅，并快速智能地做出響應(yīng)，全面賦予終端主動(dòng)、積極的安全防御能力。同時(shí)，EDR技術(shù)還能與SIEM、SOC、態(tài)勢感知類產(chǎn)品進(jìn)行融合，為構(gòu)建“網(wǎng)”“端”“云”融合的大安全防護(hù)體系提供數(shù)據(jù)和技術(shù)支撐。Gartner在2013年首次提出終端威脅檢測與響應(yīng)的概念之后，立即引起了安全界的廣泛關(guān)注，之后在2016年到2019年連續(xù)進(jìn)入Gartner的10大技術(shù)之列。根據(jù)Gartner等國外著名咨詢機(jī)構(gòu)的統(tǒng)計(jì)數(shù)據(jù)顯示，2015年至2019年間，EDR市場的年復(fù)合增長率保持在40%以上，預(yù)計(jì)并在2020年突破10億美元大關(guān)。國內(nèi)外的安全公司（尤其是綜合性的大公司）也都紛紛布局終端威脅檢測與響應(yīng)產(chǎn)品，國內(nèi)有深信服的終端檢測響應(yīng)平臺EDR、天融信的TopEDR、奇安信的天擎，國外有Comodo的ComodoAdvancedEndpointProtection（AEP）、卡巴斯基的Kaspersky

Endpoint

DetetionAndResponse（KEDR）、CrowdStrike的FalconHost等。1.2安全模型Gartner在2017年發(fā)布的《應(yīng)用保護(hù)市場指南》中首次提出了PPDR的安全防御模型[3]，即由預(yù)測（Predict）、防護(hù)（Prevent），檢測（Detect）、響應(yīng)（Response）四個(gè)階段組成的自適應(yīng)安全防御模型[2]。而EDR技術(shù)與此防御模型的四個(gè)階段完全吻合，功能上完全覆蓋，如圖1所示。圖1EDR安全防模型預(yù)測：EDR實(shí)時(shí)采集終端的運(yùn)行數(shù)據(jù)，提取終端的運(yùn)行狀態(tài)和行為動(dòng)作，通過后端數(shù)據(jù)分析，主動(dòng)發(fā)現(xiàn)和識別終端上存在的安全隱患和風(fēng)險(xiǎn)，對終端可能遭受的網(wǎng)絡(luò)攻擊進(jìn)行預(yù)測。防護(hù)：EDR通過不斷的終端行為學(xué)習(xí)，形成基于終端的行為模型，在終端遭受網(wǎng)絡(luò)攻擊時(shí)，EDR通過行為模式識別和規(guī)則匹配，能夠及時(shí)發(fā)現(xiàn)和阻斷攻擊行為，對終端能夠起到實(shí)時(shí)地防護(hù)作用。當(dāng)年裝了EDR產(chǎn)品的終端，能夠免受“永恒之藍(lán)”病毒的攻擊就是EDR防護(hù)能力的印證。檢測：EDR能夠?qū)崟r(shí)檢測終端的運(yùn)行狀態(tài)，核查終端存在的風(fēng)險(xiǎn)點(diǎn)和不符合規(guī)定項(xiàng)，如開啟的威脅服務(wù)、開放的網(wǎng)絡(luò)端口、存在的系統(tǒng)賬戶，關(guān)鍵文件的異常操作、系統(tǒng)安全策略設(shè)置等，并提供修復(fù)和整改措施，通過持續(xù)的檢測和修復(fù)，不斷降低終端安全風(fēng)險(xiǎn)，提升網(wǎng)絡(luò)攻擊門檻。響應(yīng)：在安全事件發(fā)生后，EDR能夠及時(shí)清除攻擊代碼，修復(fù)漏洞或關(guān)閉服務(wù)，防止再被攻擊。依托后端數(shù)據(jù)分析，實(shí)現(xiàn)攻擊過程的溯源追蹤，將攻擊發(fā)生的時(shí)間、地點(diǎn)、進(jìn)程、文件、注冊表、服務(wù)、網(wǎng)絡(luò)端口等進(jìn)行關(guān)聯(lián)分析，還原整個(gè)攻擊過程，同時(shí)提取攻擊特征，實(shí)現(xiàn)攻擊二次抑制。