為什麽資安團隊需要EDR端點偵測及回應?

整體而言,當前安全領導廠商的端點保護解決方案已經非常出色。與過去相比,現代的端點保護工具可以比以往阻止更多的惡意軟體和更多類型的威脅。安全領導廠商已經結合了人工智能(AI)、機器學習(ML)和自適應啟發式技術,遠遠超出了靜態且易於繞過的“病毒特徵比對”防護。

現在,預執行前偵測、執行時阻止、執行後終止是頂級端點保護產品的必備功能。總體來說,誤報更少,偵測更快更精準,能對偵測的內容和原因進行更好的解釋。

但是,每個安全領導者都應牢記,端點保護有其不足之處。當規劃網路安全戰略時,您應該詳細了解。

端點保護的不足之處

在每次攻擊開始之前,偵測和阻止攻擊,查殺所有病毒是任何安全團隊都希望達到的理想狀態,但是回顧歷史,證明這是一個遙不可及的目標。防護率從未達到100%,“完美的安全”永遠無法實現。

無檔案攻擊和瀏覽器攻擊不會在硬碟中存儲任何文件,許多高級的、多階段、多向量攻擊只會以某種方式展開,看起來像正常的行為,從而使偵測它們變得異常困難,甚至無法阻止。其中許多攻擊只能在進行中或事後偵測。

具體來說,端點保護的不足之處包括:

  • 偵測的太少,太遲了:端點保護可能會進行偵測,但僅在惡意軟體已經部分或全部成功到達電腦時,才偵測,且只告訴你已經阻止,要不就是沒有偵測到任何威脅、攻擊成功、電腦失陷、威脅運行。
  • 丟失資安事件關聯的線索:端點保護可能會生成許多警報,但是每個警報都是獨立的,沒有關聯。分析師看不到完整的事件或相關事件鏈。
  • 被綁架勒索了,該怎麽辦?惡意軟體可能已被端點保護阻止,但分析人員不知道該漏洞的嚴重程度,它是否存在於其他電腦上,或者是否需要清除其他任何內容。

為什麽需要在防護堆疊中使用EDR

消除關鍵的安全漏洞

端點保護對於合規性以及消除外部惡意軟體和常見威脅是必需的,但對於防禦進階、複雜或針對性的攻擊,還遠遠不夠。如果您擁有重要的知識產權、個人身份資訊PII/個人健康資訊PHI、客戶或財務數據,那麽EDR不再是奢侈的東西,現在已成為必需品。

對進階威脅(APT)的防護不足

端點保護通常無法提供針對進階威脅的足夠防護。複雜的攻擊通常使用正常的行為,例如:打開文檔、建立遠端連接、從Internet下載資源等,但隨後才表現出可疑或惡意行為。

缺乏警報分類和回應功能

端點保護會生成許多警報,但看不到攻擊的所有元素。儘管每個警報都代表端點保護阻止了威脅,但是安全團隊可能需要採取後續措施,進行調查和採取糾正操作,而不是僅僅刪除發現的惡意檔案。如果你使用端點保護方案,你從哪裡開始著手?

發現漏洞後修補緩慢

端點保護提供很少的攻擊預警訊號,幾乎沒有有關威脅評估的詳細資訊。用戶可能會注意到電腦的行為異常,或者網路工程師可能會看到異常的流量模式或數據高峰,但是沒有提供有關因果關係的詳細資訊。

無法識別根本原因並防止攻擊再次發生

好的,您的端點保護解決方案已經阻止了惡意軟體。但是,還不是慶祝的時候。您是否可以確定整個攻擊是被阻止的還是僅某些攻擊被阻止了?其餘的攻擊是否逃避了偵測並攻擊成功了?攻擊的入口點是什麽?它從哪里來的?我們如何關閉那條攻擊鏈路,使攻擊不再發生?

無法了解攻擊者使用的MITRE ATT&CK TTP/入侵指標IOC

這是一次性事件還是在企業中的許多受害機器上都有這樣的事件,會不會是系統性事件?是否已經多次發生相同或相似的攻擊?攻擊是否仍在組織中的其他電腦上進行?您能否在整個系統範圍內使用入侵指標進行搜索?

有沒有關於主動改善安全狀況的建議?您如何改善安全狀況並加強防護,以防止將來被入侵?您是否可以識別會給您的組織帶來風險的操作系統配置錯誤、應用程式漏洞和人為風險因素?一旦確定,您是否可以根據改進指標來衡量和修正?

