本文转自 51CTO 技术栈
原文:https://mp.weixin.qq.com/s/RR9JHKbSOhPNQu7UvBQjwA
随着网络攻击技术的不断提高,黑客的攻击手法越来越复杂。坚定的攻击者和 APT 高级持续性威胁在逃避反病毒软件检测方面很有耐心,他们使用的工具,技术和战术看上去像正常行为,非常难以检测,他们可以在您的网络环境中停留数天,数周甚至数月,都不会触发安全警报。
EPP 端点防护对此类高级攻击中通常 “没有反应”,无法检测到入侵,您甚至不知道黑客是如何攻击进来的,作了哪些操作,什么时候撤离的。
端点检测和响应(EDR)是解决这一挑战的最有希望的解决方案,被称为下一代反病毒。
EDR 可以实时监控整个端点,并搜索渗透到公司防御系统中的威胁。这是一种新兴的技术,可以更好地了解端点上发生的事情,提供关于攻击的上下文和详细信息。
EDR 可以让你知道攻击者是否及何时进入你的网络,并在攻击发生时检测攻击路径,帮助你立即对事件作出反应。
EDR 控制台部署
像市场上许多其它 EDR 产品一样,Bitdefender EDR 提供了 SaaS 云控制台版本,在云端集中管理,对于跨区域,跨全球的企业来说,是一个非常不错的选择。
除此之外,Bitdefender EDR 还可以在公司内部私有化部署。Bitdefender 提供了 OVA,XVA,VMDK,VHD,VHDX,RAW 等多种格式的虚拟机模板,IT 管理员可通过虚拟化管理平台速导入虚拟机模板,一键完成管理控制台部署。
IT 环境支持
在 IT 环境支持方面,Bitdefender EDR 不仅支持台式机,笔记本办公电脑,还适用于服务器,虚拟化数据中心,超融合基础架构,云环境等,支持面非常广泛,支持各类的主流操作系统,EDR 支持 Windows,Linux,macOS 等各类系统。
控制台 UI 界面
访问 Bitdefender EDR 控制台后首先看到的是仪表板,它既简洁又有用。它包含恶意软件活动的趋势线,每个报表小部件中都包含追溯的功能。
与大多数竞争产品提供的静态界面相比,Bitdefender 在这方面做的非常不错,Bitdefender 允许使用大量有用的小部件来定制其布局,定制成自己最喜欢的界面。
我们发现最独特的是能够直接从某些小部件中启动扫描任务。对于我们来说,这种高度的定制与便捷的工具相结合,确实给人留下了深刻的印象。
在管理控制台右侧,管理员可以实时看到网络中每个安全事件的告警,快速查看安全事件。
EDR 客户端安装
Bitdefender 的 EDR 客户端采用国际主流的方式,客户端同集成了 EPP+EDR,两者结合在一起,可在一个轻量化传感器中提供多种安全功能。
在部署时,我们选择了使用下载器部署。整个安装包只有 5M 大小,却集成了非常多的安全模块,包括: 反恶意软件,高级威胁防护,高级反漏洞利用,HyperDetect 可调节机器学习,Sandbox 沙盒分析器,防火墙,入侵检测系统,网络攻击防护,流量扫描,设备控制,补丁管理,EDR 传感器,威胁情报,应用程序控制白名单,应用程序控制黑名单等等,IT 管理员可以将所有模块都包含在安装程序中,也可以根据需求自定义灵活配置。
另外,还有更多的安装选项,例如“选择语言”,“防卸载密码”, “安装到自定义路径”,“配置扫描引擎”, “卸载其它安全软件”。这使 Bitdefender 的部署选项非常灵活,是 IT 专业人员的不错选择。
配置好安装包后,管理员可以使用非常多的方法来部署 Bitdefender EDR 客户端到网络,例如“发送邀请邮件”, “远程推送安装”, “与 AD,vCenter Server,XenServer,Nutanix Prism 集成远程推送安装”,“MSI 安装” “使用第三方工具例如 SCCM,桌面管理软件推送安装”,“拷贝安装包到目标机器安装”等等,经验丰富的网络管理员可以在 30 分钟内部署 EDR 到上百台电脑,服务器,虚拟桌面,虚拟服务器等。
对于 VMware,Citrix,Nutanix, AD 环境,Bitdefender 的部署尤其让人印象深刻,所有部署都可以在控制台中远程推送。
Bitdefender EDR 还包含了数据中心安全模块,对虚拟化数据中心,超融合架构的虚拟服务器 VS 和虚拟桌面 VDI 提供了特殊优化的安全保护, 可在虚拟化底层拦截攻击。对于大型IT环境来说,这是一个很吸引人的选项。
在官方文档中,我们看到 Bitdefender 支持市场上所有的虚拟化和超融合平台,例如:VMware,Citrix,Nutanix, Microsoft Hyper-V,KVM,深信服,阿里云,腾讯云,华为云,青云等等。
策略配置
Bitdefender 的部署过程令人印象深刻,但在“策略”页面上,Bitdefender 的控制,易用度超越了其他公司。
Bitdefender 可以在一个策略模板中,全面控制所有不同平台的设备的安全策略,例如 Windows,Linux,macOS 等,策略设置后自动下发,可在短短的 1 分钟内应用到所有设备,非常便捷!