1.3工作原理終端威脅檢測與響應(yīng)的原理架構(gòu)如圖2所示，包括四部分，分別是防護(hù)代理、管理平臺、分析中心和安全態(tài)勢，各部分的功能和作用如下：防護(hù)代理：防護(hù)代理運(yùn)行在終端設(shè)備上，對終端的安全狀態(tài)進(jìn)行安全評估和核查，實(shí)時(shí)監(jiān)控操作系統(tǒng)上發(fā)生的各類行為，采集并上報(bào)運(yùn)行數(shù)據(jù)，提取可疑樣本到管理平臺分析，同時(shí)在發(fā)現(xiàn)安全威脅時(shí)，能夠自動(dòng)響應(yīng)處置。管理平臺：基于大數(shù)據(jù)平臺進(jìn)行安裝部署，是EDR的核心部位，其作用是管理、存儲(chǔ)和分發(fā)整個(gè)系統(tǒng)的安全策略，監(jiān)視防護(hù)代理的運(yùn)行狀態(tài)，對防護(hù)代理采集的數(shù)據(jù)進(jìn)行威脅分析，感知和發(fā)現(xiàn)入侵行為，提取入侵攻擊的行為特征，對入侵者進(jìn)行畫像，并對入侵攻擊行為發(fā)起應(yīng)急響應(yīng)處理等。分析平臺：分析平臺向管理平臺提供分析服務(wù)，通過對樣本進(jìn)行黑白名單查詢、病毒引擎檢測、智能沙箱分析、威脅情報(bào)分析和專家系統(tǒng)分析后，識別出惡意樣本文件，并將識別結(jié)果反饋給管理平臺，實(shí)現(xiàn)惡意代碼二次攻擊抑制。安全態(tài)勢：對EDR采集的安全狀態(tài)數(shù)據(jù)、告警日志數(shù)據(jù)、安全事件信息、任務(wù)處置情況進(jìn)行融合處理、過濾、分析、整編，以GIS、圖表等可視化方式展示攻擊源、攻擊過程、統(tǒng)計(jì)排名等態(tài)勢數(shù)據(jù)，為應(yīng)急處置提供決策依據(jù)，是EDR宏觀掌握終端整體安全狀態(tài)的重要抓手。圖2EDR工作原理2關(guān)鍵技術(shù)分析EDR不僅僅是一種技術(shù)，更是終端安全防御的一種思想。為了將這種思想轉(zhuǎn)為具體的產(chǎn)品，需融合多種關(guān)鍵技術(shù)，包括終端安全防護(hù)技術(shù)、數(shù)據(jù)采集技術(shù)、大數(shù)據(jù)分析技術(shù)、威脅情報(bào)技術(shù)、安全取證技術(shù)等[3]，通過對這些技術(shù)的有效組合和合理運(yùn)用，實(shí)現(xiàn)終端的安全威脅檢測與響應(yīng)。2.1終端安全防護(hù)技術(shù)EDR解決的是終端安全問題，那么EDR首先需要的就是終端安全防護(hù)技術(shù)，包括終端基線核查、補(bǔ)丁加固、創(chuàng)新微隔離、行為監(jiān)視、終端管理、策略分發(fā)、樣本提取等都屬于終端安全防護(hù)的技術(shù)范疇，同樣地EDR也需要考慮操作系統(tǒng)、硬件平臺、應(yīng)用系統(tǒng)的兼容問題等。終端安全防護(hù)技術(shù)是EDR的基本基礎(chǔ)，要進(jìn)行威脅分析和響應(yīng)處置，首先離不開終端安全防護(hù)技術(shù)的支撐。也可以說EDR是終端安全技術(shù)發(fā)展到一定階段的必然產(chǎn)物，也是EPP在發(fā)展到一定階段遇到瓶頸之后，出現(xiàn)的一種全新的思維模式和解決方案。2.2數(shù)據(jù)采集技術(shù)EDR在終端需進(jìn)行靜態(tài)和動(dòng)態(tài)數(shù)據(jù)采集，靜態(tài)數(shù)據(jù)采集部分包括采集操作系統(tǒng)運(yùn)行的當(dāng)前狀態(tài)，如資產(chǎn)信息、服務(wù)、端口、進(jìn)程、線程、漏洞等。動(dòng)態(tài)信息包括操作系統(tǒng)上發(fā)生的各類行為操作，如賬戶創(chuàng)建、網(wǎng)絡(luò)訪問、數(shù)據(jù)發(fā)送、文件操作等，記錄并采集動(dòng)作關(guān)聯(lián)的進(jìn)程、目標(biāo)文件、動(dòng)作結(jié)果、網(wǎng)絡(luò)數(shù)據(jù)等。