“異常行為”如何尋？EDR“顯神威”

企業(yè)級(jí)用戶運(yùn)維管理中普遍的安全隱患有：

·漏洞補(bǔ)丁更新不及時(shí)：當(dāng)微軟發(fā)布Windows漏洞補(bǔ)丁后，總會(huì)有用戶更新不及時(shí)，而攻擊者即利用這段時(shí)間差來對(duì)尚未更新的用戶進(jìn)行漏洞掃描進(jìn)而進(jìn)行攻擊。

·對(duì)勒索軟件檢測(cè)效果不明顯：特征庫對(duì)勒索軟件的檢測(cè)效果不明顯，攻擊者利用腳本工具對(duì)勒索軟件進(jìn)行變更成為更多新的勒索軟件，而特征庫對(duì)此束手無策。

·虛擬機(jī)安全問題：在政企云環(huán)境下，部署虛擬機(jī)后，在不同的服務(wù)器內(nèi)部也可以調(diào)用相同的業(yè)務(wù)系統(tǒng)，虛擬機(jī)分配管理上的混亂給企業(yè)各業(yè)務(wù)系統(tǒng)帶來較大風(fēng)險(xiǎn)?，F(xiàn)在的云IDC中，往往并非單純的云架構(gòu)而是混合形態(tài)。這就需要有許多不同的安全管理體系，導(dǎo)致了安全管理的混亂。

在過去十多年里，端點(diǎn)安全僅僅指的是殺毒軟件一種產(chǎn)品，從大的范疇講有兩種產(chǎn)品形態(tài)，在端點(diǎn)是殺毒軟件，在網(wǎng)絡(luò)邊界側(cè)則是防火墻。業(yè)內(nèi)主要的廠商產(chǎn)品基本上都是沿著這兩條線來發(fā)展的。因此過去的終端安全主要是依靠殺毒軟件，當(dāng)然也有一些準(zhǔn)入產(chǎn)品。如今像殺毒軟件、防火墻這類的產(chǎn)品在實(shí)現(xiàn)形式上似乎有些落伍。例如殺毒軟件往往依賴于病毒庫，這就意味著廠商需要不斷地去擴(kuò)展和更新自己的病毒庫。這在機(jī)制上講其實(shí)是被動(dòng)的，只有企業(yè)受到攻擊后才能感知和捕獲，并將其特征放到病毒庫中，然后升級(jí)到殺毒軟件中并應(yīng)用到用戶。但是對(duì)于像利用惡意軟件的變種、腳本化工具將惡意軟件加殼使其隨機(jī)產(chǎn)生新的惡意軟件等具有針對(duì)性的攻擊，傳統(tǒng)的安全產(chǎn)品是無法有效的防御的。隨著“互聯(lián)網(wǎng)+”的推進(jìn)，將會(huì)有更多的設(shè)備接入互聯(lián)網(wǎng)。這也意味著將有更多的開放的端點(diǎn)成為攻擊者攻擊的目標(biāo)。

防火墻和殺毒軟件是基于各種“庫”的建設(shè)，像病毒庫、應(yīng)用程序庫等等。隨著庫的不斷建設(shè)，其規(guī)模也越來越臃腫，效率也變得非常低下，而其對(duì)防范未知威脅的效果并不如人意。

一系列問題對(duì)杰思安全來說則意味著機(jī)會(huì)?！皩?duì)于終端安全，市場(chǎng)是非常廣闊的”，杰思安全CEO蔣波表示。

杰思安全的與眾不同之處在于利用新技術(shù)解決未知威脅的能力，即“端點(diǎn)檢測(cè)與響應(yīng)（EDR）技術(shù)”。這些新技術(shù)在國內(nèi)真正應(yīng)用的尚不多。要想解決端點(diǎn)的安全就需要對(duì)端點(diǎn)進(jìn)行持續(xù)的檢測(cè)，發(fā)現(xiàn)異常行為并進(jìn)行實(shí)時(shí)的干預(yù)。若要“看到”未知威脅是非常有難度的，其關(guān)鍵就在于檢測(cè)異常行為。

異常行為的檢測(cè)

如何實(shí)現(xiàn)對(duì)異常行為的檢測(cè)？在業(yè)內(nèi)，一種方法是模擬黑客行為進(jìn)行攻防演練，進(jìn)而建立基線（Baseline）；另一種方法是預(yù)測(cè)攻擊思路和行為。但這些方法效果往往不理想，因?yàn)榭倳?huì)“百密一疏”，這并不能防范針對(duì)性攻擊。