EDR 商業驅動

以下是需要在您的端點防禦系統中添加EDR的主要商業驅動因素:

  • 無法確保100%防護高級入侵,以防止入侵者潛伏在您的系統中
  • 一旦發現潛在的入侵指標,您無法終止可疑活動或隔離受感染的機器
  • 缺乏可操作的情資來採取行動,也沒有循序漸進的建議來指導如何處理已識別的入侵行為
  • 缺乏集中的威脅數據庫,無法跨系統進行協調的攻擊分析和補救措施
  • 無法掌握基礎架構面臨的系統漏洞風險,也不知道如何主動改善與修補

EDR 產品類型

端點偵測和回應提供單獨的價值,並具有自己的優點,與端點保護相輔相成。將這兩種解決方案串聯起來防護,可以防範規避防禦的的最複雜攻擊。Bitdefender提供了豐富的EDR安全產品套裝:

  • 端點保護EPP集成EDR,UltraSecurity旗艦版
  • 獨立的EDR套裝,輕量級的解決方案,可與任何第三方端點保護解決方案兼容
  • XDR,Ultra +網路流量安全分析
  • MDR,外包式網路安全營運。MDR服務包含XDR,和Bitdefender安全分析師提供的7*24專業服務,持續監控網路的安全狀態,主動獵殺網路威脅。

您如何評價您的端點保護工具?

所有端點保護解決方案都各有利弊,需要權衡利弊。哪個陳述最能描述您的端點保護狀況?

  • 我對我的端點保護解決方案感到滿意,但是我意識到它在調查和修復方面的局限性
  • 我對當前的端點保護解決方案不滿意,但是我現有的合約服務仍未到期
  • 當前的端點保護解決方案很糟糕,需要立即替換

如果您符合上述三種陳述,我們建議您立即導入BitdefenderEDR,它帶來了前所未有的安全能力,而且比您想象的更簡單,更能發揮導入效益。

獨立的EDR

在以下情況下,安全領導者可能會認為獨立EDR是端點保護的重要補充:

  • 安全分析師缺乏對端點和網路上可疑和惡意行為的了解
  • 現有的端點保護解決方案缺少EDR、XDR或MDR
  • 需要與現有端點保護解決方案兼容,需要事件偵測和報告功能
  • 尋求具有輕量級代理且易於部署和管理的事件回應平台
  • 希望簡化安全工作流程,以進行威脅取證和端點補救

Bitdefender EDR

Bitdefender EDR提供了預防、偵測、調查、回應和安全加固的組合。它利用最新的尖端技術提供更高的可視性、收集和關聯威脅訊息,同時採用人工智能分析和自動化功能來幫助偵測可疑事件

攻擊者及其相關戰術、技術及流程TTP可視性
Bitdefender EDR提供了進階攻擊偵測及回應功能。傳統端點保護產品缺乏TPP的可視性。無法主動採取特定的補救措施,也沒有整合應對這些攻擊所需的工具。

MITRE ATT&CK 技術
MITRE ATT&CK是全球安全行業的標準,Bitdefender EDR整合了MITREATT&CK技術,可查看針對攻擊的每個階段所偵測到的事件和單一警報,包括:執行、持久化、提權、防禦逃避、訪問憑證、發現、橫向移動、收集、命令和控制,以及數據洩漏。當EDR與MITER ATT&CK技術的結合使用時,您就可以清楚地看到完整的攻擊畫面,並了解覆蓋範圍的“空白”區域。

IOC/IOA搜索和關聯
您通過什麽樣的跡象來查看機器是否受到攻擊或感染?安全團隊可以在EDR平台中查詢整個組織中的各個攻擊指標(IOA)和危害指標(IOC),以搜索受感染的電腦,這些電腦可能不會向其用戶或安全管理員生成任何被入侵的外部證據。

根本原因分析和完整攻擊可視性
從初始電子郵件攻擊媒介到第一個客戶端感染、提權、發現、橫向移動、數據收集和洩漏的完整逐一動作的播放。

防止再次被入侵
檢查成功攻擊(和部分成功)的攻擊路徑,並強調攻擊路徑,你可以快速關閉這些入口和訪問點,以便將來再次發生相同或相似的攻擊。

一鍵解決警報分類和優先級
EDR可幫助安全團隊快速識別事件並確定優先級,以進行操作和補救,通常採用一鍵操作來結束可疑程序、隔離惡意文件、將攻擊者域名列入黑名單等。

