El entorno operativo de este tutorial: sistema Windows 7, computadora Dell G3.
EndpointDetection & Response (EDR) es una solución proactiva de seguridad de endpoints que registra eventos de terminal y red y almacena esta información localmente en el endpoint o centralmente en una base de datos. EDR recopilará indicadores de ataques conocidos, una base de datos de análisis de comportamiento para buscar continuamente los datos y tecnología de aprendizaje automático para monitorear cualquier posible amenaza de seguridad y responder rápidamente a estas amenazas de seguridad. También ayuda a investigar rápidamente el alcance del ataque y proporcionar capacidades de respuesta.
Capacidades
Predicción: evaluación de riesgos; anticipar amenazas; postura de seguridad básica.
Protección: endurecer sistemas (fortalecer el sistema); aislar el sistema (aislar el sistema para prevenir ataques);
Detección: detectar incidencias; confirmar y priorizar riesgos. contener incidentes.
Respuesta: remediar; diseñar cambios de políticas; investigar incidentes.
Modelo de seguridad
En comparación con la tecnología de defensa estática que utiliza políticas de seguridad preestablecidas para la protección de la seguridad de los endpoints, EDR fortalece las capacidades de detección de amenazas y recopilación de evidencia de respuesta, y puede detectar, identificar y monitorear rápidamente. y procesar eventos de endpoints para detectar y bloquear amenazas antes de que causen daño, ayudando a las redes protegidas a protegerse contra amenazas de día cero y una variedad de amenazas emergentes. El modelo de seguridad se muestra en la figura:
1. Descubrimiento de activos
Recopile periódicamente todos los activos de software y hardware en la red actual a través de varios métodos, como escaneo activo, descubrimiento pasivo y manual. entrada e inspección manual, incluidos todos los activos de los terminales en toda la red y los nombres y versiones del software en uso, lo que garantiza que no haya puntos ciegos de seguridad en toda la red.
2. Refuerzo del sistema
Se requiere escaneo regular de vulnerabilidades, parches, actualizaciones y un mayor refinamiento de las políticas de seguridad, y se requiere incluir en una lista blanca el software actualmente no autorizado para ejecutarse a través del firewall. apertura de puertos de servidor y servicios para autorización. Es mejor verificar, modificar y limpiar periódicamente las cuentas, contraseñas e información de autorización del personal interno.
3. Detección de amenazas
Analice el comportamiento anormal a través de la detección de intrusiones en el host local en el punto final y realice las acciones correspondientes antes, durante y después de la aparición de diversas amenazas de seguridad. .
4. Respuesta y recopilación de pruebas
Muestre visualmente las amenazas de seguridad en toda la red, aísle, repare y rescate automáticamente las amenazas y reduzca el umbral de respuesta a incidentes y recopilación de pruebas, de modo que No es necesario completar la respuesta de emergencia y el análisis forense confiando en expertos externos.
Funciones
Investigar incidentes de seguridad
Remediar puntos finales a un estado preinfectado
Detectar incidentes de seguridad
Contiene eventos de terminal;
Cómo funciona
Una vez instalada la tecnología EDR, EDR utilizará algoritmos avanzados para analizar el comportamiento de los usuarios individuales en el sistema, recordarlos y conectarse. ellas actividades.
Al detectar el comportamiento anormal de un usuario determinado o específico en el sistema, los datos se filtrarán para evitar signos de comportamiento malicioso. Estos signos activarán alarmas y luego determinaremos si el ataque es verdadero o no. FALSO.
Si se detecta actividad maliciosa, el algoritmo rastrea la ruta del ataque y la reconstruye hasta el punto de entrada. (Seguimiento de correlación)
Luego, la tecnología combina todos los puntos de datos en categorías estrechas llamadas operaciones maliciosas (MalOps), lo que facilita su visualización para los analistas.
