近(jìn)日(rì),騰訊安全聯合南(nán)方都(dōu)¶γ≤δ市(shì)報(bào)正式對(duì)外(wài)發布《2021上(s∑ hàng)半年(nián)勒索病毒趨勢報(↓≥₩δbào)告及防護方案建議(yì)》,針對(duì)企業(yè)"δ₽用(yòng)戶定向攻擊。《報(bào)告》顯示,盡管2021年(nián)上≤₽(shàng)半年(nián)相(xiàng)比去(qù) 年(nián)同時(shí)期,勒索病毒的(de)攻擊态勢稍有(<σ©yǒu)下(xià)降,但(dàn)仍頻(pín)發。僅2021第一(y∑®§ī)季度,就(jiù)發生(shēng)了(le)多(duōφ↑♦←)起知(zhī)名國(guó)際企業(y€↕è)遭勒索攻擊的(de)案件(jiàn),并且贖金₹∞(jīn)持續刷新。譬如(rú)前段時(shí)間(jiān)的(↓↔↓$de)美(měi)國(guó)最大(dà∞σ♣)的(de)成品油管道(dào)運營商Colonial pipeli"∞ne受到(dào)勒索軟件(jiàn)攻擊,導緻美(měi)國(g ×±≤uó)東(dōng)部沿海(hǎi)各州供油的(de)關鍵燃油網絡暫停運營。
勒索病毒是(shì)一(yī)種流行(xíng)木(mù)馬,§☆通(tōng)過騷擾、恐吓甚至綁架用(yòng)戶文(π∑♠wén)件(jiàn)等方式,使用(yòng)戶數(shù)÷•據資産或計(jì)算(suàn)資源無法正常使用(yònσ★g),并以此為(wèi)條件(jiàn)向用(yòng)戶勒索錢(qi♠ án)财。主機(jī)在感染勒索病毒後, ≥♥≤除了(le)自(zì)身(shēn)會(huì)被加密,勒索病毒往"→♣<往還(hái)會(huì)利用(yòng)這(zhè)台主機(jī€≥)去(qù)攻擊同一(yī)局域網內(nèi)的(de)其他(tā)↓π♦✘主機(jī),所以當發現(xiàn)一(yī)台主機(j∏✘§ī)已被感染,應盡快(kuài)采取響應措施,以盡可(kě↔)能(néng)減少(shǎo)損失。
大(dà)量的(de)數(shù)據表明(míng),人(ré∑↓★₹n)是(shì)企業(yè)安全最薄弱的(de)環節,內¶λ✔♠(nèi)部安全防範意識非常重要(yào),加≈€✔強內(nèi)部終端的(de)安全防範刻不(bù)Ω×容緩。
端點檢測和(hé)響應(EDR)是(shì)一( →yī)種主動式端點安全解決方案,通(tōng)過記錄終端與網絡事(shì)件(₹¶jiàn),将這(zhè)些(xiē)信息本地(dì)化(huà)♠↑×☆存儲在端點或者集中在數(shù)據庫。
終端安全防護
高(gāo)級攻擊可(kě)能(néng)隻需幾分(fēn)鐘(≈λ↑zhōng),甚至幾秒(miǎo)鐘(zhōng≠÷)即可(kě)攻破端點。傳統端點安全防護工(π→πgōng)具根本無力應對(duì)。它們需✔×≥±要(yào)手動分(fēn)類和(hé)響應,面對(du±¥ì)瞬息萬變的(de)威脅,這(zhè)種方式不(bù)僅™'♦≥效率低(dī)下(xià),而且還(háλ ↓i)會(huì)産生(shēng)大(dà)量指标,對(duì)已經不(↓≈<bù)堪重負的(de)安全團隊來(lái)說§σ↕∑(shuō)無疑是(shì)雪(xuě)上(shàng)加霜。α§δ♦相(xiàng)比于傳端點安全防護采用(yòng)預設¥安全策略的(de)靜(jìng)态防禦技(jì)術(shù),EDR 加強了↓(le)威脅檢測和(hé)響應取證能(né≈♠§σng)力,能(néng)夠快(kuài)¶ ×速檢測、識别、監控和(hé)處理(lǐ)端點事(≈$↑§shì)件(jiàn),從(cóng)而在威脅尚未造成危害前進行★×(xíng)檢測和(hé)阻止,保護網絡免受零日(rìλ&•↕)威脅和(hé)各種新出現(xiàn)的(de)威脅。傳統EDR工(gōng☆ )具還(hái)會(huì)增加安全運營成本,并降低(♠• dī)運營效率,從(cóng)而對(duì)業(yè)務産生(sh∞§α÷ēng)負面影(yǐng)響。
高(gāo)級自(zì)動化(huà)端點防禦、檢測及響應結✘λ合的(de)終端檢測和(hé)響應解決方案能(néng)夠為(w$≤èi)感染前後的(de)端點提供高(gāo)級實時(sσ∞hí)威脅防護。可(kě)以主動減少(shǎo)攻擊面、防止惡意軟§↑件(jiàn)感染、實時(shí)檢測和(hé)消除φ$ 潛在威脅。
端點安全在現(xiàn)代安全架構中扮演著§£♠(zhe)不(bù)可(kě)或缺的(de)角色。雖然最初專注于保護單個(g£∑☆è)端點免受惡意軟件(jiàn)和(hé)其他♠(tā)已知(zhī)威脅的(de)侵害,但(dàn)現(xiàn)代端點™→安全解決方案已經發展到(dào)利用(yòng)多(duō)種檢測↓™→→技(jì)術(shù),能(néng)夠 ↓預防或檢測已知(zhī)和(hé)未知(zhī)威脅,同時(shí)幫助安±↓全和(hé) IT 團隊應對(duì)涉及多(duō)個(gè)端點的(de)↓更廣泛的(de)威脅。
那(nà)麽EDR是(shì)怎麽工(gōng)作(z>★↑uò)的(de)呢(ne)?