減輕營運負擔
Bitdefender EDR,易於部署、易於使用,無需專業的安全技能,也能輕鬆掌握,並且佔用系統資源極低,大大減輕了客戶的營運負擔。該產品靈活、可擴展、可滿足各種不同類型客戶的安全需求,例如獨立的EDR、端點保護整合EDR, XDR,MDR等。

縮小網路安全技能差距
通過易於遵循的內建工作流程來幫助組織彌補網路安全技能的鴻溝,高效的安全回應能阻止持續的攻擊並清除已造成的任何損害。威脅朔源與攻擊根本原因分析,最大程度地提高了客戶的回應能力。

管理和降低組織風險
Bitdefender EDR技術還可以幫助客戶評估並最大程度地降低總體組織風險(特別是在系統配置錯誤、操作系統漏洞、應用程式漏洞和人為風險等方面),從而向安全團隊準確顯示出現風險的位置,並為快速緩解這些風險確定必要的任務優先級。

本文出處:https://baijiahao.baidu.com/s?id=1688299853603695706

MITRE ATT&CK Carbanak+FIN7測評,Bitdefender EDR全球排名第一

2021年4月20日,MITRE ATT&CK發布了最新一輪年度EDR安全解決方案評估報告:Carbanak+FIN7 挑戰。

今年,全球29個網路安全公司的產品參加了測試,它們能夠檢測出Carbanak和FIN7的攻擊。

Carbanak+FIN7簡介

Carbanak+FIN7 是臭名昭著的APT金融犯罪集團,他們使用複雜的惡意軟體和攻擊技術,主要攻擊金融機構,造成了一系列嚴重破壞事件。迄今為止,Carbanak已為30個國家/地區的數百家銀行造成了超過3億美元的損失,而FIN7則從全球受害者手中竊取了超過1500萬張信用卡記錄。

他們在利用創新攻擊技術方面享有盛譽。高效的間諜活動和隱身性是他們戰略的重中之重,他們嚴重依賴腳本編寫,模糊處理,“隱藏在視線範圍內”,在掠奪環境的同時充分利用機器背後的用戶。他們還利用獨特的攻擊工具,涵蓋覆雜的惡意軟件和廣泛的系統平台,包括Windows和Linux。

Bitdefender在2019年專門发布了針對Carbanak的研究報告,詳細請參閱:Bitdefender-Carbanak研究報告:

https://www.bitdefender.com/files/News/CaseStudies/study/262/Bitdefender-WhitePaper-An-APT-Blueprint-Gaining-New-Visibility-into-Financial-Threats-interactive.pdf

為什麽MITRE ATT&CK的評估具有很高的價值

MITRE ATT&CK評估利用了網絡安全行業測試中獨有的方法。MITRE不僅測試了EDR解決方案檢測和阻止網路威脅的能力,還精心模擬了複雜攻擊的全部行為。MITRE要求在評估過程中關閉被測產品的攔截功能。這種方法詳細揭示了解決方案中嵌入的各種技術層的功能,可以檢測,分析,提供攻擊殺傷鏈的所有階段/子階段的遙測和可見性。

廣泛的MITRE ATT&CK知識庫有助於構建測試方法,因為它提供了整個網路安全行業的通用詞匯表和一致性。MITRE ATT&CK評估的價值在於能夠分析測試解決方案的穩健性和完整性。這使得該測試對於不僅對自動阻止攻擊能力感興趣的組織,而且對於希望在整個執行階段抵抗高級攻擊的組織都非常有意義。在安全運營中使用MITRE的方法可以極大地增強組織的網路彈性,並提高網路防禦者发現和收集對敵活動有價值的見解的機會。

如何使用MITRE ATT&CK報告來指導您的網路安全決策?

