这句话应该是移动互联网时代众多厂商角逐下共识的一个真理,如今放到网络安全产业,这句话的威力也逐渐显现。早在07年,那个男人用一款名叫iphone的手机,逐渐带我们看清了移动互联网发展的本质“云-网-端”。而回到今天我们发现,越发敏捷的数字化业务下,是更加云化、SAAS化、多元的IT基础设施;传统边界在更好地连接用户/业务这一使命下早就变得模糊。曾经安全厂商卷盒子的好日子,随着业务云化、无界办公、以及越发复杂的数字化业务转型下,一去不复返了。而甲方也逐渐抽象出“基础网络安全的核心无非就是保护业务的主体和客体(A—>B),以及控制业务的网络连接” ,因此更好地保护离散网络下的终端和工作负载就变得很重要。
而从攻击的角度来看,攻击技术的“服务化”和“平民化” ,导致广泛用户所面临的攻击不再是像以往简单的病毒和web入侵,例如:无恶意软件攻击(Malware free)持续上升 ,身份、钓鱼作为主要攻击入口;勒索攻击开始不使用勒索软件,而是使用合法的加密软件、Windows自带的BitLocker。很多勒索软件甚至也都不存在C2通讯。而这些攻击技术的变化给网络检测带来了较大挑战。防御类产品甚至都看不到攻击的行为/痕迹,更不要说检测和防护 ;流量检测类产品一般对数据片段进行孤立匹配检测,而高级的攻击技术往往就是基于这些孤立的点进行绕过,把自己淹没在正常的业务数据或行为中,导致要么无法检测要么误报很高。在此背景下终端和工作负载的检测权重就变得很高了。
其实这么多年,一直在端点领域都有新的概念产生,每隔几年就有新的饼。从开始的传统防病毒(AV),到后面端点防护平台(EPP)、工作负载保护平台(CWPP),再到端点检测响应(EDR)。很多客户还在纠结自己买的终端安全是不是所谓EDR时候,近期又看到厂商开始卷统一终端保护平台(all in one)。我不禁想问:啥时候是头, 到底我们需要一个怎么样的端?
站在广泛用户的视角来看,用户的需求是纯粹的:“agent足够轻、无侵害,最好别装agent。产品功能侧最好足够多,最好把所有的功能都包含”, 哈哈,听起来是不是五彩斑斓的黑那个感觉又上头了。如果我们把端点产品的需求,分解为两个系统的需求来看,可能会清晰一些。
agent能力
G、在终端领域,除安全诉求外,用户所期望的统一集成认证、鉴权、访问控制(零信任),终端管控,数据泄密管控等多项agent能力,我们先不谈论全集成这套方案的优劣,毕竟世界上没有只有好处的万能方案,后面我们展开论证。
管理视图能力
A、端点安全能力,包含防病毒,入侵终端防御,终端高级威胁检测,包括上文说的通过强大的数据采集实现有效的检测、调查取证,以及高可见性数据下的威胁狩猎。当然背后还包括基于情报提升威胁检测能力,像基础IOC、文件样本情报,威胁行为情报。还有通过沙箱执行监控,主动诱捕检测/防御类手段提升威胁对抗能力。
B、端点资产及脆弱性发现,包括工作负载资产上的资产、应用、漏洞发现与评估,以及终端上的用户、账号发现,从而获得端点IT属性类数据的可见性。
C、终端管控,包括像外设管理,软件/程序管理,主机安全策略,行为审计,桌面管理等运维管理功能。
D、云安全管理,包含云内的资产及风险可视化,合规性监视,云基础设施的配置监控。
E、如果将准入/身份、数据管控能力集成进来,端点管理能力还要包含身份管理,策略管理,基于身份和行为的风险管理,以及对应的数据泄密和策略管理。
来源:crowdstrike
轻量化的终端
1、轻端重云的架构,将大量计算转移到服务端计算。
2、agent本身设计时的轻量化改造工程。
3、agent采用事件驱动的方式来收集数据,只有在检测到潜在威胁或者重要事件发生时,才激活数据收集和分析过程。类如:关联与指定文件访问对应的多个进程动作时,通过关联行为来检测恶意软件;又或者根据可执行文件拉起进程启动的所有线程是否创建可疑行为来判定恶意软件。
4、在加固和预防领域,并非完全依赖本地库实现防御,进而保障agent防御能力又不像传统杀毒那么重。例如:根据字节训练神经网络模型来识别恶意软件,利用数据的前N个字节内容,无需全文检测,在文件完全下载之前提供系统安全保护。
5、通过主动诱饵、加密的主动防御手段来代替全网文件监控,以应对勒索软件类似的恶意软件攻击。