安裝了(le) EDR,它就(jiù)會(huì)使用(yòng)先進的(d€±e)算(suàn)法來(lái)分(fēn)析↕∑☆±系統上(shàng)單個(gè)用(yòng)戶的(deδ✘₹)行(xíng)為(wèi),允許它記住和(hé)連接他(t↑↕ā)們的(de)活動。(檢測)
感知(zhī)到(dào)你(nǐ)系統中某個(gè)特定用(yòn♥♦ g)戶的(de)異常行(xíng)為(w ♠☆δèi)。數(shù)據會(huì)立即被過濾、豐富和(hé)監控,以防出現®§¥★(xiàn)惡意行(xíng)為(wèi)的(de)迹象。這(zhè)¶÷✔些(xiē)迹象觸發了(le)警報(bào),調查就(jiù)開(k✔§≈āi)始了(le)ーー确定攻擊是(shì)真是(shì ★)假。(調查)
如(rú)果檢測到(dào)惡意活動,算(suàn)法将跟蹤攻λ$ ¥擊路(lù)徑并将其構建回入口點。(關聯跟蹤)φ÷
在發生(shēng)真正的(de)攻擊事(shì)件(jiàn)↕∏≤↓時(shí),客戶會(huì)得(de)到(dào)通(tōng)知(→¥zhī),并得(de)到(dào)可(kě)采ΩΩ取行(xíng)動的(de)響應步驟和(hé)建議(yì)®≥,以便進一(yī)步的(de)調查取證。
然後,該技(jì)術(shù)将所有(yǒu)數&≈®(shù)據點合并到(dào)稱為(wèi)惡意操作§∑←€(zuò)(MalOps)的(de)窄類别中,使分( γfēn)析人(rén)員(yuán)更容易查看(kàn)。(可(kě)視→Ω(shì)化(huà))
如(rú)果是(shì)誤報(bào),則警報(bào)關閉,隻增加調查記錄,∑©>不(bù)會(huì)通(tōng)知(zhī)客戶。(處理(×δ 'lǐ))
網絡的(de)快(kuài)速發展給人(rén)們帶☆♥來(lái)快(kuài)捷方便的(de)工(₽€gōng)作(zuò)生(shēng)活環境,但(dàn)是(shì)随之也>γφ (yě)會(huì)帶來(lái)更多(duō)的™→φ(de)網絡安全問(wèn)題,網絡安全防範技(jì)術(s★ ®×hù)在此尤為(wèi)重要(yào)。EDR借助雲計(≥₹jì)算(suàn)和(hé)人(rén)工(gōng€≥α)智能(néng),将安全措施從(cóng)被動的(de)威脅防禦方法轉換為(δ↑♦wèi)在威脅尚未造成危害之前檢測和(hé)防禦↕©∑威脅,以扭轉端點安全防禦長(cháng)期處于被動局面。同時(shí),σEDR可(kě)以應用(yòng)于台式機(jī)、§₩服務器(qì)、筆(bǐ)記本、移動設備、嵌入式設備、SCAD₽&σ≥A系統甚至IoT設備,應用(yòng)環境廣泛。
可(kě)預見(jiàn)EDR将成為(♠≥≈αwèi)端點安全防禦的(de)主流技(jì)術 ≤(shù)。廣州恒碩提供終端安全整體(tǐ)解決方案♥φ,助力企業(yè)安全。