网络安全组合拳:揭秘MDR服务中的EDR
随着攻击手段的不断演进,国内外单位遭受无差别网络攻击日益频繁,应急响应(IR)自然成为单位网络安全建设过程中的一个重要方向。以SANS发布的《2023IncidentResponse》报告中数据为例,大部分预算清晰的受访者表示IR预算占整个安全预算在30%以内,体现了单位对IR非常重视。
但在当前经济环境和安全投入产出难衡量的大背景下,大部分单位备受预算困扰。因此MDR(ManagedDetectionandResponse)服务应运而生,即通过远程专家团队的方式,为广泛的用户提供7*24小时的威胁检测、研判、响应、处置服务,而接入工具的选择此时就格外关键。
✦
✧
相辅相成,终端安全不可缺
✦
伴随着前些年的态势感知建设,大部分单位已经具备了NDR类网络检测工具,因此近七成单位的首要选择是将NDR类设备接入安全托管运营服务平台MSSP,不经意间忽略了EDR的能力,其实EDR的独特能力包括且不限于:
终端设备活动:
EDR可以监视和记录终端设备上的活动,包括文件操作、进程启动、注册表修改等。这些活动信息对于分析和识别恶意行为非常有用,而NDR通常无法直接获取到这些终端级别的细节。
文件指纹信息
EDR可以记录文件的详细指纹信息,包括文件的哈希值、创建时间、修改时间等。这些信息对于检测文件是否是已知的恶意文件非常有用,但是NDR一般无法获得这些细节。
系统日志:
EDR通常可以收集和分析终端设备的系统日志,这些日志包含了关于系统状态、登录信息、网络连接等方面的信息,有助于检测异常活动和攻击行为。
终端性能指标
EDR可以监控终端设备的性能指标,如CPU利用率、内存利用率、网络带宽使用情况等。这些指标可以帮助识别异常活动或恶意软件的存在,但NDR一般无法获取到这些终端性能数据。
✦
✧
1+1>2,强强联合、落地实践
✦
场景一:
勒索病毒攻击服务器
概述:攻击者利用服务器漏洞,在某公司服务器上植入勒索病毒,导致服务器上存储的关键数据被加密。NDR通过监测网络层面的异常行为和流量模式来识别威胁迹象,而EDR则通过深入分析服务器终端的行为数据来确定病毒的具体活动。
01
发现异常数据传输
(NDR完成检测):
NDR监测到服务器与多个不寻常的外部IP地址之间有异常的数据传输,数据包的发送频率和大小与正常的服务器活动不符,这些IP地址与已知的恶意活动有关。因此NDR触发了警报,MSSP平台提醒远程服务团队介入。
02
发现异常行为与链接
(EDR完成检测):
EDR同时检测到服务器上有相关告警,该进程尝试访问和修改大量文件。同时发现该进程对文件进行了异常的加密操作并尝试与外部C&C服务器建立连接。
03
展开拦截与处置
(EDR完成拦截与处置):
远程服务团队通过分析,使用EDR将受感染的服务器从网络中隔离,以防止病毒传播到其他系统;同时利用EDR在异常服务器上完成对应处置工作。
04
远程服务团队的事后复盘:
上述工作结束后,远程服务团队利用NDR+EDR收集的数据,对攻击进一步分析,完整复盘本次攻击的来源、利用的漏洞、以及受影响的范围,并协助用户修复了可被利用的漏洞。
场景二:
FRP进行未经授权的访问
概述:攻击者利用FRP工具进行未经授权的访问。NDR完成检测到异常的网络流量并触发警报,但受限于加密通信的隐蔽性,NDR难以深入分析通信内容。这时,EDR的介入成为关键。通过终端侧EDR威胁信息的捕获,有效帮助远程服务团队揭示攻击者的行为模式,并及时采取隔离和清除措施。
01
发现异常网络流量
(NDR完成检测):
