前序:
國內殺毒軟件的發展史大體經過五個階段:1)1989-90年代中期簡單特征碼殺毒引擎;2)90年代中期-1998年廣譜特征碼技術;3)1998-2007年啟發式殺毒引擎;4)2008-2010年雲查殺引擎;5)2010-至今人工智能殺毒引擎。
1)1989-90年代中期簡單特征碼殺毒引擎
第一代反病毒引擎-檢驗法,只能判斷系統是否被病毒感染,通常是比對惡意文件的哈希值,但不具備病毒清除能力。檢驗法產生了真正的反病毒技術王者-特征碼技術,特征碼技術至今仍是反病毒軟件的主要技術。
2)90年代中期-1998年廣譜特征碼技術
廣譜特征碼技術是江民公司首創,江民也是依靠該技術名震一時。廣譜特征碼是一類病毒程序中通用的特征字符串,起初廣譜特征碼技術可以有效查殺一類病毒包括變形病毒,但是隨着正規應用的發展已經新病毒的不斷出現,該技術誤報率大大增多,已不能有效查殺新病毒。
3)1998-2007年啟發式殺毒引擎
特征碼技術的病毒比對、實時查殺能力至今仍是殺毒引擎賴以存活的基本能力。其缺陷是特征碼要讀進內存,且只能查殺已知病毒,缺乏對未知病毒處置能力,病毒變種呈指數級增長,促使需要新的檢測技術出現,因此基於行為(動態分析)、文件結構分析(靜態分析)、較少依賴特征庫的查殺未知木馬病毒的新技術-啟發式殺毒引擎應運而生。啟發式監測是總結病毒入侵主機后的一系列共性行為為惡意行為。
在2007年,瑞星指出黑客利用加殼等技術“產業化、自動化生產病毒”;金山指出病毒/木馬高速出新,病毒“工業化”入侵特征明顯;江民指出病毒開始可以隱藏自身,以逃避殺毒軟件查殺。因此,傳統殺毒軟件不再有效。
4)2008-2010年雲查殺引擎
隨着互聯網發展及網絡攻擊不斷推陳出新,以灰鴿子、熊貓燒香等網絡病毒開始泛濫,正式揭開了病毒網絡化發展的序幕,雲安全概念也在此時出現,首先執牛耳者是趨勢科技,全球首推雲安全體系,隨后瑞星跟隨,成為國內第一家雲安全體系的締造者。盡管瑞星、金山都擁有雲安全體系,360很快追趕上來,成為世界最大雲安全體系廠商,而此時江民已然衰落,騰訊才開始起步,百度還沒踏足安全領域。
5)2010-至今人工智能殺毒引擎
2010年,360向世界發布第七代反病毒引擎QVM(Qihoo Support Vector),首次將機器學習理論應用於病毒識別。從而開啟了使用機器學習和人工智能技術實現病毒檢測和查殺的終端安全時代。
正文:
當前終端安全概念包括傳統殺毒antivirus、雲工作負載保護平台CWPP、端點防護平台EPP、終端安全檢測和響應平台EDR以及基於主機的入侵檢測系統HIDS。
1. 傳統殺毒antivirus集中於病毒的哈希比對、特征碼匹配以及啟發式殺毒。起初的病毒哈希比對需要建立病毒哈希庫,簡單快捷,但是不能檢測未知病毒樣本。特征碼匹配使用靜態掃描技術,掃描對象與病毒特征碼一致,則判斷為病毒。啟發式殺毒是通過檢查程序代碼指令中可疑屬性來檢測病毒的方法。
2. HIDS側重於基於主機的檢測,集中於真實攻擊者入侵主機后可能在系統層面做的惡意行為,比如可疑命令、異常登錄、反彈shell、上傳webshell等。
3. CWPP(Gartner2017年提出【參考:https://www.gartner.com/smarterwithgartner/gartner-top-technologies-for-security-in-2017】)是一種雲工作負載安全防護的解決方案。按照Gartner的說法,數據中心支持的工作負載可以運行在不同的地方,如物理機、虛擬機、容器、私有雲和公有雲。雲工作負載防護平台提供單一的管理控制台和單一的方式來表示安全策略,而不管工作負載在哪里運行。而事實上,雲工作負載主要指虛機和容器,因此CWPP主要是虛機和容器安全防護產品和解決方案,而虛機和容器安全防護又會涉及主機安全和網絡安全,因此CWPP不單單指端點安全。在Gartner 2020年的CWPP市場指南中又把CWPP的技術方向細分了幾十個,CWPP主要防護目標是服務器的工作負載,CWPP與EPP出現分離,EPP解決PC維度的安全防護,CWPP解決數據中心維度的安全防護,而且CWPP強調混合數據中心架構的統一管理,與雲平台原生對接。
4. EPP(Gartner2017年提出【參考:https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2017】)是一種部署在終端設備上的解決方案,防御基於文件的惡意軟件攻擊,檢測惡意活動,並且提供響應動態安全事件和警報所需的調查和補救能力。EPP的檢測能力各有不同,但是高級的解決方案會使用多種檢測技術,從靜態IOC到行為分析。理想的EPP解決方案主要是雲管理的,允許持續監控和活動數據收集,並具備遠程補救措施的能力,無論終端在企業網絡還是非辦公網絡。此外,理想的EPP是雲數據輔助的,意味着終端agent不必維護所有已知IOC的本地數據庫,僅依靠檢查雲資源找到無法分類的對象的最新判斷。EPP是一種集成解決方案,EPP包含的功能主要有以下幾種:
- 反惡意軟件(anti-malware)
- 個人防火牆
- 端口和設備控制
- 漏洞評估
- 應用程序控制和應用程序沙箱
- 企業活動管理(Enterprise mobility management (EMM))
- 內存防護
- EDR
- 數據防護如全磁盤和文件加密
- 終端數據丟失防護(DLP)
反病毒的啟發式監控結合威脅情報信息提升了EPP的反病毒能力,但從技術上講都是被動防御能力的疊加,當針對性強,持續時間久,威脅程度高的APT攻擊增多,被動防御已不能滿足安全需求,因此出現了EDR技術。