杰思安全在端點(diǎn)側(cè)的異常行為檢測(cè)技術(shù)上已經(jīng)積累多年，經(jīng)深思熟慮后并沒有采取這些方式，也未做流量側(cè)產(chǎn)品，而是從應(yīng)用程序?qū)Σ僮飨到y(tǒng)的內(nèi)核調(diào)用這個(gè)方面入手進(jìn)行檢測(cè)。

流量側(cè)的檢測(cè)實(shí)現(xiàn)簡(jiǎn)單，但存在很多問題，如流量在加密后無法被檢測(cè)、有些威脅繞過流量側(cè)進(jìn)行攻擊，檢測(cè)精準(zhǔn)度差等等。

因?yàn)椴还苁呛戏ǔ绦蜻€是惡意攻擊，最終都會(huì)調(diào)用操作系統(tǒng)內(nèi)核。通過梳理合法程序?qū)Σ僮飨到y(tǒng)的內(nèi)核調(diào)用進(jìn)行的正常行為，則可以判定超出此類行為的異常行為，這樣就實(shí)現(xiàn)了對(duì)異常行為的檢測(cè)，這是“單機(jī)層面的縱向判斷異?！?。另外，在對(duì)服務(wù)器的滲透攻擊時(shí)，采取“多機(jī)層面的橫向?qū)Ρ取?，?dāng)出現(xiàn)對(duì)某臺(tái)服務(wù)器的滲透攻擊時(shí)，必然會(huì)出現(xiàn)相對(duì)于其他服務(wù)器的某些異常，這時(shí)即可實(shí)時(shí)檢測(cè)到這種異常行為。這兩種機(jī)制的檢測(cè)方式相結(jié)合，可有效做到實(shí)時(shí)檢測(cè)異常行為。

這兩種機(jī)制是杰思安全的核心檢測(cè)機(jī)制，當(dāng)然還包括其他輔助方式，如智能沙箱、人工輔助判斷等，最大程度發(fā)揮了檢測(cè)高效性。

EDR通過應(yīng)用程序?qū)Σ僮飨到y(tǒng)調(diào)用行為分析，檢測(cè)和防護(hù)未知威脅，結(jié)合機(jī)器學(xué)習(xí)和人工智能輔助判斷，有效解決了傳統(tǒng)安全網(wǎng)關(guān)和殺毒軟件無法解決的未知威脅問題。

傳統(tǒng)的安全產(chǎn)品并不適合在虛擬化環(huán)境中采用,而EDR產(chǎn)品彌補(bǔ)了虛擬化環(huán)境安全產(chǎn)品的空白：不依賴于傳統(tǒng)靜態(tài)特征防護(hù)機(jī)制，能實(shí)現(xiàn)未知威脅的秒級(jí)檢測(cè)與響應(yīng)。

杰思安全的產(chǎn)品組成包括控制臺(tái)和服務(wù)器、PC側(cè)的探針。其實(shí)現(xiàn)機(jī)制是對(duì)操作系統(tǒng)內(nèi)核調(diào)用的行為進(jìn)行分析和判定，無需掃描文件進(jìn)行比對(duì)。

這種機(jī)制的優(yōu)點(diǎn)是其占用內(nèi)存很小，同等環(huán)境下其CPU占用不到1%。探針在后臺(tái)靜默監(jiān)測(cè)系統(tǒng)內(nèi)核和用戶態(tài)的各種活動(dòng)（包括文件、進(jìn)程、存儲(chǔ)、注冊(cè)表、網(wǎng)絡(luò)等），不會(huì)打擾用戶正常工作。

客戶交付方式則主要以私有云交付為主，控制臺(tái)可以遠(yuǎn)程批量的將軟件探針推送到需要管理的PC、服務(wù)器或虛擬機(jī)等環(huán)境，其可支持Windows、Linux等多種常見的操作系統(tǒng)。

由于操作系統(tǒng)版本會(huì)不定期進(jìn)行更新，其對(duì)系統(tǒng)內(nèi)核調(diào)用也會(huì)發(fā)生改變，因此這就要求從技術(shù)上要持續(xù)不斷地跟進(jìn)。同時(shí)，這款產(chǎn)品不挑平臺(tái)，在不同品牌的虛擬機(jī)中都能夠做到統(tǒng)一安全管理。

杰思安全的核心檢測(cè)機(jī)制本身的技術(shù)難度還是很高的，其探針的特點(diǎn)是能夠做到對(duì)正在運(yùn)行的操作系統(tǒng)動(dòng)態(tài)地注入和動(dòng)態(tài)的撤銷，也即“熱干預(yù)”，而不會(huì)引起服務(wù)器的重啟，保證了業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。

很多技術(shù)在向運(yùn)行的服務(wù)器系統(tǒng)注入或撤銷探針后會(huì)引起系統(tǒng)的重啟，這無疑影響了用戶業(yè)務(wù)的進(jìn)行。