數(shù)據(jù)采集是EDR進(jìn)行威脅預(yù)測和安全分析的前提和基礎(chǔ)，也是EDR區(qū)別于EPP的重要特征之一。數(shù)據(jù)采集并沒有統(tǒng)一的標(biāo)準(zhǔn)，各廠家對數(shù)據(jù)采集的定義也不盡相同，對數(shù)據(jù)種類、數(shù)據(jù)屬性、數(shù)據(jù)描述都需以數(shù)據(jù)分析為牽引，為數(shù)據(jù)分析服務(wù)。雖然數(shù)據(jù)采集標(biāo)準(zhǔn)不統(tǒng)一，但通常各廠家進(jìn)行數(shù)據(jù)采集時(shí)會(huì)參考威脅情報(bào)的數(shù)據(jù)定義標(biāo)準(zhǔn)，如Stix、TaxII、CybOX、OpenIOC等[4]。2.3大數(shù)據(jù)分析技術(shù)EDR區(qū)別于EPP的另一個(gè)重要的特征就在于EDR具有大數(shù)據(jù)分析的能力，EDR能夠?qū)⒔K端采集的各類異構(gòu)數(shù)據(jù)進(jìn)行集中存儲(chǔ)和數(shù)據(jù)分析，通過深度學(xué)習(xí)、強(qiáng)度學(xué)習(xí)、關(guān)聯(lián)分析、聚類分析等，發(fā)現(xiàn)和識別出終端上隱藏的安全威脅，挖掘出已淪陷的終端主機(jī)，發(fā)現(xiàn)不滿足安全要求和不符合安全規(guī)定的終端。EDR能夠?qū)篃o文件攻擊、0day漏洞攻擊和APT攻擊的一種重要原因就在于其能夠利用大數(shù)據(jù)分析技術(shù)，對網(wǎng)絡(luò)攻擊各個(gè)環(huán)節(jié)的動(dòng)作和產(chǎn)生的數(shù)據(jù)進(jìn)行長期持續(xù)地分析，能夠在沒有規(guī)則和先驗(yàn)知識的情況下，識別中網(wǎng)絡(luò)中存在的威脅。2.4威脅情報(bào)技術(shù)威脅情報(bào)技術(shù)是EDR能夠快速、準(zhǔn)確識別高級威脅和未知威脅的重要基礎(chǔ)和前提。威脅情報(bào)能為EDR提供海量的內(nèi)外部威脅數(shù)據(jù)、惡意樣本數(shù)據(jù)、攻擊特征數(shù)據(jù)、黑客組織畫像信息等關(guān)鍵數(shù)據(jù)，幫助對網(wǎng)絡(luò)攻擊進(jìn)行綜合研判，對樣本進(jìn)行識別、識別攻擊家族等。通過多源情報(bào)關(guān)聯(lián)信息，對攻擊者進(jìn)行追蹤溯源，挖掘攻擊者發(fā)起攻擊的動(dòng)機(jī)，同時(shí)基于威脅情報(bào)數(shù)據(jù)以及大數(shù)據(jù)分析，EDR還能高效地檢測未知攻擊，實(shí)現(xiàn)對未知攻擊類型的防御。此外，EDR本身具有威脅捕獲功能，EDR在識別和發(fā)現(xiàn)威脅后，通過逆向樣本文件，提取威脅特征，又能生產(chǎn)威脅情報(bào)數(shù)據(jù)，為威脅情報(bào)的其他應(yīng)用場景（如NDR、SIEM、SOC或者態(tài)勢感知）提供支撐。2.5安全取證技術(shù)在安全事件發(fā)生后，為了能夠追查攻擊行為，重放攻擊過程，對攻擊事件進(jìn)行追蹤和溯源，需要使用安全取證技術(shù)對攻擊發(fā)生前、發(fā)生時(shí)和發(fā)生后的終端運(yùn)行狀態(tài)進(jìn)行取證，在安全取證過程中難點(diǎn)是要保證取證數(shù)據(jù)的相關(guān)性、真實(shí)性和完整性。3EDR發(fā)展趨勢研判3.1EDR和EPP的融合不管是EPP還是EDR，都涉及大量操作系統(tǒng)底層技術(shù)，安裝不同廠家的EPP和EDR產(chǎn)品，容易產(chǎn)生兼容性問題，同時(shí)也會(huì)給用戶增加管理運(yùn)維難度?