安全路透社
当前位置:安全路透社 > 网络转载 > 正文

端点保护的那些事儿:盘点国外流行EDR产品

一、引言

近两年,EDR(端点检测与响应)产品在全球信息安全行业中的热度居高不下。国外很多EDR产品趋于成熟,国内市场也慢慢进入了状态。

对于厂商来说,怎么把EDR做好很难。怎么做好EDR产品这类商业机密不会有真正的干货公开分享。那么我们就从用户的角度出发,尝试解决用户应该如何采购的难题。

二、EDR工具及服务真正的价值在哪里?

采取主动防御的方式保护端点安全越来越有必要。

很多企业都逐渐意识到要想把恶意攻击者完全拦截在企业环境之外不像部署防火墙和防病毒软件那么简单。现在大多数恶意黑客都能够利用定制的恶意软件绕过传统的防病毒解决方案,所以我们需要采取更为主动强大的方法来保护端点。这种方法应该兼备实时监控、检测、高级威胁分析及响应等多种功能。

市面上有很多EDR工具(下文将详细介绍几款经过我们测试的产品),但是由于缺少足够的IT人员,很多企业都卡在了部署实施的环节上。CounterTack的首席技术官Mike Davis和Trustwave的产品总监Charles Arnett在CISSP上分析了IT专业人士在考虑和实施EDR平台时需要了解的EDR技术与最佳实践。

1.现状与EDR的强大功能!

3artboard-1-100678803-orig.jpg

我们建议企业应该提高对终端设备的关注,包括攻击者的活动以及员工在其设备上的行为。每当发生攻击事件,大家往往会认为似乎只有预防措施才是避免损失的最佳方式,因为很多情况下我们都无从获取解决和管理攻击事件所需的具体情境。

然而EDR技术功能强大:

检测更为深入——深度检测与响应;

不间断性——持续检测、威胁捕捉、修复措施;

实时可视化程度更高——发现高级攻击行为、实时观测该攻击行为对用户造成的影响。

各个端点保护解决方案的功能差异也比较大,从经典的基于签名的防病毒软件到通过大数据技术生成很多扩展功能的更为成熟的解决方案。成熟的解决方案包括深度安全监控、威胁检测和事件响应功能。

2. EDR检查表:你所在企业的各个端点是否容易受到攻击?

5_checklist-100678804-orig.png

在决定采纳EDR解决方案之前,首先应该确定自己的“易感性水平”,即是否容易受到端点攻击,明确以下几个问题可能会对你产生帮助:

你的最终用户是否拥有你无法监测到的移动设备或其它高风险设备?

你的用户是否在你的网络之外连接笔记本电脑和移动设备?

你的用户是否可以自由选择想要访问的网站?

你的员工是否与其它人(如家庭成员和客户)共享他们的联网系统?

你所处行业是否属于高风险领域,如关键基础设施行业、政府和政务相关行业、医疗业、金融业或为这些行业提供支撑的相关领域?

3. 根据以往经验明确你可能会遭遇的威胁

6_understand-100678806-orig.jpg

牢牢掌握可能影响你所在机构的攻击类型至关重要。我们可以尝试问自己以下这些问题:

是否经常遇到攻击事件?

如果是,攻击是持续性的吗?

攻击痕迹是否难以彻底清除?

是否已经遭遇过数据泄露事件?如是,严重性如何?攻击者窃取了什么资料?

发生攻击事件以后,你是否能够收集与攻击或泄露事件相关的记录和信息?

4. 采取EDR解决方案的难点在哪里?

7_challenges-100678807-orig.jpg

列完检查表并且开始进入评估环节后,你可能会发现利用各种可用的端点防护技术并将其与已有安全产品整合的成本十分昂贵,并且会出现难以管理的局面。归根结底还是因为缺乏专业的IT人员,所以新技术的整合成了大难题。

5. 外包——为人才缺乏问题减压!

8_outsourcing-100678808-orig.jpg

如今只购买最新最好的技术已经远远不够。企业或机构需要有全职员工对他们所采购的技术进行有效管理,确保其正常运行,实现价值的最大化。但是另一方面,想要在企业内部找到管理EDR和其他技术的信息安全人才非常困难,因为全球网络安全行业缺乏技术人员的就业岗位数量达到一百万以上。

为了解决这样的情况,很多信息安全企业正在向托管安全服务提供商(MSSP)转型。朔方信息前身就是某业界知名企业旗下的安全服务项目部,起步早,经验丰富,口碑享誉华东地区。

6. 可视化程度不断提高

9_visibility-100678809-orig.jpg

很多安全厂商的威胁情报可视化程度低,情报价值也不高。用户在选择威胁情报产品之前可以与可靠的咨询公司合作,争取利益最大化、获得最有价值的资源:访问全球威胁情报,利用EDR解决方案主动查找客户环境中的攻击指标。选择可靠的MSSP,获得功能管理服务与关键的威胁情报资源。

