企业网络保护:Kaspersky Endpoint Detection and Response (KEDR)
Kaspersky EDR 是用于保护公司 IT 系统的网络安全解决方案。它为 IT 安全增加了端点检测和响应 (EDR) 功能:
- 自动和手动从众多主机事件中提取详尽的攻击模式。
- 通过阻止攻击进度来响应攻击。
- 防止未来的攻击。
EDR 的必要性
在不久之前,典型的网络攻击会使用大规模恶意软件。它将针对不同的端点并在单台计算机内引爆。大规模恶意软件攻击是自动执行的,它们通过大规模电子邮件、网络钓鱼网站、恶意 Wi-Fi 热点等来挑选随机受害者。补救措施是端点保护解决方案 (EPP),它将保护主机免受大规模恶意软件的侵害。
面对有效的 EPP 检测,攻击者转而使用了针对特定受害者的定向攻击,此策略成本更高,但更有效。由于成本高昂,通常会针对公司使用定向攻击,目的是获取利润。定向攻击涉及侦察,其目的是渗透受害者的 IT 系统并规避保护措施。攻击杀伤链涉及 IT 系统的许多主机。
由于方法的多样性及其以人为主导的交互性质,定向攻击可规避基于 EPP 的安全措施:
- EPP 依赖于它们在单个端点上看到的内容。但高级攻击会攻击许多主机,从而在另一个端点上执行相对可信的操作。即使主机 EPP 检测到其中一些行为,攻击者最终仍会建立多主机杀伤链。此类攻击的痕迹散布在许多主机上。
- 由于 EPP 裁定是自动进行的,因此攻击者可以验证受害者的 EPP 或其他自动安全解决方案未检测到他们的攻击。攻击者针对这种情况保留了整个反恶意软件场。
- 由于存在误报风险,供应商不能仅仅通过使 EPP 解决方案变得更“严格”来增加保护。因此,即使主机上发生某些模棱两可的事情(既可能是杀伤链的一部分,也可能是合法操作),EPP 也不会进行干预。
为了解决定向攻击,网络安全供应商为 EPP 解决方案扩展了端点检测和响应 (EDR) 功能:
- 针对众多主机事件提供集中可见性,以进行手动和自动关联
- 向安全人员提供有关事件的充足数据
- 创建用于响应和补救的工具,通过以人为主导的网络防御来应对以人为主导的攻击
从本质上讲,EDR 添加了新的端点保护层来抵御高级攻击。
Kaspersky EDR 对安全性的贡献
Kaspersky EDR 为现有 EPP 解决方案增加了保护功能。EPP 擅长防御更简单的大规模攻击(病毒、特洛伊木马等),而 EDR 专注于防御高级攻击。通过此解决方案,分析人员可以在攻击的上下文中查看恶意软件的活动以及合法软件的事件,从而发现整个杀伤链。
Kaspersky EDR 与 Kaspersky Enterprise Security EPP 完全集成,并且可以与其他供应商的 EPP 解决方案结合使用。EDR 添加了以下功能:
- 多主机事件可见性:聚合散布在 IT 系统中的攻击痕迹
- 使用“重型”方法进行检测,由于可能会对常规用户工作流程产生影响,因此需要常规用户端点不具备的大量计算功能:高级预处理、沙盒、重型机器学习模型(包括深度学习),等等。重型方法可提供更好的检测质量
- 用于事件调查、主动威胁搜寻和攻击响应的专业工具
Kaspersky EDR 的设计
元素
- 端点传感器:与 Kaspersky Endpoint Security 集成在一个代理中,或独立部署(与其他 EPP 解决方案部署在一起)
- 本地服务器(事件存储;分析引擎;管理模块;可选的沙盒)。本地位置使事件数据完全由客户控制
- KSN 云或 KPSN 私有云,可实时充实检测数据并迅速应对新威胁
将 EDR 作为 Kaspersky Threat Management and Defense 的一部分
Kaspersky EDR、Kaspersky Anti Targeted Attack Platform 和 Kaspersky Cybersecurity Service (KCS) 组成了高级保护和威胁情报套件:
- Kaspersky Anti Targeted Attack Platform 添加了基于网络、Web 和邮件的检测,将解决方案的定向攻击检测范围扩展到了“端点+网络”级别。
- KCS 为客户 IT 安全团队添加了专家支持:培训、提供威胁情报数据、Kaspersky 提供的安全运营中心 (SOC) 管理以及其他选项。
与安全信息和事件管理 (SIEM) 系统集成
