“異常行為”如何尋？EDR“顯神威”

企業級用戶運維管理中普遍的安全隱患有：

·漏洞補丁更新不及時：當微軟發布Windows漏洞補丁后，總會有用戶更新不及時，而攻擊者即利用這段時間差來對尚未更新的用戶進行漏洞掃描進而進行攻擊。

·對勒索軟件檢測效果不明顯：特征庫對勒索軟件的檢測效果不明顯，攻擊者利用腳本工具對勒索軟件進行變更成為更多新的勒索軟件，而特征庫對此束手無策。

·虛擬機安全問題：在政企云環境下，部署虛擬機后，在不同的服務器內部也可以調用相同的業務系統，虛擬機分配管理上的混亂給企業各業務系統帶來較大風險。現在的云IDC中，往往并非單純的云架構而是混合形態。這就需要有許多不同的安全管理體系，導致了安全管理的混亂。

在過去十多年里，端點安全僅僅指的是殺毒軟件一種產品，從大的范疇講有兩種產品形態，在端點是殺毒軟件，在網絡邊界側則是防火墻。業內主要的廠商產品基本上都是沿著這兩條線來發展的。因此過去的終端安全主要是依靠殺毒軟件，當然也有一些準入產品。如今像殺毒軟件、防火墻這類的產品在實現形式上似乎有些落伍。例如殺毒軟件往往依賴于病毒庫，這就意味著廠商需要不斷地去擴展和更新自己的病毒庫。這在機制上講其實是被動的，只有企業受到攻擊后才能感知和捕獲，并將其特征放到病毒庫中，然后升級到殺毒軟件中并應用到用戶。但是對于像利用惡意軟件的變種、腳本化工具將惡意軟件加殼使其隨機產生新的惡意軟件等具有針對性的攻擊，傳統的安全產品是無法有效的防御的。隨著“互聯網+”的推進，將會有更多的設備接入互聯網。這也意味著將有更多的開放的端點成為攻擊者攻擊的目標。

防火墻和殺毒軟件是基于各種“庫”的建設，像病毒庫、應用程序庫等等。隨著庫的不斷建設，其規模也越來越臃腫，效率也變得非常低下，而其對防范未知威脅的效果并不如人意。

一系列問題對杰思安全來說則意味著機會。“對于終端安全，市場是非常廣闊的”，杰思安全CEO蔣波表示。

杰思安全的與眾不同之處在于利用新技術解決未知威脅的能力，即“端點檢測與響應（EDR）技術”。這些新技術在國內真正應用的尚不多。要想解決端點的安全就需要對端點進行持續的檢測，發現異常行為并進行實時的干預。若要“看到”未知威脅是非常有難度的，其關鍵就在于檢測異常行為。

異常行為的檢測

如何實現對異常行為的檢測？在業內，一種方法是模擬黑客行為進行攻防演練，進而建立基線（Baseline）；另一種方法是預測攻擊思路和行為。但這些方法效果往往不理想，因為總會“百密一疏”，這并不能防范針對性攻擊。

杰思安全在端點側的異常行為檢測技術上已經積累多年，經深思熟慮后并沒有采取這些方式，也未做流量側產品，而是從應用程序對操作系統的內核調用這個方面入手進行檢測。

流量側的檢測實現簡單，但存在很多問題，如流量在加密后無法被檢測、有些威脅繞過流量側進行攻擊，檢測精準度差等等。

因為不管是合法程序還是惡意攻擊，最終都會調用操作系統內核。通過梳理合法程序對操作系統的內核調用進行的正常行為，則可以判定超出此類行為的異常行為，這樣就實現了對異常行為的檢測，這是“單機層面的縱向判斷異常”。另外，在對服務器的滲透攻擊時，采取“多機層面的橫向對比”，當出現對某臺服務器的滲透攻擊時，必然會出現相對于其他服務器的某些異常，這時即可實時檢測到這種異常行為。這兩種機制的檢測方式相結合，可有效做到實時檢測異常行為。

這兩種機制是杰思安全的核心檢測機制，當然還包括其他輔助方式，如智能沙箱、人工輔助判斷等，最大程度發揮了檢測高效性。

EDR通過應用程序對操作系統調用行為分析，檢測和防護未知威脅，結合機器學習和人工智能輔助判斷，有效解決了傳統安全網關和殺毒軟件無法解決的未知威脅問題。

傳統的安全產品并不適合在虛擬化環境中采用,而EDR產品彌補了虛擬化環境安全產品的空白：不依賴于傳統靜態特征防護機制，能實現未知威脅的秒級檢測與響應。

杰思安全的產品組成包括控制臺和服務器、PC側的探針。其實現機制是對操作系統內核調用的行為進行分析和判定，無需掃描文件進行比對。

這種機制的優點是其占用內存很小，同等環境下其CPU占用不到1%。探針在后臺靜默監測系統內核和用戶態的各種活動（包括文件、進程、存儲、注冊表、網絡等），不會打擾用戶正常工作。

客戶交付方式則主要以私有云交付為主，控制臺可以遠程批量的將軟件探針推送到需要管理的PC、服務器或虛擬機等環境，其可支持Windows、Linux等多種常見的操作系統。

由于操作系統版本會不定期進行更新，其對系統內核調用也會發生改變，因此這就要求從技術上要持續不斷地跟進。同時，這款產品不挑平臺，在不同品牌的虛擬機中都能夠做到統一安全管理。

杰思安全的核心檢測機制本身的技術難度還是很高的，其探針的特點是能夠做到對正在運行的操作系統動態地注入和動態的撤銷，也即“熱干預”，而不會引起服務器的重啟，保證了業務的正常運轉。

很多技術在向運行的服務器系統注入或撤銷探針后會引起系統的重啟，這無疑影響了用戶業務的進行。