首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2024 > 正文

網(wǎng)絡(luò)安全組合拳：揭秘MDR服務(wù)中的EDR

閱讀量：次 文章來(lái)源：安恒信息

隨著攻擊手段的不斷演進(jìn)，國(guó)內(nèi)外單位遭受無(wú)差別網(wǎng)絡(luò)攻擊日益頻繁，應(yīng)急響應(yīng)（IR）自然成為單位網(wǎng)絡(luò)安全建設(shè)過(guò)程中的一個(gè)重要方向。以SANS發(fā)布的《2023IncidentResponse》報(bào)告中數(shù)據(jù)為例，大部分預(yù)算清晰的受訪者表示IR預(yù)算占整個(gè)安全預(yù)算在30%以內(nèi)，體現(xiàn)了單位對(duì)IR非常重視。

但在當(dāng)前經(jīng)濟(jì)環(huán)境和安全投入產(chǎn)出難衡量的大背景下，大部分單位備受預(yù)算困擾。因此MDR（ManagedDetectionandResponse）服務(wù)應(yīng)運(yùn)而生，即通過(guò)遠(yuǎn)程專家團(tuán)隊(duì)的方式，為廣泛的用戶提供7*24小時(shí)的威脅檢測(cè)、研判、響應(yīng)、處置服務(wù)，而接入工具的選擇此時(shí)就格外關(guān)鍵。

相輔相成，終端安全不可缺

伴隨著前些年的態(tài)勢(shì)感知建設(shè)，大部分單位已經(jīng)具備了NDR類網(wǎng)絡(luò)檢測(cè)工具，因此近七成單位的首要選擇是將NDR類設(shè)備接入安全托管運(yùn)營(yíng)服務(wù)平臺(tái)MSSP，不經(jīng)意間忽略了EDR的能力，其實(shí)EDR的獨(dú)特能力包括且不限于：

終端設(shè)備活動(dòng)：

EDR可以監(jiān)視和記錄終端設(shè)備上的活動(dòng)，包括文件操作、進(jìn)程啟動(dòng)、注冊(cè)表修改等。這些活動(dòng)信息對(duì)于分析和識(shí)別惡意行為非常有用，而NDR通常無(wú)法直接獲取到這些終端級(jí)別的細(xì)節(jié)。

文件指紋信息

EDR可以記錄文件的詳細(xì)指紋信息，包括文件的哈希值、創(chuàng)建時(shí)間、修改時(shí)間等。這些信息對(duì)于檢測(cè)文件是否是已知的惡意文件非常有用，但是NDR一般無(wú)法獲得這些細(xì)節(jié)。

系統(tǒng)日志：

EDR通?？梢允占头治鼋K端設(shè)備的系統(tǒng)日志，這些日志包含了關(guān)于系統(tǒng)狀態(tài)、登錄信息、網(wǎng)絡(luò)連接等方面的信息，有助于檢測(cè)異?；顒?dòng)和攻擊行為。

終端性能指標(biāo)

EDR可以監(jiān)控終端設(shè)備的性能指標(biāo)，如CPU利用率、內(nèi)存利用率、網(wǎng)絡(luò)帶寬使用情況等。這些指標(biāo)可以幫助識(shí)別異?；顒?dòng)或惡意軟件的存在，但NDR一般無(wú)法獲取到這些終端性能數(shù)據(jù)。

1+1＞2，強(qiáng)強(qiáng)聯(lián)合、落地實(shí)踐

場(chǎng)景一：

勒索病毒攻擊服務(wù)器

概述：攻擊者利用服務(wù)器漏洞，在某公司服務(wù)器上植入勒索病毒，導(dǎo)致服務(wù)器上存儲(chǔ)的關(guān)鍵數(shù)據(jù)被加密。NDR通過(guò)監(jiān)測(cè)網(wǎng)絡(luò)層面的異常行為和流量模式來(lái)識(shí)別威脅跡象，而EDR則通過(guò)深入分析服務(wù)器終端的行為數(shù)據(jù)來(lái)確定病毒的具體活動(dòng)。

發(fā)現(xiàn)異常數(shù)據(jù)傳輸

（NDR完成檢測(cè)）：

NDR監(jiān)測(cè)到服務(wù)器與多個(gè)不尋常的外部IP地址之間有異常的數(shù)據(jù)傳輸，數(shù)據(jù)包的發(fā)送頻率和大小與正常的服務(wù)器活動(dòng)不符，這些IP地址與已知的惡意活動(dòng)有關(guān)。因此NDR觸發(fā)了警報(bào)，MSSP平臺(tái)提醒遠(yuǎn)程服務(wù)團(tuán)隊(duì)介入。