您可以将我们的 EDR 与第 3方 SIEM 系统集成(检测数据以通用事件格式 CEF 导出)。
特点
连续集中式事件聚合和可见性。EDR 实时聚合来自主机的事件:
- EDR 连续聚合事件(无论其原因和可疑程度如何)。这使得 EDR 对于未知恶意软件更加有效。我们本可以将其设计为仅聚合可疑或恶意软件事件,从而节省中央节点上的磁盘空间(就像其他一些 EDR 解决方案一样)。但是,随后将不会记录具有被盗凭据的攻击者的合法行为,并且无法识别的新威胁也不会触发记录操作。
- EDR 中央节点会将事件数据源从主机上传到中央节点上的存储中。其他一些供应商的 EDR 会将事件直接存储在主机上。当中央节点需要事件的相关数据时,它会从主机请求日志信息。这种设计节省了中央节点上的磁盘空间,但使搜索速度变慢且依赖于连接,并且,主机可见性取决于主机在网络中的可用性。
自动检测。Kaspersky Endpoint Security 通过启发式、行为和云检测(或结合其他 EPP 主机应用程序)检测单个主机范围内可见的威胁。除此之外,EDR 可关联来自多个主机的事件数据源,从而添加了具有多主机范围的检测层。
除了基于事件的检测之外,EDR 主机代理还可自动将可疑的对象或部分内存发送到中央节点,以进行更深入的分析,其使用的算法可提供超越常规主机的计算功能,其中包括重型预处理、启发法和机器学习算法、沙盒、扩展云检测、基于 Kaspersky 威胁数据源的检测、自定义检测规则 (YARA)。
操作员通过手动检测或威胁搜寻来主动搜索攻击和威胁的痕迹。EDR 使您可以“搜寻”来自许多主机的事件的完整历史记录(聚合在存储中):
- 您可以在存储中搜索攻击和可疑事件的痕迹,并将它们关联在一起以重建潜在的杀伤链。数据库中的搜索查询支持复合筛选器(按主机、检测技术、时间、裁定、严重性级别等)。
- 您可以将新的 IOC 上传到 EDR,并检测早期未检测到的持久性威胁。
- 您可以手动发送可疑对象,以通过“重型”检测方法进行更深入的分析。
- 如果公司启用了 KL TIP 服务(Kaspersky Threat intelligence 平台),则可以在威胁数据库中请求有关对象的信息。
响应是操作员检测到威胁时可以采取的操作。这些操作包括:
- 事件调查、在杀伤链中重建事件。
- 主机上的远程操作,包括终止进程、删除或隔离文件、运行程序和其他操作。
- 根据哈希值拒绝执行对象,以控制检测到的威胁。
- 要回滚由恶意软件活动导致的主机更改,需要使用 EPP 解决方案。例如,Kaspersky Endpoint Security 会撤消此类恶意软件操作。
预防是限制端点上的对象活动的策略:
- 基于哈希值的执行拒绝策略可阻止在整个 IT 系统中运行特定的文件(PE、脚本、Office 文档、PDF),从而防止当前正在全球范围内传播的攻击。
- 自动检测主机上的对象或 URL(先前已在沙盒中检测为恶意软件)。
- 应用程序执行控制(白名单、启动控制、权限控制)、网络访问策略、USB 驱动器访问以及其他功能都依赖于 EPP 解决方案。Kaspersky Endpoint Security EPP 提供所有这些预防功能。
Kaspersky EDR 的管理基于角色,并提供工作流程管理:警报分配、跟踪警报状态、记录警报处理。可根据警报类型及其组合(检测类型、严重性等)灵活配置电子邮件通知。
用例:发现杀伤链
EDR 主机代理通常将事件发送到内部 EDR 服务器。
- 服务器上收到的其中一个事件与在公司 IT 系统中唯一发生的文件执行相关联(通过其哈希值进行判断)。该文件还具有其他可疑特征。
- 服务器触发更深入的调查。它会下载文件本身,以供 EDR 分析引擎进行自动分析。该文件已排队,等待执行自动分析过程。
- 沙盒将文件行为检测为恶意软件,并提醒操作员。
- 操作员启动手动调查并检查可能与感染相关的事件:
a.通过使用标准管理员工具,发现受感染的计算机曾被一台公司 Web 服务器(可从互联网访问)访问。查找服务器上正在执行的可疑文件和进程、创建的可疑可执行文件。最终,找到了攻击者通过服务器网站上的漏洞上传的 Web Shell。
b.确定此攻击的所有命令和控制 (C&C) 服务器。 - 操作员对攻击做出响应:
a. 阻止所有检测到的 C&C。
b. 终止恶意进程
c. 根据哈希值阻止恶意软件文件的执行
d. 隔离恶意软件和可疑文件,以供未来调查。