三、10大高级端点防护工具

(注:以下内容为Network World于16年7月发布的文章,不具有时效性,仅供大致参考。)

基于传统反恶意软件工具这样简单的端点防护的时代已经过去。取而代之的是高级端点检测和响应(EDR)工具,其功能实现能甩传统防护手段几条街。例如,评估大型生态系统中的威胁,结合网络入侵检测的最佳功能,检查每台计算机上每项进程的具体情况。为给读者带来福利,我们选择了10种EDR产品进行了使用测试,测试结果是这10个产品都比较给力,但遗憾的是没有一个产品完全具备所有功能。在这种情况下,每个用户只能根据自己已安装的安全工具以及员工的技能水平来选择合适的EDR产品。以下就是这10个高级端点保护产品的详细介绍:

1. Comodo Advanced Endpoint Protection v 5.1

comodo.jpg

代理:需要

价格:每年每位用户$31~$54

功能描述:反恶意软件+移动设备管理+补丁管理

Comodo Advanced Endpoint Protection (AEP)源于该公司的反恶意软件业务。其代理范围最为广泛,设置方式也是我们测试产品中最简单、最方便的。该产品还具有基于主机的防火墙、基于云的沙箱和基于主机的入侵防御规则等功能。另外,它还有两项补充服务:Viruscope能够自动分析运行程序并记录其活动;Valkyrie能够看到可疑文件,并根据人类或机器几十种不同行为和其它分析对它们进行风险评级。AEP最大的缺点是它生成的报告是一稿数用的,质量较差。

2. CounterTack Sentinel v5.5

countertack.jpg

代理:需要

价格:常规终端设备——每年$50;服务器——每年$100~$125

功能描述:实时威胁分析+大数据分析

Sentinel能够对你的终端设备进行实时的威胁分析,而且能与无论是自身的还是第三方的大数据分析工具进行集成,几乎无限制地、定制化地与实时安全情报展开协同工作。Sentinel适用于Linux和Windows系统的端点。其管理控制台的界面非常整洁,用于情报概述、搜索、配置和报告的菜单栏也非常清晰。Sentinel的执行仪表板显示了检测到的内容和严重性情况。另外,它的搜索功能也非常强大,能够通过许多安全事件来展示整体情况的全局图。几乎所有关于Sentinel的内容都是可定制的。但是它也有一个缺点,使用该系统必须掌握Cyber Observable Expression(Cybox)XML开源脚本语言。

3. CrowdStrike Falcon Host

代理:需要

价格:每个终端设备每年$30

功能描述:对可执行文件的自动拦截

CrowdStrike Falcon Host(CrowdStrike的猎鹰主机)将几个不同的功能组合在一个包中。它也是安装方法最为简单的产品之一。 Falcon Host的关注重点不在于扫描你的终端是否收到感染,而是确定以前是否碰到过此哈希值(hash)。当找到匹配的哈希时,会立即对可执行文件采取自动拦截的措施。其主控台的界面也十分整洁,包含各种仪表板,例如综合安全事件实时更新的推送界面、在端点中检测到的内容概况界面、可用于评估任何哈希或文件的筛选工具、一个调查控制台以及一系列的配置设置。检测展示屏幕是需要花费用户大量时间的地方,用户可以在这里看到感染设备并采取应对措施,或者利用其它工具分析漏洞。

4. Cybereason

Cybereason.jpg

代理:需要

价格:每个终端设备每年$75起

功能描述:恶意程序实时捕捉

Cybereason拥有支持直接从基于Web的管理控制台下载的Windows、Linux和Mac端点的代理。它为恶意软件的实时“狩猎”而生,并具备一系列可视化的界面来帮助你了解攻击情况。该控制台也非常简洁清爽。如果你找到了一个漏洞,只要点击屏幕右下角小小的“修复(remediate)”按钮即可。每次受到感染都只需要完成这个简单的步骤。但是,Cybereason需要一个分辨率很高的显示器(1920×1200为最佳)来查看其控制台。如果它能适应较小的屏幕,市场反响应该会更好。代理可以从管理控制台进行远程更新,管理员享有禁用数据采集或重新启动代理的权限。

5. ForeScout CounterAct

forescout.jpg

代理:不需要

价格:设备价格$4,995~$182,000不等

功能描述:NAC(网络访问控制)+策略执行+与其它软件的编排(orchestration)

