2018中国网络安全年会：安全狗CEO陈奋深度解读EDR

安全现状

国家计算机网络应急技术处理协调中心发布的《2017年中国互联网网络安全报告》中提到,从检测数据看,近年来,国家信息安全漏洞共享平台所收录的安全漏洞数量持续走高,自2013年以来,安全漏洞数量年平均增长率为21.6%,但2017年较2016年增长47.4%,达到15955个。另外,移动互联网恶意程序大量出现,2017年通过自主捕获和厂商交换获得的移动互联网恶意程序数量253万余个,同比增长23.4%,增长比率近年来最低,但仍保持高速增长趋势。

针对2017年我国互联网网络安全状况看,这份《报告》提到,我国网络空间法治进程迈入新时代,网络反诈工作正在持续推进;但钓鱼网站域名注册向境外转移,“网络武器库”泄露后风险威胁凸显,敲诈勒索和“挖矿”等牟利恶意攻击事件数量大幅增长,应用软件供应链安全问题触发连锁反应。

安全狗解读EDR

在16日上午举行的应急响应分论坛上, 安全狗创始人陈奋发表了题为《基于EDR与MDR的新一代检测和应急响应体系》的演讲,针对如何解决主机安全的新问题,通过安全狗相关云主机安全解决方案实际的案例,探讨了EDR技术的应用和服务能力,并解析MDR服务对于应急响应工作的重要性。

近几年来,新型安全威胁层出不穷:大量0day漏洞泄露,其中部分漏洞被武器化,波及大多数系统;针对特定对象的APT攻击日渐增多,防御更加困难;数字货币的兴起刺激了网络黑产的扩张,勒索和挖矿的恶意软件影响日趋扩大;黑客攻击流量加密、网络层和边界的防护失效等问题更是不一而足。

另一方面,技术的迭代发展对于安全防护也提出了更高的要求:虚拟化云计算技术的大量应用,衍生出安全运营的需求升级;所有权和控制权的变化,形成管理机制的变化,引出安全责任共担机制,运维流程的变化,安全运营由外到内,防御和检测面临着深刻的变革。

在这种新的安全形势下,采取主动防御的方式保护端点安全越来越有必要。我们需要一种新的防护方案,这种方案应该兼备实时监控、检测、高级威胁分析及响应等多种功能。因此,业界提出了一种新型的安全解决方案——EDR,即端点检测与响应。

EDR解决方案应具备四大基本功能:安全事件检测、安全事件调查、遏制安全事件,以及将端点修复至感染前的状态。EDR工具通过记录大量终端与网络事件,并将这些数据存储在终端本地或者集云端数据库中,对这些数据进行IOC比对,行为分析和机器学习,用以持续对这些数据进行分析,识别威胁,并快速进行响应。

安全狗的(云)主机安全安全解决方案吸收了EDR技术的核心优势,并结合安全狗自身的威胁情报优势和其他云安全技术的积累,为用户打造了全新的(云)主机安全解决方案。

我们在事前、事中、事后三个阶段,从资产聚合、反杀伤链、入侵响应三个维度来看待主机安全问题,通过主机EDR能力的增强,反哺SIEM或SOC平台,最终达到全网自动响应 已知威胁的能力 以及对 未知定向攻击的检测告警能力。

为了更贴合云环境下的安全需求,我们同时采用了CWPP(Cloud Workload Protection Platforms,云工作负载安全平台方案)设计,采用轻量级Agent,与全部功能的重量级Agent相比,轻量级Agent实现了功能的最小集合,大大减轻Agent对于主机性能的影响。并且轻量级agent简单,能够动态地升级和更新,实现的代码少,容易传输。

MDR服务是Gartner在2016年正式提出来的,定位于对高级威胁的检测与响应服务。与传统MSSP主要帮客户监测内部网络与互联网内外间流量不同,MDR还试图帮助客户监测内部网络中的流量,尤其是识别高级威胁攻击的横向移动环节的蛛丝马迹,以求更好地发现针对客户内部网络的高级威胁。

对于安全狗,我们这样提供MDR服务

SAAS服务:用SAAS方式为企业解决数据中心安全问题,提供(云)服务器、应用、业务在内的一站式云安全防护服务。累计保护服务器超过 400万台。

现场服务:常驻客户现场,定期对安全设备、服务器进行安全巡检,实时跟进安全风险事件,协助处理安全突发事件,事件结束后出具安全报告和安全整改建议。

大咖观点

目前,CNCERT/CC已成为国内网络安全“用、产、学、研”各界技术和业务交流的重要桥梁和纽带,此次会议吸引了众多网络安全行业的技术从业者和密切关注企业安全的行业意见领袖。

中国工程院方滨兴院士从保护维、风险维、方法维等三个维度和对象、属性、目标、作用、功能、表象、技术、措施、主权等九个空间的角度,阐释了网络空间安全的定义和丰富内涵。

互联网名人堂入选者斯蒂芬﹒肯特回顾了从互联网诞生以来互联网安全标准的发展历史,分析了现在存在和新出现的安全隐患,提出了加强安全认证和制订安全标准方面的建议。

国家互联网应急中心副主任兼总工程师云晓春深度分析了我国网络安全形势和未来热点,指出网络安全问题正在向传统行业延伸,数据安全和漏洞管理亟待加强,人工智能和网络安全的结合将带来颠覆性、变革性影响等趋势,希望针对网络安全发展趋势,共同维护网络空间安全。

结束语

安全狗作为CNCERT的省级支撑单位,一直积极参与CNCERT举行的各类活动,并在安全事件的应急响应方面进行了积极的配合,受到业内专家和相关部门的认可。我们将继续提供专业的安全产品和服务,更积极地参与我国互联网安全事件的应急处理工作,为建设一个更安全的网络环境贡献自己的力量。