MITRE評估的一個不尋常的特征是沒有競爭性排名,從而導致各種解釋,使得普通用戶很難理解測試結果。總體而言,MITRE ATT&CK評估結果包含如下幾個關鍵指標:

  • 檢測 – 可以用來識別對手行為的任何原始或處理信息。此度量標準包括原始遙測(例如“進程啟動”或“文件創建”)和分析檢測(例如“常規檢測”,“戰術”或“攻擊技術”)。檢測計數代表所有類型的檢測總數。請注意,攻擊中包含的174個子步驟中的任何一個都可以具有多個檢測(因此,“檢測”的總數可以超過子步驟的數量)。
  • 遙測覆蓋 – 可以進行遙測的子步驟數。
  • 分析 – 任何經過處理的檢測,例如應用於遙測的規則或邏輯(例如ATT&CK技術映射或警報描述)。
  • 分析覆蓋率 – 1個或多個分析可用的子步驟數。
  • 可見性 – 可以進行分析或遙測的子步驟數。

MITRE ATT&CK Carbanak+FIN7 評估結果

– 檢測排行

– 分析覆蓋排行

– 遙測覆蓋排行

– 可見性排行

指標解讀—哪些指標與您的組織相關?

接下來,您將要了解與您最相關的指標。通常,檢測與任何組織都息息相關,因為解決方案能夠檢測到的攻擊元素越多,其有效性就越高。

在擁有安全運營中心(SOC)的組織中,遙測覆蓋是一項有價值的度量標準,在安全運營中心中,存在用於進一步分析原始信息的工具,資源和專有技術。

分析覆蓋指標為檢測提供了上下文。可行的分析有助於降低警報疲勞的風險,並降低安全分析師所需的調查工作。對於資源受限的IT和安全運營團隊的組織而言,這使得分析覆蓋成為極有價值的指標。

可見性是原始檢測(遙測覆蓋)和上下文警報(分析覆蓋)的組合,可提供解決方案提供攻擊元素可見性能力的一般視圖。

總結

在參加MITRE ATT&CK評估的29家網路安全廠商中,Bitdefender 以366的檢測排名第一,檢測到100%的針對Linux系統的攻擊技術,檢測次數最多,可檢測範圍最廣的網絡威脅,其檢測數量比Symantec檢測數量高出近50%。

Bitdefender還提供了優秀的分析洞察力來實現有效的安全操作並減少警報疲勞,在測試中脫穎而出。 其他許多供應商在沒有附加上下文的情況下生成的大量遙測數據,將給安全團隊的調查工作帶來更大的負擔和工作量。

此次的測試結果充分證明了Bitdefender EDR頂級的安全能力,Bitdefender EDR安全平台是中大型企業的最佳選擇。

閱讀完整的評估報告:

https://attackevals.mitre-engenuity.org/enterprise/carbanak_fin7/

本文出處:https://baijiahao.baidu.com/s?id=1697924787014342504

Symantec無痛轉移 | 選擇Bitdefender

Symantec最佳替代方案 — 唯有Bitdefender,相見恨晚


  • 增強您的防禦能力— 超過30種的預防技術,位居第一的保護
  • 輕鬆升級— 通過全面的單一Agent進行無縫佈署
  • 高效管理— 一個console控制系統強化、保護、偵測與回應

獲得您的獨家優惠

你應該體驗Bitdefender的五大理由:

#1 Bitdefender連續多年在國際權威測評機構AV-Test和AV-Comparatives的測試中排名第一,始終如一的卓越保護值得信賴,全球超過5億用戶!

#2 全球雲端安全網路關聯來自5億端點和其它渠道的威脅情報,3秒內回應和攔截全球任意位置的新威脅!

#3 極低的資源占用,難以置信,你甚至感覺不到它的存在,老配置XP也能流暢運行!

#4 面向未來的下一代安全防護平台,高度自動化,簡化您的安全運營,杜絕安全事件!

#5 極高的性價比,用得起、用得好、更重要的是用得放心!