ForeScout的CounterAct拓展了网络访问控制(NAC)市场,这一功能相对还是传统化的,当然你在使用该工具时也可以选择不启用NAC功能。其代理均适用于Windows,Mac和Linux系统的端点,当然你也可以在不安装代理的情况下操作CounterAct。由于该产品不限于代理,所以它能够监控无头式物联网和其它嵌入式设备。CounterAct分为两部分:基于Linux的设备、物理服务器或虚拟机,以及基于Windows的管理服务器。两者同时工作的功能也有所涉及。但是这款产品的用户界面简直是个噩梦。如果你的网络合规性规则非常明确,这是一款很好的产品,可以将这些规则直接编码到其保护功能中。

6.Guidance Software Encase Endpoint Security v5.12

代理:需要

价格:$ 44,000起,包括一些专业的安装和咨询服务

功能描述:行为分析+威胁检测与修复

Guidance Software Encase在功能实现上已经比较成熟,但是在可用性上还需要多加检验和优化。这是一个疯狂的功能集合工具,基于Web、Windows的仪表盘和控件,软件程序和似乎无止尽的子菜单。完全完成配置可能要花上几天的时间。总的来说,其目标是为你的安全事件提供具体情境,并了解端点正在发生的情况。如果你需要的是一个实时的安全监视器,那么不建议选择这款产品。它的主要作用是深入到你的端点中,找到恶意攻击者和恶意程序所做的更改。Encase还能够从一大批设备和应用程序中筛选出重要的安全警报和日志文件,大大减轻工程师的工作量。

7. Outlier Security v2.1.2

outlier security.jpg

代理:不需要

价格:每个终端设备每年$40

功能描述:Windows系统的端点扫描与分析

Outlier Security结合了SaaS和on-premise(预置型)的最佳功能。你可以使用Web浏览器连接到SaaS门户:在执行此操作之前需安装Microsoft Silverlight和.Net框架。然后下载他们的“数据库”,这个数据库位于用于在你的网络上启动扫描的本地Windows计算机上。Outlier是一款令人印象深刻的产品,因为它不需要代理,但缺点是仅适用于Windows系统的计算机。由于扫描一般都是定期进行的,因此这款产品适用于长期检测而非实时分析。

8. Promisec PEM v4.1.2

promisec.jpg

代理:不需要

价格:每位用户每年$60起

功能描述:基于策略的合规性、网段扫描

Promisec的解决方案是运行一系列模块的端点管理(PEM)服务器,它不需要直接在端点设备上安装任何代理或传感器,而是在你要监视的每个网段上使用基于Windows的Sentries。这样的设计使得其分析范围更加全面,而不一定要满足对特定操作系统版本或嵌入式设备支持的要求。目标端点可以运行Windows、Linux和Mac OS等任何系统。它最多包含五个不同的模块:合规性、管理、自动化、电源管理器和清单。

产品内置了很多扩展功能。唯一的缺点是该产品未做到真正的主动防御:黑客入侵以后我们才能发现攻击事件。

9. SentinelOne Endpoint Protection Platform v1.6.1

sentinelone.jpg

代理:需要

价格:每个终端设备每年$45起

功能描述:实时事件信息+深入分析

SentinelOne的端点保护平台提供几乎实时的事件信息。一旦SentinelOne发现某个恶意软件,它就会告诉你网络上首次看到该恶意软件的位置,以及来自数十个安全服务的攻击方式的信誉度。另外,它也与VirusTotal相互连接,从中查看哈希值和漏洞利用的其它元数据。SentinelOne安装便捷,但也有一些特定的要求。其代理需要双核的CPU和至少2GB的内存。对于运行Windows系统的端点,使用时需要进行重启,并保持该软件在“控制面板”中显示为正在运行的应用程序。管理人员只有两种:“正宗”的系统管理员或帮助中心——后者无法修改配置设置、执行系统更新、添加或删除用户。

10. Matrix Partners’ Stormshield Endpoint Security v7.204

代理:需要

价格:每位用户每年$15起

功能描述:传统的反恶意软件+基于网络的IPS

Stormshield Endpoint Security(SES)是微软的“好亲家”:你需要一个Windows Server、IIS、SQL Server、.Net Framework等等才能正常使用该软件。单独的Windows程序用于生成端点代理。该软件有三种保护机制:基于规则的策略、系统和网络活动的自动保护以及基于配置文件的行为策略(监视运行应用程序、阻止异常行为)。管理员创建的一切策略优先于所有自动化进程。SES是传统恶意软件端点防护手段和基于网络入侵防御方式的混合体。另外它也具备为可移动设备加密以及临时访问web的功能。因此用户可以在启动VPN连接之前完成公共Wi-Fi热点(如酒店)的身份验证。

*本文投稿作者:Carrie_spinfo,经作者授权,转载自微信公众号“赛博朔方”(chinamssp)

未经允许不得转载:安全路透社 » 端点保护的那些事儿:盘点国外流行EDR产品

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册