深信服新一代EDR:在數字化時代為產業保駕護航
深信服新一代EDR:在數字化時代為產業保駕護航
安全的價值依託於業務的發展,業務創造價值,而安全則是守護業務。在傳統企業紛紛進行數字化轉型的過程中,企業將自己的資料流、資訊流和業務流進行了數字化的重構,實體資產和人力管理轉變為數字資產與自動化、系統管理。
當傳統企業還在進行艱難的數字化轉型時,部分網際網路企業已經進入下半場,開始智慧化轉型,資料流、資訊流和業務流做進一步分析和優化,與之相對應的是快速發展的人工智慧等新興技術。
這些新技術帶來的一方面是機遇,另一方面則是挑戰。在新技術的催生下,對企業安全的攻擊方式也開始迅速進化,以勒索軟體為例,在很多傳統企業尚不知數字貨幣為何物之時,黑客已經通過自動化技術生成大量快速隨機傳播的無差別攻擊勒索程式,趁企業在遷入新環境尚立足不穩之際,一舉攻破企業的安全防護體系,隨即迅速傳播,加密整個企業內網的資料檔案,讓企業飽受其害。
1、企業的內網環境和網際網路的環境並不相同。
對企業來講,大型企業在發展過程中往往會呈現向平臺化發展的趨勢,整個數字生態系統,以及在這整個生態系統中流轉的數字資產在週期化的執行中,對它的安全考量、風險的防護是需要核心考量的因素。
對中小企業來說,對生產和生產環境、對數字資產的安全性要求同樣是一個企業在運營過程中需要核心考量的因素。
出於對資料保密性、可用性和完整性的要求,60%-70%的企業在數字化轉型中使用內網。但內網隔離的企業環境與網際網路的環境並不相同,這導致了傳統網際網路安全廠商無法滿足企業對終端防毒的需求。
一方面,傳統網際網路安全廠商過於依賴雲端的查殺能力,在網際網路環境中藉助雲端查殺對病毒90%+的檢出率,一旦進入企業內網,無法藉助之前的雲端查殺後,對新興病毒的檢出率就會大打折扣。
另一方面,很多傳統制造型企業比如鋼鐵廠以及醫院等民生機構,系統非常老舊。以Windows XP為例,很多網際網路安全防護軟體會出現嚴重的不相容、不適應、無法安裝和及時更新的問題,加之沉重的特徵庫會佔用大量資源,影響企業的業務安全和生產效率。
此外,由於傳統的針對端的安全防護是單點防護,相容出現問題不說,企業的維護成本也非常高昂。在以往,單臺或者少量的裝置出現問題,往往可以請安全應急專家來進行維護和加固,維護和管理的成本也並不高。但伴隨著安全環境的變化,一臺被攻破、整個企業內網遭殃,企業在數字化轉型中遭遇了新的難題。
2、AI之矛,勒索軟體橫行。
2015年,勒索病毒興起,大肆進入我國。
2016年,勒索病毒大爆發。
2017年,5月12日WannaCry的肆虐,短短數小時內席捲全球150多個國家和地區。
2018年,GlobeImposter、GandCrab,短短半年出現了多個變種版本,感染使用者數量創新高、破壞性超出以往。
在戰場上讓大量普通士兵重傷的,不是狙擊步槍,而是機關槍。同樣,對大部分組織造成重大資訊保安事件的威脅,不是有組織的定向攻擊APT,而是大量快速隨機傳播的無差別攻擊勒索程式。
狙擊步槍到機關槍的轉變,反映了這些勒索病毒的一個相同點:都採用了自動化生成技術。而伴隨著AI技術的發展,病毒攻擊的未來的趨勢是它們數量和樣式會更多、傳染更快、破壞力更強。
如果說早期的勒索軟體是由人來編,在重新變化它的組織、操作與資料流後,導致原來的檢測失效。
那現在就可以通過AI自動化技術自動生成惡意程式碼,它可以通過大量的資料和樣本來機器學習惡意程式碼的運作方式,進而導致新病毒的產生呈現出指數級的增加。
通過AI的自動化技術生成新的惡意程式碼,攻擊方有了新的火力支援,狙擊槍進化成了自動化機關槍,在這個過程中防禦方將要面臨更高的安全風險,防禦端檢測面臨的挑戰也就更大了。
3、攻防升維
安全領域強調的是攻防對抗,當攻擊方的能力增強之後,壓力就轉移到了防守方上。
攻是單點突破,找到一個點,並通過這個點滲入進去挖開他的防守體系,進而拿到內部網路更多的東西。
而防則不一樣,防講的是縱深防禦,是面的問題更是點的問題,從面上講,企業要全面去防;從點上來說,企業的安全防護就要做深做細,以前安全業內一直在講木桶原理,指的是企業的安全體系是一個木桶,安全防護體系中如果有短板,如同水會從短板的地方流出來,攻擊方也會從短板的地方侵入。
以勒索病毒為例,深信服安全專家鄒榮新給我們分享了一個小故事:“WannaCry爆發時,我這邊成立了安全應急團隊,大概十個人左右的一個團隊,我們從客戶那邊觀察到,以前客戶裡頭他一臺機器出了問題,那就你的這臺機器出問題,大不了把你機器重灌就完了,現在病毒一進來以後,它會快速蔓延,可能在幾分鐘之內你的幾百臺、上千臺機器就全部中招了。”