發(fā)現(xiàn)異常行為與鏈接

（EDR完成檢測(cè)）：

EDR同時(shí)檢測(cè)到服務(wù)器上有相關(guān)告警，該進(jìn)程嘗試訪問(wèn)和修改大量文件。同時(shí)發(fā)現(xiàn)該進(jìn)程對(duì)文件進(jìn)行了異常的加密操作并嘗試與外部C&C服務(wù)器建立連接。

展開(kāi)攔截與處置

（EDR完成攔截與處置）：

遠(yuǎn)程服務(wù)團(tuán)隊(duì)通過(guò)分析，使用EDR將受感染的服務(wù)器從網(wǎng)絡(luò)中隔離，以防止病毒傳播到其他系統(tǒng)；同時(shí)利用EDR在異常服務(wù)器上完成對(duì)應(yīng)處置工作。

遠(yuǎn)程服務(wù)團(tuán)隊(duì)的事后復(fù)盤：

上述工作結(jié)束后，遠(yuǎn)程服務(wù)團(tuán)隊(duì)利用NDR+EDR收集的數(shù)據(jù)，對(duì)攻擊進(jìn)一步分析，完整復(fù)盤本次攻擊的來(lái)源、利用的漏洞、以及受影響的范圍，并協(xié)助用戶修復(fù)了可被利用的漏洞。

場(chǎng)景二：

FRP進(jìn)行未經(jīng)授權(quán)的訪問(wèn)

概述：攻擊者利用FRP工具進(jìn)行未經(jīng)授權(quán)的訪問(wèn)。NDR完成檢測(cè)到異常的網(wǎng)絡(luò)流量并觸發(fā)警報(bào)，但受限于加密通信的隱蔽性，NDR難以深入分析通信內(nèi)容。這時(shí)，EDR的介入成為關(guān)鍵。通過(guò)終端側(cè)EDR威脅信息的捕獲，有效幫助遠(yuǎn)程服務(wù)團(tuán)隊(duì)揭示攻擊者的行為模式，并及時(shí)采取隔離和清除措施。

發(fā)現(xiàn)異常網(wǎng)絡(luò)流量

（NDR完成檢測(cè)）：

NDR檢測(cè)到了公司內(nèi)部網(wǎng)絡(luò)中某個(gè)用戶賬戶產(chǎn)生了異常的大量網(wǎng)絡(luò)流量的情況。這種流量模式與正常用戶行為不符，NDR觸發(fā)了警報(bào)，MSSP平臺(tái)提醒遠(yuǎn)程服務(wù)團(tuán)隊(duì)介入。

分析FRP服務(wù)器的連接

（NDR完成檢測(cè)）：

遠(yuǎn)程服務(wù)團(tuán)隊(duì)介入通過(guò)MSSP平臺(tái)收集的NDR信息分析發(fā)現(xiàn)，這些異常流量的目標(biāo)是公司內(nèi)部的FRP服務(wù)器。NDR在這一過(guò)程中識(shí)別到賬戶與服務(wù)器的連接，并記錄下相關(guān)的網(wǎng)絡(luò)流量，以及連接的頻率和持續(xù)時(shí)間，以便進(jìn)一步的調(diào)查和分析。

無(wú)法解密加密通信內(nèi)容

（EDR完成檢測(cè)）：

由于FRP通信采用了加密，NDR無(wú)法直接解密通信內(nèi)容。此時(shí)，MSSP平臺(tái)串聯(lián)的EDR信息發(fā)揮作用，通過(guò)記錄受影響終端設(shè)備的活動(dòng)，捕獲到與FRP連接相關(guān)的終端設(shè)備，并記錄下連接終端設(shè)備的行為和活動(dòng)。

識(shí)別未經(jīng)授權(quán)的訪問(wèn)行為

（EDR完成檢測(cè)）：

通過(guò)分析受影響的終端設(shè)備的活動(dòng)，發(fā)現(xiàn)了異常的未經(jīng)授權(quán)的訪問(wèn)行為。遠(yuǎn)程服務(wù)團(tuán)隊(duì)通過(guò)分析受影響的終端設(shè)備的日志、進(jìn)程活動(dòng)等信息，確定攻擊者通過(guò)FRP成功訪問(wèn)了內(nèi)部網(wǎng)絡(luò)，進(jìn)行了未經(jīng)授權(quán)的操作。

確定攻擊影響和后續(xù)響應(yīng)

（EDR完成檢測(cè)）：

遠(yuǎn)程服務(wù)團(tuán)隊(duì)進(jìn)一步利用EDR分析攻擊的影響，確定攻擊者可能獲取的敏感信息或者對(duì)系統(tǒng)進(jìn)行的其他惡意操作。

