Cynet 360:下一代 EDR 解決方案_第1頁
Cynet 360:下一代 EDR 解決方案_第2頁
Cynet 360:下一代 EDR 解決方案_第3頁
Cynet 360:下一代 EDR 解決方案_第4頁
全文預覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

-4-Cynet360:下一代EDR解決方案許多企業(yè)視終端檢測與響應(EDR)為數(shù)據(jù)泄露主要防備手段。2022年,EDR作為單獨的一類平安產(chǎn)品消失,并很快被認為是漏洞利用、零日惡意軟件和無文件攻擊等新型威逼的有力響應,補充了傳統(tǒng)殺毒軟件(AV)在這方面的弱勢。

許多企業(yè)視終端檢測與響應(EDR)為數(shù)據(jù)泄露主要防備手段。2022年,EDR作為單獨的一類平安產(chǎn)品消失,并很快被認為是漏洞利用、零日惡意軟件和無文件攻擊等新型威逼的有力響應,補充了傳統(tǒng)殺毒軟件(AV)在這方面的弱勢。

雖說EDR應對當今多種高級威逼的有效性毋庸置疑,但新型"下一代EDR'解決方案已浮出水面,不僅擁有全部EDR功能,還能抵擋EDR未掩蓋的主要攻擊途徑,比如那些涉及用戶和網(wǎng)絡的攻擊。

Cynet(一種下一代EDR解決方案)共同創(chuàng)始人EyalGruner解釋道:許多人都無意識地搞混淆了兩種不同的東西終端防護和數(shù)據(jù)泄露防護。

沒錯,許多攻擊始于終端,涉及惡意文件與惡意進程,使EDR成為了終端防護的完善解決方案。但實際攻擊界面遠比終端寬闊,你要愛護的不僅僅是終端,而是你的公司。

Gruner白帽黑客出身(從15歲就開頭了),還創(chuàng)辦了以色列最大的網(wǎng)絡平安詢問公司BugSec。如今,他是世界著名的攻擊工具、技術(shù)及實踐專家。

可以這么想:攻擊者的動作必定會產(chǎn)生某種特別。而我們理解的正常行為是不包含染指資源和盜取數(shù)據(jù)的。這些特別就是平安產(chǎn)品或者說威逼分析師的錨點,用以識別正在發(fā)生的不良狀況并封鎖之。

Gruner稱,這些特別可在三個核心的地方看到進程執(zhí)行、網(wǎng)絡流量或用戶行為。比如說,勒索軟件會產(chǎn)生進程執(zhí)行特別,由于會消失一個嘗試與大量文件交互的進程。

另一方面,多種橫向移動包含網(wǎng)絡流量特別,以超高服務器消息塊(SMB)流量的形式呈現(xiàn)。與之類似,當攻擊者以被盜用戶賬戶憑證登錄關(guān)鍵服務器時,唯一的特別存在于用戶行為中。兩種狀況下,僅僅監(jiān)視進程是無法發(fā)覺攻擊的。

Gruner表示,EDR可以很好地防備那些可通過進程特別加以識別的攻擊。該工具駐守終端,監(jiān)視進程行為,形成對此類威逼的有效防護。但其他類型的威逼呢?有許多主流攻擊方法在網(wǎng)絡流量和用戶行為層面操作,不會觸發(fā)絲毫過程特別,EDR對此完全失明。

為更好地理解該問題,我們不妨從攻擊者的角度來看。攻擊者已勝利入侵一臺終端,正在衡量怎樣進一步浸染整個環(huán)境,訪問并滲漏敏感數(shù)據(jù)。要完成這一任務還有幾個必要的步驟要做。我們以憑證竊取為例。

高權(quán)限憑證是訪問環(huán)境中資源的基礎。攻擊者可能嘗試從已入侵終端的內(nèi)存中轉(zhuǎn)錄出這些憑證。由于該舉動會引發(fā)進程特別,EDR可以捕獲到該入侵動作。

然而,密碼散列值也可以通過攔截內(nèi)部網(wǎng)絡流量(利用地址解析協(xié)議(ARP)中毒或域名系統(tǒng)(DNS)響應器)獵取。這種攔截動作只有通過監(jiān)視網(wǎng)絡流量特別才能探知,而EDR會完全漏掉這一特別。

Gruner表示,以自己的閱歷,厲害的攻擊者通常能快速摸清目標都設置了哪些防備措施,然后實行相應的規(guī)避和攻擊動作。假如發(fā)覺設置了良好的EDR,攻擊者會換用針對網(wǎng)絡和用戶領(lǐng)域的技術(shù),在EDR檢測不到的地方肆意操作。

所以,假如你想要的是平安技術(shù)棧中有個組件能夠防護基于進程的攻擊,比如惡意軟件、漏洞利用程序等,那EDR就能滿意你的需求。但假如你尋求的是防止數(shù)據(jù)泄露,你就得考慮更多東西了這正是我們創(chuàng)建Cynet360的初衷。

Cynet360持續(xù)監(jiān)視進程、網(wǎng)絡流量和用戶行為,全方位掩蓋當今高級攻擊中所用各種攻擊方法。也就是說,包含全部EDR功能,并擴展和集成了用戶行為分析和網(wǎng)絡分析,補充了健壯的誘騙層可使操作人員能夠植入充當誘餌的數(shù)據(jù)文件、密碼、網(wǎng)絡共享等,誘騙攻擊者暴露自身。

而且,Cynet供應的遠不止增值那么簡潔。Gruner稱:不僅僅是基于進程的威逼+基于網(wǎng)絡的威逼+基于用戶的威逼。攻擊者越高端,就越精于隱蔽自身及其行為。所以,許多攻擊僅靠觀測進程或流量或用戶行為根本無法發(fā)覺。

只有通過綜合這些信號形成上下文,你才可以看出有惡意大事發(fā)生。Cynet360自動化該上下文創(chuàng)建過程,揭示其他方法發(fā)覺不了的多種威逼。

Gruner總結(jié)道:沒有哪種防護措施是100%無缺口的,但你必需扼守全部主要通路。攻擊者能夠繞過它們嗎?答案是"能',只要他們技術(shù)夠高、決心夠大、資源夠豐富。但假如你監(jiān)視全部主要特別路徑,就能迫使他們前進得特別困難難到足以令他們中大多數(shù)人無功而返。

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論