En caso de un ataque real, se notifica a los clientes y se les brindan pasos de respuesta prácticos y recomendaciones para una mayor investigación y análisis forense avanzados. Si se trata de una falsa alarma, la alarma se cerrará y solo se agregará el registro de investigación sin notificar al cliente
Marco del sistema
El núcleo de EDR es: por un lado , utilizando la lista negra existente y basándose en la tecnología de defensa estática de Endpoint con firmas de virus para bloquear amenazas conocidas. Por otro lado, se pueden descubrir de forma proactiva diversas amenazas a la seguridad desde el exterior o el interior mediante inteligencia de amenazas en la nube, aprendizaje automático, análisis de comportamiento anormal, indicadores de ataque, etc. Al mismo tiempo, se realizan una detección y respuesta integrales basadas en los datos de fondo del endpoint, el comportamiento del malware y el ciclo de vida general de las amenazas avanzadas, y se realizan bloqueos, análisis forenses, remediación y trazabilidad automatizados para proteger eficazmente los endpoints.
EDR incluye tres partes: punto final, centro de respuesta y detección de puntos finales y pantalla visual. El marco del sistema es como se muestra en la figura:
Punto final: en EDR, el punto final solo tiene. informes de información Tiene funciones básicas como refuerzo de seguridad, monitoreo de comportamiento, monitoreo de archivos activos, respuesta rápida y análisis forense de seguridad. Es responsable de informar la información operativa del punto final al centro de respuesta y detección de puntos finales y, al mismo tiempo, ejecutar la seguridad emitida. políticas y respuestas, instrucciones forenses, etc.
Centro de detección y respuesta de endpoints: compuesto por descubrimiento de activos, refuerzo de seguridad, detección de amenazas, respuesta forense y otros centros.
Visualización: proporcione visibilidad y controlabilidad en tiempo real para diversas amenazas de seguridad de endpoints, reduzca la complejidad de descubrir y manejar amenazas de seguridad y ayude a los usuarios a responder a las amenazas de seguridad de manera más rápida e inteligente.
Detectar tipos de amenazas
Malware (crimeware, ransomware, etc.)
Ataques sin archivos
Abuso de aplicaciones legítimas
Actividad y comportamiento sospechosos de los usuarios
Tipos de funciones y tipos de recopilación
EDR es único porque sus algoritmos no solo detectan y combaten amenazas, sino que también simplifican la gestión de datos de alertas y ataques. El uso de análisis de comportamiento para analizar la actividad del usuario en tiempo real permite la detección inmediata de amenazas potenciales sin interrumpir los puntos finales. Mejora el análisis forense al fusionar datos de ataques en eventos que se pueden analizar, trabajando con antivirus y otras herramientas para brindarle una red segura.
La detección y respuesta del endpoint se ejecuta a través de sensores instalados en el endpoint sin necesidad de reiniciar. Todos estos datos se combinan para formar una imagen completa de la actividad del terminal, independientemente de dónde esté ubicado el dispositivo.
Tecnologías principales
Tecnología sandbox inteligente
La tecnología clave para el análisis dinámico del comportamiento de códigos sospechosos Al simular varios recursos virtuales, crea un sistema estrictamente controlado y altamente. El entorno de ejecución de programas aislados puede ejecutar y extraer información de comportamiento durante la ejecución de código sospechoso para lograr una identificación rápida de código malicioso desconocido.
La tecnología de aprendizaje automático
es un conocimiento interdisciplinario multidisciplinario y el núcleo del campo de la inteligencia artificial. Se especializa en estudiar cómo las computadoras pueden simular el comportamiento de aprendizaje humano y reorganizarlo adquiriendo. nuevas habilidades y conocimientos del sistema de conocimientos existente y mejorar constantemente su propio desempeño. En el procesamiento de minería de datos a gran escala, los patrones se pueden analizar y obtener automáticamente, y luego estos patrones se pueden usar para predecir datos desconocidos.