遠(yuǎn)程服務(wù)團(tuán)隊(duì)采取行動(dòng)：

遠(yuǎn)程服務(wù)團(tuán)隊(duì)綜合研判后第一時(shí)間通知用戶，并協(xié)助隔離受感染的終端設(shè)備，并清除了攻擊者可能留下的惡意文件，以阻止攻擊的進(jìn)一步擴(kuò)散和損害。

場(chǎng)景三：

Shiro配置錯(cuò)誤導(dǎo)致的安全風(fēng)險(xiǎn)

概述：攻擊者利用Shiro框架的配置錯(cuò)誤繞過(guò)了身份驗(yàn)證。NDR完成檢測(cè)到異常的身份驗(yàn)證流量，但無(wú)法深入到應(yīng)用程序?qū)用孢M(jìn)行分析。EDR的介入使得遠(yuǎn)程服務(wù)團(tuán)隊(duì)能夠捕獲到異常的身份驗(yàn)證嘗試，并識(shí)別出攻擊者利用已知漏洞的行為，有效遏制了潛在的數(shù)據(jù)泄露。

檢測(cè)到異常身份驗(yàn)證行為

（NDR完成檢測(cè)）：

NDR檢測(cè)到了公司內(nèi)部網(wǎng)絡(luò)中某個(gè)用戶賬戶產(chǎn)生了異常的身份驗(yàn)證行為。這種行為可能表現(xiàn)為頻繁的身份驗(yàn)證失敗嘗試或者在非常規(guī)時(shí)間段的登錄嘗試，與正常用戶行為不符，NDR觸發(fā)了警報(bào)，遠(yuǎn)程服務(wù)團(tuán)隊(duì)介入。

分析身份驗(yàn)證流量

（NDR完成檢測(cè)）：

遠(yuǎn)程服務(wù)團(tuán)隊(duì)通過(guò)NDR進(jìn)一步分析異常的身份驗(yàn)證流量，檢測(cè)到其中存在與Shiro框架相關(guān)的特征的流量。

檢測(cè)到Shiro配置錯(cuò)誤

（NDR完成檢測(cè)）：

?NDR檢測(cè)到與Shiro框架相關(guān)的配置錯(cuò)誤或異常行為，如常見(jiàn)的默認(rèn)配置未更改、權(quán)限配置錯(cuò)誤等情況。遠(yuǎn)程服務(wù)團(tuán)隊(duì)判斷這些配置錯(cuò)誤可能導(dǎo)致了安全漏洞，使得攻擊者能夠繞過(guò)身份驗(yàn)證，以管理員或其他授權(quán)用戶的身份登錄系統(tǒng)。

確定繞過(guò)身份驗(yàn)證的嘗試

（EDR完成檢測(cè)）：

由于NDR無(wú)法深入分析應(yīng)用程序?qū)用娴纳矸蒡?yàn)證過(guò)程，MSSP平臺(tái)串聯(lián)的EDR信息發(fā)揮作用，EDR捕獲到異常的身份驗(yàn)證嘗試行為，如使用已知的漏洞繞過(guò)Shiro身份驗(yàn)證的攻擊行為。

確定攻擊影響和后續(xù)響應(yīng)

（EDR完成檢測(cè)）：

遠(yuǎn)程服務(wù)團(tuán)隊(duì)利用EDR側(cè)信息進(jìn)一步分析攻擊的影響，確定攻擊者可能獲取的敏感信息或者對(duì)系統(tǒng)進(jìn)行的其他惡意操作。

遠(yuǎn)程服務(wù)團(tuán)隊(duì)采取行動(dòng)：

遠(yuǎn)程服務(wù)團(tuán)隊(duì)綜合研判后第一時(shí)間通知用戶，并協(xié)助隔離受感染的終端設(shè)備，并清除了攻擊者可能留下的惡意文件，以阻止攻擊的進(jìn)一步擴(kuò)散和損害。同時(shí)協(xié)助并跟蹤用戶修復(fù)Shiro配置錯(cuò)誤，配合加強(qiáng)身份驗(yàn)證和授權(quán)控制。

隨著網(wǎng)絡(luò)安全威脅的不斷演進(jìn)，EDR和NDR在MDR服務(wù)中共同構(gòu)成了一個(gè)堅(jiān)實(shí)的安全防線。實(shí)際案例已經(jīng)反復(fù)證明，通過(guò)融合NDR在網(wǎng)絡(luò)層面的廣泛監(jiān)控和EDR在終端層面的深入分析，組織才能夠真正構(gòu)筑一個(gè)全面而強(qiáng)大的安全防護(hù)體系。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢(shì)感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場(chǎng)>

工業(yè)互聯(lián)網(wǎng)安全>