除了添加和管理策略外,还可以根据设备所连接的网络自动应用这些策略。尽管规则可能会变得有些复杂,但是在这么多员工从不同位置通过不同设备进行连接的时候,能够如此精细地分配配置文件是一项强大的功能。对于远程办公,漫游用户的策略管理来说非常有用。
事件检测和响应
EDR 端点检测与响应是一个更加有趣的地方,因为它提供了针对恶意软件攻击的根本原因分析。
Bitdefender 的 EDR 部分分为两个区域:
-
调查:显示突破 Bitdefender 安全技术的事件,管理员需要重点关注和调查此区域的事件。
-
查看:显示 Bitdefender 预防技术检测的事件,管理员可以稍作查看,无需太多关注。
通过区域的划分,Bitdefender 大大缩小了需要分析的安全事件数量,因为安全分析师没有足够的时间来评估每个警报并确定进一步调查的优先级。
自动警报分类显示了一个清晰的视图,分析人员可以轻松阅读和理解。它减少了对警报进行分类所花费的时间,并使事件响应更快。点击事件,将展开详细的分析报告,图表显示了详细的攻击路径,并为 IT 专业人员提供了建议的主动步骤,以缓解入侵。
应急响应工具
Bitdefender 提供了:“黑名单”, “Mitre ATT&CK 标签”,“隔离主机”,“安装补丁”,“远程 Shell 连接”,“结束进程”,“沙盒分析” ,“VirusTotal 分析”, “Google 分析”,“扫描入侵指标” ,“事件搜索” 等众多响应功能。对于可疑的安全事件,管理员可立即采取行动,避免威胁继续发展。
黑名单是一个有用的事件响应工具,管理员可以在事件中,点击按钮将文件添加到黑名单中,也可以手动导入 MD5 或 SHA256 哈希,建立黑名单规则,阻止其在网络中运行。
对于 APT 常用的网络钓鱼攻击,管理员可借助黑名单功能,快速屏蔽钓鱼附件,非常好用。
高级功能
Bitdefender 的沙盒分析器是另一个突出的功能。当遇到不确定的文件时,可以将其提交到沙盒以进行引爆然后进行分析。由于它在虚拟容器中引爆,因此这是确定文件是否安全的一种好方法。
当有潜在威胁试图突破 Bitdefender 预防技术时,端点会自动触发沙盒提交分析功能,沙盒系统分析完毕后,会自动反馈分析结果和报告到管理控制台,并发送判决给客户端。
如果需要,也可以手动提交文件和网址到沙盒分析。
相对于微步在线之类的沙盒工具,Bitdefender 提供了更加详细和精准的沙盒分析报告,集成的沙盒工具让安全分析更加简单和高效。
特色功能
风险管理是 Bitdefender 的一大特色功能,Bitdefender 风险管理包括操作系统安全基线分析,漏洞分析,人为风险分析等功能。
IT 管理员可在管理控制台实时查看整个公司的风险态势,所有的风险指标,例如:操作系统配置错误,浏览器配置错误,Office 宏,程序漏洞,密码更改策略,人为风险等数百个风险指标,Bitdefender 还提供了自动或手动修复功能。
持续的风险分析,风险修复,可以从根本上降低整个公司的攻击面。除了基线分析,Bitdefender 还提供了漏洞扫描和补丁管理功能,可以快速发现操作系统和第三方应用程序的漏洞,IT 管理员可设置自动漏扫,自动安装补丁计划,非常方便。完整清晰的报表,易用度,甚至可以超越 LANDESK 之类的桌面管理工具。
为了检验 EDR 的实际能力,我们对 Bitdefender EDR 发动了实际攻击测试。我们准备了一台用于攻击的 Kali Linux,和一台 Windows 10,在 Windows 10 上安装了 Bitdefender EDR 客户端。