NDR检测到了公司内部网络中某个用户账户产生了异常的大量网络流量的情况。这种流量模式与正常用户行为不符,NDR触发了警报,MSSP平台提醒远程服务团队介入。
02
分析FRP服务器的连接
(NDR完成检测):
远程服务团队介入通过MSSP平台收集的NDR信息分析发现,这些异常流量的目标是公司内部的FRP服务器。NDR在这一过程中识别到账户与服务器的连接,并记录下相关的网络流量,以及连接的频率和持续时间,以便进一步的调查和分析。
03
无法解密加密通信内容
(EDR完成检测):
由于FRP通信采用了加密,NDR无法直接解密通信内容。此时,MSSP平台串联的EDR信息发挥作用,通过记录受影响终端设备的活动,捕获到与FRP连接相关的终端设备,并记录下连接终端设备的行为和活动。
04
识别未经授权的访问行为
(EDR完成检测):
通过分析受影响的终端设备的活动,发现了异常的未经授权的访问行为。远程服务团队通过分析受影响的终端设备的日志、进程活动等信息,确定攻击者通过FRP成功访问了内部网络,进行了未经授权的操作。
05
确定攻击影响和后续响应
(EDR完成检测):
远程服务团队进一步利用EDR分析攻击的影响,确定攻击者可能获取的敏感信息或者对系统进行的其他恶意操作。
06
远程服务团队采取行动:
远程服务团队综合研判后第一时间通知用户,并协助隔离受感染的终端设备,并清除了攻击者可能留下的恶意文件,以阻止攻击的进一步扩散和损害。
场景三:
Shiro配置错误导致的安全风险
概述:攻击者利用Shiro框架的配置错误绕过了身份验证。NDR完成检测到异常的身份验证流量,但无法深入到应用程序层面进行分析。EDR的介入使得远程服务团队能够捕获到异常的身份验证尝试,并识别出攻击者利用已知漏洞的行为,有效遏制了潜在的数据泄露。
01
检测到异常身份验证行为
(NDR完成检测):
NDR检测到了公司内部网络中某个用户账户产生了异常的身份验证行为。这种行为可能表现为频繁的身份验证失败尝试或者在非常规时间段的登录尝试,与正常用户行为不符,NDR触发了警报,远程服务团队介入。
02
分析身份验证流量
(NDR完成检测):
远程服务团队通过NDR进一步分析异常的身份验证流量,检测到其中存在与Shiro框架相关的特征的流量。
03
检测到Shiro配置错误
(NDR完成检测):
NDR检测到与Shiro框架相关的配置错误或异常行为,如常见的默认配置未更改、权限配置错误等情况。远程服务团队判断这些配置错误可能导致了安全漏洞,使得攻击者能够绕过身份验证,以管理员或其他授权用户的身份登录系统。
04
确定绕过身份验证的尝试
(EDR完成检测):
由于NDR无法深入分析应用程序层面的身份验证过程,MSSP平台串联的EDR信息发挥作用,EDR捕获到异常的身份验证尝试行为,如使用已知的漏洞绕过Shiro身份验证的攻击行为。
05
确定攻击影响和后续响应
(EDR完成检测):
远程服务团队利用EDR侧信息进一步分析攻击的影响,确定攻击者可能获取的敏感信息或者对系统进行的其他恶意操作。
06
远程服务团队采取行动:
远程服务团队综合研判后第一时间通知用户,并协助隔离受感染的终端设备,并清除了攻击者可能留下的恶意文件,以阻止攻击的进一步扩散和损害。同时协助并跟踪用户修复Shiro配置错误,配合加强身份验证和授权控制。
随着网络安全威胁的不断演进,EDR和NDR在MDR服务中共同构成了一个坚实的安全防线。实际案例已经反复证明,通过融合NDR在网络层面的广泛监控和EDR在终端层面的深入分析,组织才能够真正构筑一个全面而强大的安全防护体系。