6、本地数据采集后进行智能过滤,通过引入AI/BA算法对原始数据进行处理,将数据加工成threat graph,然后把events上传到云端,进而极大减缓海量数据上传给操作系统和网络带来的压力。
聚焦解决端点高级威胁检测分析时的能力短板
这部分如果之前看过XDR那一篇分析,其实就比较有感触,无非就是高质量的数据和好的分析引擎框架。
通过无监督提高文件泛化能力,通过AI学习数据全文内容提高威胁检测,通过行为图中的所有相关信息进行检测(检索图形数据结构节点和边缘的相关数据行为)-IOA技术。通过跨租户的社区共享机制检测单一实体、关联威胁;或者引入更广泛的云端检测工程(与此同时SAAS化的交付模式也更契合上文提到的更加离散的端点分布)。
扩展多样的检测能力引擎:
当终端上能采集到身份登录,应用访问,数据外发等数据时,身份决策分析引擎、数据安全决策分析引擎也都可以于此数据基础上构建起来。典型的类似:用户异常行为分析,登录频率和违规登录分析,访问频率和访问违规分析,异常文件下载行为分析,大规模数据外发分析,敏感数据外发分析等。
高质量的关系数据支持调查,弥补检测能力:
而为了提高查询效率、降低调查门槛,相比一个个单点的数据,有关系的数据关系对于调查的意义是重大,尤其是要支持用户画出整个威胁攻击路径。以调查一个powershell为例:
当然如果当数据的范围扩展到不只是端,包含端、流量、身份、邮件等多样化高质量数据,那基于全量数据进行调查狩猎的魅力就会被彻底体现出来,而不可否认的是端点数据是目前看到最重要,也是投资收益最大的一项。
通过平台思路满足集成端点安全诉求
A、agent侧尽量不重复采集数据/引用端点上的接口,保障用户侧体验/业务侧的轻量侵入和稳定运行。
B、agent部署时可以快速拉起,不因为多个能力部署带来分发、安装、重启等运维压力,并且不产生太多用户/业务强感知的端点软件前端视图。
C、管理端能力侧使用数据时,一次采集多次使用,满足客户威胁分析、身份鉴权决策、异常违规、数据泄露分析时的场景诉求。多个场景功能之间通过较好的数据标准、指令标准对接,尤其不同决策分析能力之间的数据调用。以及需要与agent交互时,涉及到的响应、阻断、身份拦截/下线、策略下发等动作”
A、分析不同场景能力,agent侧哪些可以解耦,哪些不能解耦:
1)例如威胁分析、违规分分析,响应处置,辅助决策相关场景可以解耦,定义好数据采集侧做哪些,平台引擎侧做哪些,统一响应接口做哪些,然后尽量保证数据采集一次,平台侧引入多引擎进行计算分析。
2)例如杀毒,桌面管理、终端管控,身份准入/认证不能解耦,那尽量应用最纯粹的对应功能的agent(同一厂商品牌/生态可能就是解耦出来不同的进程,按需订阅,就像crowdstrike的single-agent,实现cross-sale),尽量不要在agent侧产生大量的功能交集,最终缝合的很重,拖慢用户体验。典型就是PC端点类产品,每个厂商多少都有点杀毒,各类产品都带一些桌面管理功能,全部能力还不能解耦也无法剔除。但是这一现象在改变,我们看到很多强势的客户对厂商端点有瘦身的要求,也倒逼了这些厂商在聚焦,包括之前应用sysmom的甲方,现在也能找到一些商用更强大的高级威胁采集的agent。
B、分析满足安全场景需要哪些能力,是要增补数据,还是增补引擎。
1)增补数据时可能会存在现有agent的能力就是短期无法补上,那要不就是替换,要不就是能接受装一个新的采集终端,并平衡好两个agent的分工;而对于乙方做产品这个就比较自然,持续提升agent的数据采集能力,本身就是分内的工作。
其实我们也看到海外的端点安全解决方案做着做着都变成了一个综合安全大数据平台/XDR,包括国内很多头部的银行,也慢慢通过把agent、管理平台分离,然后构建起了“一端多引擎,能力解耦(agent和引擎/平台能力可以由不同的厂商提供,集成提供整体安全能力)”的端点安全保护能力。而在未来那些抓住端点重要性,并依托端点构建好能力演进路线,持续投资出核心竞争力的甲方/乙方,一定会更加从容。
今天主要就分享这些!
原文始发于微信公众号(随风四千里):得终端者得天下
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论