5. EDR(Gartner2014年提出【參考:https://www.information-age.com/gartners-top-10-security-technologies-2014-123458169/】)是一種終端安全的解決方案,記錄和存儲終端系統層行為,使用各種數據分析技術檢測可疑系統行為,提供上下文信息,封堵惡意活動,並提供修復建議以恢復受感染系統。EDR解決方案必須具備四種功能:1)檢測安全事件,對終端的持續監控;2)在終端遏制威脅事件,以威脅事件為起點實現自動根因分析;3)調查安全事件,高級關聯分析應對針對性和復雜性攻擊;4)提供修復指導,主動發現和追蹤存在的威脅,在威脅產生影響指出做出響應。EDR在2014年就進入Gartner Top10技術,各個EPP廠商融入了EDR能力,目前基於雲的EDR部署方式成為主流,基於雲的EDR部署能減輕PC端的性能消耗壓力,將計算、分析整合到雲上,雲數據集中加上機器學習和AI的加持增強了檢測分析能力。
EDR將企業的終端安全分為預防、防御、檢測和響應四個階段:
- 預防:和傳統EPP相比,加入了前期資產識別、脆弱性檢查、漏洞管理、補丁管理、基線檢查、流量可視、USB管控等功能預防病毒或攻擊行為的滲透;
- 防護:防護階段一般還包括勒索誘捕、進程黑白名單、沙箱、自動隔離惡意文件的能力;
-
檢測:指的是持續檢測,開始強調基於人工智能和行為分析的檢測引擎,利用機器學習從海量的病毒樣本中學習其中的基因特征,從而在未知病毒的發現上獲得顯著效果;此外還會包括違規外連監控、暴力破解、webshell檢測、流行病毒快速檢測框架。
- 響應:一旦在某主機上發現惡意文件,必須形成安全閉環及時響應處置,在此階段,安全廠商融入SDP(Software defined Perimeter)東西向流量管控、宏病毒修復、進程溯源、終端圍剿查殺、安全產品聯動等。
| 序號 | 產品名稱 | 廠商 |
| 1 | SentinelOne | |
| 2 | CrowdStrike | |
| 3 | Trend Micro XDR | Trend Micro |
| 4 | Microsoft Defender for Endpoint (MDE) | Microsoft |
| 5 | Kaspersky Anti Targeted Attack Platform (KATA) | Kaspersky |
| 6 | VMware Carbon Black EDR | VMware (Carbon Black) |
| 7 | Symantec Advanced Threat Protection | Broadcom (Symantec) |
| 8 | Malwarebytes Endpoint Detection and Response | Malwarebytes |
| 9 | Panda Adaptive Defense 360 | WatchGuard |
| 10 | Harmony Endpoint | Check Point Software Technologies |
| 11 | Cortex XDR | Palo Alto Networks |
| 12 | VMware Carbon Black Cloud | VMware (Carbon Black) |
| 13 | Cybereason XDR Platform | Cybereason |
| 14 | Sophos Intercept X Advanced with EDR | Sophos |
| 15 | Cisco Secure Endpoint | Cisco |
| 16 | Kaspersky Endpoint Detection and Response | Kaspersky |
| 17 | FireEye Endpoint Security (HX) | FireEye |
| 18 | BlackBerry Optics | BlackBerry |
| 19 | Cynet | |
| 20 | McAfee Endpoint Threat Defense and Response | McAfee |
分析:
1. EPP與EDR的區別
包括EPP在內的傳統終端安全解決方案以防御威脅為出發點,被動檢測和攔截攻擊,對威脅來源、運行過程、產生的影響無法做到監控和記錄,而且產生的告警信息數量龐大缺乏相互關聯,導致缺乏對整個安全威脅事件的可見性和可控性。因此傳統終端安全解決方案存在的問題是1)難以應對復雜針對性攻擊如APT攻擊,告警需要人工分析和挖掘;2)難以威脅溯源,只有告警,缺乏終端持續監控,難以定位威脅來源;3)應急響應周期長,告警數量龐大,告警間獨立,缺乏關聯,難以及時正確響應和處理。
EDR一個重要功能是威脅追蹤(threat hunting),EDR會記錄大量終端網絡事件,將這些數據保存本地或上傳數據中心,使用已知威脅情報、行為分析、機器學習技術發現威脅行為或者新型攻擊跡象,而不是依賴已知威脅簽名。EDR的威脅追蹤功能是區別EPP的重要特征。EPP依賴存儲的模式和簽名文件阻止已知威脅,對未知威脅難以解決,EDR的主要目標是主動檢測新的或未知威脅。EPP屬於“阻斷”層次產品,類似於IPS,而EDR屬於“檢測”+“響應”層次產品。
簡單總結一下:
- EDR不是防病毒軟件,EDR本身不能殺毒,需要與EPP產品結合
- EDR是單獨產品,但目前有廠商推出EPP結合EDR
- EDR與EPP主要區別在“沙盒”和“威脅追蹤”
2. CWPP與EDR的區別
EDR從EPP脫胎出來,核心在於深入的行為分析和系統響應,利用對系統行為的建模和數據分析來發現攻擊。CWPP也可以認為是從EPP分化出來,CWPP針對雲工作負載虛機或者容器,因而EDR面向終端安全,CWPP面向服務器和工作負載安全。