#6 令人驚嘆的功能!立即免費試用


一個Bitdefender GravityZone即適用於許多Symantec產品

Bitdefender GravityZone 關鍵差異化因素 Symantec 端點防護(SEP)
涵蓋延伸技術堆疊和所有端點類型(實體、虛擬、雲端、行動裝置、電子郵件)的整合平台
全面的單一Agent,單一Console端點安全解決方案
需要多個產品、Agent和Console
從同一個Console管理的整合技術:
完全整合
端點偵測與回應(EDR)
需要獨立產品:Symantec EDR
完全整合
具有強化建議的端點風險分析
不提供
完全整合的加購
電子郵件安全
需要獨立產品:Symantec Email Security.cloud
完全整合的加購
補丁管理
不提供
完全整合
威脅情資
需要兩種獨立產品:Symantec EDR和DeepSight Intelligence
能夠通過安全的遠端連結來涵括系統並進行調查和修復
事件回應能力
僅限於黑名單和規則。遠程回應需要一個獨立的產品:Symantec EDR
全方位可視性能全面顯示攻擊前後細節,以快速了解威脅
攻擊能見度
防毒警報報告阻擋的文件有限制的威脅起因。進階可視性需要一個獨立的產品:Symantec EDR
GravityZone的掃描卸載以及獲得專利的緩存和掃描算法可將虛擬化密度提高多達55%,將應用程式速度提高10%。表現性能 vs. Symantec SEP
針對虛擬和雲端工作負載進行性能優化的高效架構
繁重的端點Agent會消耗大量的CPU、內存和其他資源,從而降低虛擬化密度並增加延遲
與VMware®vCenter Server、NSX-V和-T、AWS上的VMware Cloud、Nutanix®Prism、Citrix®XenServer、AWS®EC2、Microsoft®Azure和Pivotal®CloudFoundry整合
通過與基礎架構管理工具整合來實現安全工作流程自動化
不提供。與VMware整合需要一個獨立的產品:Symantec Data Center Security(DCS)

Bitdefender GravityZoneTM 屢獲殊榮,經證實的端點安全領導者

獲得您的獨家優惠

立即免費試用

2021 力悅資訊Cyberview 春酒 | 櫻の慶典

力悅醉美櫻花慶典圓滿落幕!各位開始期待明年春酒了嗎?究竟會是什麼主題呢?
2021第一季新的開始,感謝力悅所有重要的朋友們前來力挺我們,也感謝最TOP的原廠前來支持!

日期:2021 年3月31日 (星期三) 19:00-22:00
地點:Rocket Music 音樂火箭餐廳 (台北市中山區松江路8號)

(更多幕後花絮請至力悅粉絲專頁查看:https://www.facebook.com/Cyberview2005/)

#CyberArk Identity Security

#BitdefenderEDR 端點防護

#Bitdefender 即刻救援

2021年3月9日【資安人 第20屆2021亞太資訊安全論壇】

力悅資訊代理之「資訊安全創新者 – Bitdefender」參與資安人【第20屆2021亞太資訊安全論壇】

活動地點:台北文創大樓(台北市信義區菸廠路88號6樓)
議程時間:3/9 (二) 11:00-11:40
演講題目:《超越EDR — 唯有【Bitdefender】,相見恨晚!》

感謝有來聆聽議程的朋友們!

2020年12月10日【力悅資訊】CyberArk Partners Day

謝謝力悅的好夥伴在連日不佳的氣候依舊熱情應援我們的活動,也謝謝我們給力的原廠「CyberArk」一同出席支持!

日期:2020 年12月10日 (星期四) 19:00-22:00
地點:Continue? Gaming Bar電玩餐酒吧(台北市中山區松江路7號)

(更多幕後花絮請至力悅粉絲專頁查看:https://www.facebook.com/Cyberview2005/)

 

 

2020年11月26日【精誠軟體服務X力悅資訊】CyberArk特權帳號資安管理研討會

從許多企業資安事件案例中,發現許多機密資料的外洩係因為特權帳號密碼被駭客竊取後進入系統進行存取所導致,精誠軟體與力悅資訊特此舉辦「CyberArk特權帳號資安管理研討會」,讓各位了解特權帳號安全管理的重要性,同時也將CyberArk解決方案帶給大家,希望提供高科技製造業絕佳的資訊保護能力。

Cyber​​Ark 榮獲 Forrester Wave™ Q4 2020「特權身份管理」領導者

在此報告中,Forrester評估了Privileged Identity Management市場的狀況,並根據一套全面的標準來評估頂級供應商,以識別市場趨勢並告知購買決策。

根據Forrester的評估,Cyber​​Ark在特權身份管理產品中排名最高,且擁有DevOps、雲端與機器人流程自動化等創新技術的新興用例而獲得認可。

關於CyberArk

CyberArk 是特權存取資安領域的全球領導者—特權存取安全是保護整個企業、雲端及 DevOps Pipeline 內資料、基礎架構及資產的 IT 安全性的關鍵層。CyberArk 提供業界最方位解決方案,可降低特權憑證及安全憑證引起的資安風險。公司深得全世界領先企業的信賴,包括 50% 以上的財經 500 大公司。這些公司利用 CyberArk 產品來防止外部攻擊者及內部惡意使用者所發起的攻擊。

下載2020 Q4 The Forrester WaveTM報告:Privileged Identity Management, 請點以下連結:http://spr.ly/6189H1QI9