攻击实战
攻击测试 1—APT 网络钓鱼
我们执行的第 1 个测试是网络钓鱼,从服务器发送一封钓鱼邮件到受害者,其中包含特制的 word 文档,打开文档时将运行 VBA 宏,该宏启动带有特定参数的 cmd.exe,并尝试执行 installer.exe 安装木马。
Bitdefender EDR 自动响应,阻止了所有的攻击,并在控制台中深度曝光了每个执行步骤。
攻击测试 2—RDP 爆破攻击
我们在 Kali 上使用 Hydra 对 Windows 10 发起了 1000 次蛮力爆破攻击,Bitdefender EDR 自动响应和拦截了 RDP 爆破,并屏蔽了后续的攻击,EDR 控制台也实时展现了攻击链路。
测试 3—内网发现
攻击者通过钓鱼,暴力破解,漏洞利用等攻击手动攻击成功后,通常会以此机器为跳板,发现网络中其它的设备和关机服务器,因此,我们执行了第 3 个测试是网络发现。
我们为此专门制作了一个批处理脚本,运行后此脚本将自动搜集攻击目标的系统和网络信息。
非常令人震撼的是,Bitdefender 把批处理脚本中的每一条命令和命令参数都完整地呈现在控制台中。
测试 4—提权和窃取凭据
我们的第 4 项测试比较棘手,我们编写了一套 Powershell 和批处理脚本,首先,我们使用 UACMe 绕过 Windows 的 UAC,并提权。
有了这些新的特权,我们再运行 Powershell 脚本。Powershell 脚本将运行 mimikatz.exe 从操作系统进程 lsass.exe 中提取用户名和密码,转储到文件中 data.txt。
然后,Powershell 脚本将解析这个文件并提取凭证,然后通过 HTTP 将其发送到运行在 Kali 机器上的 Python 攻击服务器。
Bitdefender EDR 自动响应,阻止了所有的攻击,并像播放高清电影一样清晰地展示了每一个攻击步骤。
出色的响应
Bitdefender EDR 最厉害的功能之一就是它实时响应高级攻击。一旦检测到威胁,恶意软件名称,文件以及相关信息,便会立即在弹出面板中显示。
而且,Bitdefender 显示的详细程度令人震惊。客户端和 Web 控制台界面上的事件链显示了恶意软件正在执行的详细逐个播放。
对于事件调查,根本原因分析,攻击取证非常有用,它也可以揭示攻击的来源,并帮助管理员搜索初始入口点。
测试总结
Bitdefender EDR 是一个您需要重点关注的强大的安全解决方案,它包含大量高级功能以及经过深思熟虑的策略管理系统。
即使针对非标准攻击,在我们的测试中 Bitdefender 检测威胁的能力也是令人惊叹,攻击者很难绕过 Bitdefender 的安全防线。
Bitdefender EDR 总体评分:5.0/5.0,如下图:
Bitdefender EDR 优点:
-
对复杂 IT 环境支持非常好,对虚拟化和超融合的 VDI 和 VS 提供了特殊优化的安全保护。
-
集成行业顶级的 EPP 预防技术。
-
高质量的威胁情报,5 亿用户全球最大的云安全网络。
-
部署非常简单,易于使用。
-
EDR 实时展示,响应和停止高级攻击,可深度朔源和攻击取证。
-
沙盒分析器带来安全自动化,简化可疑文件分析。
-
包含实用的漏洞扫描和补丁管理功能。
-
包含风险管理评估安全基线功能,从根本上减少攻击面。
附:Bitdefender EDR 能力图
来源:freebuf.com 2020-10-09 11:27:24 by: 比特梵德中国
请登录后发表评论
注册