Tecnología forense digital
La ciencia forense digital se refiere a la confirmación y verificación de evidencia digital que sea suficientemente confiable y convincente y exista en dispositivos digitales como computadoras, redes y dispositivos electrónicos. proceso de protección, extracción y archivo. En EDR, la ciencia forense digital debe superar tecnologías clave como la ciencia forense del entorno de computación en la nube, la ciencia forense de terminales inteligentes y la ciencia forense de big data, localizar y recopilar automáticamente evidencia electrónica de intrusiones en los puntos finales, reducir el umbral técnico del análisis forense y mejorar la eficiencia de la ciencia forense y la precisión de los resultados del análisis. Proporciona soporte técnico para investigar incidentes de seguridad de terminales y combatir el cibercrimen.
Ventajas y desventajas de EDR
Ventajas
EDR tiene la ventaja inherente de identificar ataques con precisión. Los puntos finales son el principal campo de batalla para confrontaciones ofensivas y defensivas. La implementación de defensa en los puntos finales a través de EDR puede recopilar datos de seguridad de manera más completa, identificar con precisión las amenazas a la seguridad, determinar con precisión si los ataques de seguridad tienen éxito y restaurar con precisión el proceso de ocurrencia de incidentes de seguridad.
EDR cubre por completo todo el ciclo de vida de la defensa de la seguridad del endpoint. Para diversos eventos de amenazas a la seguridad, EDR puede llevar a cabo las correspondientes acciones de detección y respuesta de seguridad antes, durante y después de que ocurran. Antes de que ocurra un incidente de seguridad, recopila de manera proactiva datos de seguridad del cliente en tiempo real y realiza un refuerzo de seguridad específico; cuando ocurre un incidente de seguridad, descubre y previene de manera proactiva amenazas a la seguridad a través de varios motores de seguridad, como la detección de comportamientos anormales y el análisis inteligente de la zona de pruebas; Si ocurre un incidente de seguridad, rastree el origen a través de los datos del punto final.
EDR es compatible con varias arquitecturas de red. EDR se puede adaptar ampliamente a diversas arquitecturas de red, como redes informáticas tradicionales, computación en la nube y computación de borde. Se puede aplicar a varios tipos de puntos finales y no se ve afectado por el cifrado de datos y de red.
EDR ayuda a los administradores a responder de forma inteligente a las amenazas de seguridad. EDR puede completar automáticamente una serie de tareas como el descubrimiento, aislamiento, reparación, remediación, investigación, análisis y análisis forense de amenazas a la seguridad, lo que reduce en gran medida la complejidad de descubrir y manejar amenazas a la seguridad y puede ayudar a los usuarios a responder más a las amenazas a la seguridad. rápida e inteligentemente.
Desventajas
La limitación de EDR es que no puede reemplazar completamente las tecnologías de defensa de seguridad de endpoints existentes. EDR tiene una relación complementaria con las tecnologías tradicionales de defensa de seguridad de terminales, como antivirus, firewall de host, detección de intrusiones en el host, refuerzo de parches, control de periféricos y listas blancas de software, y no es un sustituto.
Requisitos previos técnicos
Si desea utilizar o comprender mejor EDR, necesita tener algunos conocimientos para poder utilizar y comprender mejor los principios y métodos de EDR.
Familiarizado con el entorno Linux, python o shell, Java
Familiarizado con componentes de big data como hadoop y spark
Familiarizado con la minería y el análisis de datos ( como la División de nivelación de riesgos), tecnología de estadísticas de datos (como algunos cálculos de confianza), tecnología de aprendizaje automático (detección de clasificación, etc.), tecnología de aprendizaje profundo, tecnología de análisis de big data (principalmente análisis de correlación), método de análisis de embudo, etc.
Familiarizado con bases de datos mysql o nosql, bases de datos de almacenamiento centralizado y bases de datos de almacenamiento distribuido.