；诖耍鏕artner在EDR技術(shù)架構(gòu)解析中指出，傳統(tǒng)的EPP解決方案與當(dāng)前的EDR解決方案，將是一個(gè)互相融合的趨勢。將EPP和EDR進(jìn)行融合，打造終端的一體化解決方案，不僅能夠節(jié)約管理和運(yùn)維成本，防止不兼容性現(xiàn)象，提升用戶體驗(yàn)，更重要的是能夠?qū)崿F(xiàn)EDR和EPP的聯(lián)動(dòng)，如EDR為EPP的防護(hù)策略提供依據(jù)和來源，EPP為EDR提供更全面、更有效的安全響應(yīng)措施。EPP和EDR的集成和融合，能夠達(dá)到1+1＞2的效果。3.2向物聯(lián)網(wǎng)滲透隨著5G、IoT、云計(jì)算和大數(shù)據(jù)等新興技術(shù)的不斷發(fā)展，未來萬物互聯(lián)是必然趨勢。對于接入網(wǎng)絡(luò)相互連接的任意終端設(shè)備，都有被防護(hù)的需求，物聯(lián)網(wǎng)的安全防護(hù)能力呈現(xiàn)“木桶效益”原理，任意一個(gè)物聯(lián)網(wǎng)終端自身的漏洞都可能影響全局安全。EDR作為終端安全的重要解決方案，其作用對象不僅僅包括是主機(jī)、服務(wù)器、云終端、虛擬機(jī)等，還需要包括嵌入式設(shè)備、移動(dòng)終端、智能終端、工控設(shè)備、BYOD設(shè)備等各種物聯(lián)網(wǎng)終端形態(tài)[5]。EDR管理終端的類型越多、數(shù)量越多，其作用的范圍就越廣，收據(jù)收集越全，分析和檢測能力也就越強(qiáng)。EDR對物聯(lián)網(wǎng)的滲透既是EDR自身發(fā)展的需要，也是物聯(lián)網(wǎng)安全發(fā)展的需求。3.3國產(chǎn)平臺安全加強(qiáng)網(wǎng)絡(luò)信息技術(shù)自主創(chuàng)新已經(jīng)作為網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略的首要任務(wù)，掌握前沿核心關(guān)鍵技術(shù)，加快推進(jìn)國產(chǎn)自主可控替代計(jì)劃，構(gòu)建安全可控的信息技術(shù)體系已成為國家基本戰(zhàn)略。未來的國內(nèi)市場，尤其是企業(yè)、政府、軍隊(duì)等ToB和ToG市場，構(gòu)建完全自主可控的軟硬件終端生態(tài)環(huán)境將是必然趨勢，EDR也就向全面兼容和支持國產(chǎn)平臺方向發(fā)展，而目前國內(nèi)主流的EDR廠商均不同程度地支持國產(chǎn)軟硬件平臺。由于國產(chǎn)軟硬件平臺太多、太繁雜（操作系統(tǒng)就包括中標(biāo)麒麟、銀河麒麟、湖南起來、深度形態(tài)等，處理器平臺包括龍芯、飛騰、申威、海光等），而EDR作用于操作系統(tǒng)層面，與操作系統(tǒng)內(nèi)核和處理器架構(gòu)存在強(qiáng)關(guān)聯(lián)關(guān)系，所以EDR在國產(chǎn)化適配的道路上會(huì)走的比較艱難且漫長。3.4云和服務(wù)器安全由于個(gè)人計(jì)算終端在數(shù)據(jù)安全性、管理難度、靈活性和資源利用度等方面所表現(xiàn)出的劣勢，越來越多的企業(yè)將會(huì)選擇云上解決方案[7]，計(jì)算終端的云化部署也將是一大趨勢，EDR也將會(huì)更多地與云計(jì)算技術(shù)相融合，實(shí)現(xiàn)對云終端的威脅監(jiān)測與響應(yīng)。不同于物理計(jì)算終端，EDR在云終端上，通常會(huì)采用云工作負(fù)載安全平臺（CWPP:CloudWorkloadProtectionPlatfomrs）方案，使用輕量級代理，減輕對云主機(jī)性能影響,同時(shí)EDR還會(huì)與云平臺聯(lián)動(dòng)，實(shí)現(xiàn)東西向流量監(jiān)測、網(wǎng)絡(luò)入侵檢測與防御、創(chuàng)新微隔離等功能。目前國際上的Crowdstrike、Sophos等