以EDR之合力，筑云主机“相控阵雷达”

你信任的亚信安全 2022-08-17

今天聊聊雷达，普通雷达就像是一只蝙蝠对着天空发出超声波，如果发现天上有物体就会反射回来。更高级的就是相控阵雷达，就如一只拥有蜻蜓复眼般的蝙蝠，对天空进行网状式扫描，所有复眼都能发射超声波。

而为了应对日益复杂的网络威胁，每一台云主机上都应该利用EDR技术，部署“相控阵雷达”，它的作用可能超乎你的想象。

夜深人静时，网络窃贼正在作案

夜深人静时，小偷蹑手蹑脚，来到超市实施盗窃，当他偷完东西已经离开后……你可能只能在第二天才会发现。

知己知彼，方能百战不殆。主机被网络入侵的过程，就像传统的盗窃流程，小偷需要先踩点，找到目标网络中的脆弱端点建立桥头堡，再通过进一步的漏洞潜伏来构筑长期驻留条件，最终达成行窃目标。而要抵御针对云主机的网络攻击，无外乎从三个方面入手：

缩小可能的被攻击面

这主要依赖事前的资产加固，定期对全网信息资产（包括主机、虚拟机、操作系统、应用、账号、端口等）的采集和管理，针对性加固，确保整个网络中没有安全盲点。

缩短从被攻击到发现、响应并处置的时间

事中检测响应是检验网络安全体系建设的“高考”，需要足够的情报和可见性来感知网络的风吹草动，当攻击事件发生时，应当第一时间获悉并加以处置。而越早在“杀伤链”环节（后面会有详细介绍）阻止攻击，修复的成本和时间损耗就越低。

还原事件的来龙去脉

指的是事后的调查溯源，在攻击事件发生以后，需要根据日志或数据分析出攻击事件的来龙去脉，要弄清楚“谁进来了、是敌是友、干了什么”，然后针对性加以补救，防止类似事件再次发生。

结合上述三点，我们在数据中心规划云主机安全体系的时候，可以依据CWPP模型。该模型可以分为攻防侧和运维侧两个部分。运维侧的工作做好，可以极大缩小可能的被攻击面。而攻防侧，毫无疑问，主机上的检测和响应能力是重中之重。

在每一台云主机上安装高清雷达

我国安保水平世界领先，有一个至关重要的原因是基础设施建设强悍——天网工程。在每一个交通要道、治安卡口、公共聚集场所、宾馆、学校、医院以及治安复杂场所安装视频监控设备，对刑事案件、治安案件、交通违章、城管违章等图像信息分类，为强化城市综合管理、预防打击犯罪和突发性治安灾害事故提供可靠的影像资料。

同理，在进行云主机安全建设时，用户可以利用亚信安全云主机深度安全防护系统Deep Security（简称DS）中的EDR技术，在每一台云主机内安装一个极其轻量的探针，记录系统运行过程中发生的所有事件，并将所有记录的数据上传至服务端长期存储，用来进行关联分析和后续审计溯源。包括：

进程启停事件
注册表事件
网络链接事件
文件操作事件
系统事件

如果把每一台云主机安装的高清探针比作雷达，那么全网云主机安装的探针阵列就是相控阵雷达，可以根据主机之间的事件关系，还原出完整的攻击链，找到攻击方、攻击意图和已经造成的损害！

当威胁事件发生时，需要第一时间告警

人在生病前都会有一些征兆，网络攻击事件也是一样，一般都伴随着“发现-定位-跟踪-瞄准-打击-达成目标”这几个阶段。正如著名的“网络杀伤链”概念：

侦查跟踪

攻击者搜寻目标的弱点，具体手段如手机钓鱼攻击用的登陆凭证和信息

武器构建

使用漏洞和后门制作一个可发送的武器载体

载荷投递

将网络武器包向目标投递，如发送一封带有恶意链接的欺诈邮件

漏洞利用

在受害者的系统上运行利用代码

安装植入

在目标位置安装恶意软件

命令与控制

为攻击者建立可远程控制目标系统的路径

目标达成

攻击者远程完成其预期目标

而EDR的价值就是有效对抗杀伤链。亚信安全DS的EDR模块集成了基于云端威胁情报库的IOC引擎和基于ATT&CK攻击框架检测的IOA引擎，在攻击（威胁）事件发生之初，便能进行记录和告警。

IOC：亚信安全全球共享的威胁情报库实时更新最新的安全事件特征，用户利用IOC引擎对时事热点的威胁事件进行自我排查或回溯，将风险扼杀在摇篮中。同时支持用户自定义的威胁特征检测，从高清探针记录的数据寻找威胁事件的蛛丝马迹。
IOA：ATT&CK框架将网络攻击分成了12个阶段，每个阶段均对应相应的战术点和技术点。IOA引擎将探针记录的行为数据与各阶段的技术点与战术点进行比对分析，一但发现攻击行为，将第一时间告警，请求管理人员进行确认和处置。

图：亚信安全基于ATT&CK框架形成高级威胁治理

值得一提的是，DS集成的EDR模块顺利通过赛可达实验室威胁检测能力测试，荣获“东方之星”证书。其中支持ATT&CK框架攻击技术覆盖的项目高达124个，达到国际卓越水平。

当威胁发生后，如何才能避免下一次伤害

一个“正规”的组织，在信息安全突发事件发生以后，一定会进行复盘和分析，找到事件的罪魁祸首，以便追责和避免类似事件再次发生。

事件复盘

亚信安全DS的EDR模块通过高清探针记录的事件数据，可以可视化呈现一个攻击事件的完整过程。通过进程事件树还原父子进程的孵化关系，分析特定进程执行的文件操作或非法外链，以及主机间的横向流量，最终找到此次攻击的入口、发起方式、攻击的过程，以及造成的损害。

溯源不是最终目的，最终目的是通过溯源分析，还原完整的攻击过程，找到主机环境中薄弱点，并进行针对性的补强，避免类似事件的重复发生。

威胁狩猎

为了提升亚信安全DS用户的综合防护能力及用户体验，亚信安全还提供“威胁狩猎服务”。这项服务由深度体检和专项筛查组成，亚信安全具备丰富攻防经验的威胁狩猎专家，可为用户提供高级威胁的溯源分析，能够解决关于“谁进来了、是敌是友、干了什么”的疑问，能够及早发现治理“潜伏”的高级威胁，避免这些高级威胁在重大活动与合规检查的关键时刻集中发作。

在云端形成相控阵雷达集群

人们常把传统机械式扫描雷达比喻为“个体户”，而把相控阵雷达说成是“合作社”，每一个阵元都是独立控制的，它们既能独立发射雷达波，也能接收雷达波的回波信号。因此，相控阵雷达利用先进的技术，提升了雷达的检测速度，准确度和范围，成为了战略级设备。

所以说，EDR是确保云计算中心安全的战略级武器。安装在云主机内的一个个EDR探针，组成了数据中心内网的相控阵雷达，不仅记录主机内发生的每一个事件，更能第一时间发现威胁或攻击，还原攻击事件的来龙去脉，真正提升云端整体防护能力。

行业热点：

三大安全能力+三大使用特性 | 亚信安全堡垒机V4.0发布

云力量 | 亚信安全携手南京网信办，构筑网络空间安全保障

云安全迎重大升级，守护云主机最后一公里

急！云主机能否也有自己的安全运维中台？

了解亚信安全，请点击“阅读原文”