• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

护网中大“火”的EDR是个啥

2020-08-19发布
  • 0关注
粉丝:4人 关注:4人

2020年8月17日,护网行动开始的第一天,但第一天还没结束就草草收场,网传是因为业内三家名字带“信”厂商的终端软件出了安全漏洞,以及红方攻击IP被共享到蓝方阵营,提前做了封堵,失去了攻防演练的意义。目前,还不知道再次启动护网行动的具体时间。

1、护网行动

护网行动从2016年开始,参加单位由最开始的公安部、民航部、国家电网逐步扩散开来。2017年增加重点政府部门,2018年增加重点企事业单位,2019年有政企、能源、金融、电信、广电、交通、民航、公共事业等单位,今年预计根据等保2.0新规范,还增加了公有云、物联网领域的相关企业单位。

护网行动是人员技术的比拼,也是软硬件资源的比拼。大家印象中的黑客就可以理解为护网行动中的红方,防守的企业就是蓝方。实际上,红方也没有电影中的黑客那么厉害,大部分都是用一些扫描工具、漏洞脚本等发起攻击,真正的大神不多;蓝方也没有电影中演的那么超神,兵来将挡、水来土掩、见招拆招,实际上都是依赖安全设备,比如网络层加防火墙、IPS,服务器区加WAF,还有其他的流量分析、态势感知等等一系列产品。一定程度上将,护网行动成了安全厂商推广产品、蓝方检验安全厂商产品的大好机会,带来的收益就是网络安全质量的整体提升。

2、安全漏洞

本来说的是今年的蓝军万众一心,信息共享,无懈可击,但是开局一个0Day攻击就把整个护网行动干趴了。我也是在18号早上搜到了X信X厂商EDR平台的RCE漏洞复现手段,简单几步操作让人大跌眼镜,也让我认识到了大神的强大技能。有兴趣的可以搜一下“EDR RCE漏洞”,我还按照复现方法操作了一遍,真实有效,不过因为没有接触过这方面,所以也不清楚具体怎么利用这个漏洞。

 

一天之内,这个漏洞也算是在圈子里面火了一把,各种POC都出来了。不过,这些只能说明EDR这个系统写的不好,竟然有段子说代码的BUG比代码都多,并不影响对这个系统的评判。

3、EDR

 

按照Forrester 2020年度市场趋势预测,未来几年,数据中心的业务会逐步向云数据中心及边缘计算场景进行迁移;同时因为数据量激增,会有更多的边缘计算来减轻网络压力,网络边缘和终端的安全防护显得日益重要。

这时候就要提到EDR(端点检测与响应平台)这个产品了,是终端防护的新型概念,前身包括AV防病毒和EPP(端点保护平台)。其产品定义为:记录和存储端点系统级行为,使用各种数据分析技术检测可疑系统行为,提供上下文信息,阻止恶意活动,并提供修复建议以恢复受影响的系统

核心功能

对终端的持续性监控

利用终端集成探针功能实现对终端的持续性监控,全面记录并保存终端上活动的进程、网络连接、注册表信息、文件操作行为、移动存储使用、用户操作信息等,为终端威胁可见性的提升提供基础数据支撑。

以威胁事件为起点实现自动根因分析

当一个威胁产生时,EDR解决方案不是直接提供一个告警,而是以这个威胁源为起点自动关联这个威胁的来源和方式,在终端上执行的操作以及操作带来的影响,并形成一个威胁告警,管理人员通过查看告警即可了解这个安全事件的全貌。

高级关联分析应对针对性和复杂攻击

利用关联分析技术,将终端上不同时间段、不同类别的活动信息进行关联分析,以洞悉其中存在的异常行为和可能存在的攻击,有效减少产生的威胁告警信息,避免漏报和误报对管理人员造成影响,让威胁事件变得更容易解读和处置。

以安全调查为抓手的全网威胁追踪

对终端的持续性监控,为管理人员带来了全网安全可视性的提升,进一步增强了针对网络内终端的安全公告能力,利用安全调查功能根据终端安全关注的不同维度实现全网快速检索,主动发现和追踪存在的威胁,以便在威胁产生影响之初做出响应和处置。

EDR和EPP产品功能对比

 

而EDR软件放人要先防己,打铁还要自身硬。EDR一般是系统进程级防护,管理员自己都卸载不掉,应用权限极高,如果漏洞被恶意利用,如向全网终端推送恶意程序,危害巨大,后果不堪设想。

所以应当考虑对关键业务系统增加多因子认证等安全手段,并且安全平台做到对恶意程序零容忍,限制关键敏感操作;最起码在网络层面,应规范关键业务系统的网络可见性,减小暴露面,把软肋藏起来吧!共勉!

一路走来,感谢有你。我就拉个微信群吧,方便和粉丝们一起交流网络、安全、云计算之类的问题,再有就是打发时间。

0个回复

该话题暂时没有网友回复过

回复

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作