永恆之藍利用微軟的MS17010漏洞,攻擊性之強覆蓋面之廣甚至可以讓一個公司的全部幾十臺伺服器短時間內全部被加影子賬號。黑客利用美國NSA公佈的資訊來謀利、做破壞性的工作,這是之前所沒有的變化。
4、如何應對?傳統特徵防毒的無力。
傳統特徵防毒是基於病毒特徵庫方式進行防毒,在面對新型病毒或變種持續產生的情況下,往往呈現被動、後知後覺的特點,缺乏快速響應機制。
另一方面,由於本地病毒特徵庫是有限的,當特徵庫與已知病毒樣本不匹配時,查殺就會受限,這點在企業隔離網環境下失去雲端查殺能力時表現得尤其突出。此外,由於特徵數量不斷增多,特徵防毒會加重終端資源以及運算成本。
最後,由於未實現一體化防護,會導致企業的管理運維量巨大。
攻擊方可以用AI的技術來提升它的工具,提升它的效率,減少它的攻擊代價。而攻防本身講究的是個代價的問題,攻方究竟願意用多少的資源來攻破一個目標,攻破過後能獲得多少利益,那防禦,則是企業願意投入多少資源來防禦到什麼樣的程度。
以往,大型企業可以投入鉅額的資金來請業內的安全專家來進行人力的安全緊急響應,但是現在面對動輒有幾棟樓之多的伺服器,通過人力進行應急顯然已經不再現實。
而對中小企業來說,就更難以承擔高昂的安全維護成本。在這樣的情況下,將預算放到端的檢測和響應上,無論從效果還是花銷上來看,都是更為明智的選擇。
基於端的檢測和響應來構建一個安全防護體系;通過雲網端的融合做到點面結合來縱深防禦;通過一個統一的管理平臺來進行統一的安全管理;通過採用AI技術來應對自動化攻擊;這些,就成為了應對攻方升級的不二法門。
5、技能進化:深信服新一代終端安全EDR和它的SAVE引擎
為了應對進化後的攻擊方,作為防禦方也應該完成它的進化。
對此,深信服提出了新的安全理念:面向未來,有效保護。面向未來,有效保護就是以明晰過去和現在的威脅和挑戰為基礎,預測未來趨勢,並通過技能進化和智力進化提升預測、防禦、檢測、響應能力,持續應對新的風險和挑戰,保障資訊資產的保密性、完整性、可用性達到預期要求。
同時,基於“面向未來,有效保護”的安全理念,深信服也提出了新的安全架構,該架構的核心是“進化”——以“技能進化”和“智力進化”,持續提升保護的有效性。
技能進化就是從安全建設”以防禦能力為核心”進化到“以檢測能力為核心”。
反映到具體的端點上,則是深信服基於傳統端點檢測和響應EDR的進化,打造的下一代終端安全EDR。
EDR本身是一個很早就有的安全解決方案。但深信服通過在技能進化上具有里程碑意義的SAVE安全智慧檢測引擎,完成了創新。
SAVE安全智慧檢測引擎使用了創新的人工智慧無特徵技術,能夠進行演算法的自我優化、特性的自動提取,相比傳統使用固定演算法、人工提取特徵的傳統檢測引擎來講更具優勢,能夠對勒索病毒變種及其他未知病毒進行準確檢測。
通過SAVE引擎,深信服新一代終端安全EDR,對未知病毒檢出率高達97.8%,對已知病毒檢出率高於99%,對與之前肆虐的Globelmposter勒索病毒,查殺成功率更是達到了100%。
SAVR引擎的背後是深信服每年行業內無出其右的研發投入(每年投入利潤的20%以上)、由博士和博士後科研團隊所組成的創新研究院在應對挑戰時的勇於創新與堅守、和安全團隊十多年來積累的豐富行業經驗與安全知識庫。
在資料方面,憑藉著多年在企業領域安全防護的實戰經驗,深信服獲得了大量的真實威脅資料資訊尤其是企業所面臨的惡意程式碼、惡意流量資料,為了進一步擴充資料的樣本量,深信服也與諸如谷歌等公司合作,進行資料匯入,提高辨別準確度。
在演算法方面,深信服資料解析的角度也有創新之處,它更多的去從安全防護比如勒索軟體的角度進行解構,然後再去嘗試各種各樣的演算法。
通過人工智慧賦予使用者以持續進化的預警、防禦、檢測與響應能力,方能以不變應萬變,在不同的場景中進化出不同的模式來應對威脅。
深信服通過AI技術打造了新一代終端安全EDR,又輔以了與網、雲的結合。
深信服安全雲腦作為威脅情報蒐集和響應的中心,當發現到威脅情報後會第一時間推送給深信服新一代終端安全EDR與深信服新一代防火牆AF、安全感知平臺SIP、上網行為管理AC等網路安全管理。
如果把深信服新一代終端安全EDR比作點的話,那麼深信服新一代防火牆NGAF、安全感知平臺SIP、上網行為管理AC就是面,通過點與面結合方能打造了一個完整的企業安全防護體系。深信服新一代終端安全EDR補齊的就是企業安全防護體系這個木桶的最後一塊短板。
通過對雲、網、端的融合,結合了EDR的全網安全裝置聯動機制是一整套的雲管端閉環系統,解決了傳統安全防護的體系弱點和能力缺失,可以高效實現病毒防護、具有對已/未知威脅的準確檢測與發現、快速響應等功能。
而基於Agent加管理平臺的部署模式,還可輕鬆實現資產盤點、合規審查,以及基於應用角色的微隔離防護和流量視覺化管理等功能,讓企業的管理管理能力足以應對新的威脅。