随着网络攻击技术的不断提高,黑客的攻击手法越来越复杂。坚定的攻击者和APT高级持续性威胁在逃避反病毒软件检测方面很有耐心,他们使用的工具,技术和战术看上去像正常行为,非常难以检测,他们可以在您的网络环境中停留数天,数周甚至数月,都不会触发安全警报。
EPP端点防护对此类高级攻击中通常 “没有反应”,无法检测到入侵,您甚至不知道黑客是如何攻击进来的,作了哪些操作,什么时候撤离的。
端点检测和响应(EDR)是解决这一挑战的最有希望的解决方案, 被成为下一代反病毒。 EDR可以实时监控整个端点,并搜索渗透到公司防御系统中的威胁。 这是一种新兴的技术,可以更好地了解端点上发生的事情,提供关于攻击的上下文和详细信息。 EDR 可以让你知道攻击者是否及何时进入你的网络,并在攻击发生时检测攻击路径,帮助你立即对事件作出反应。
EDR控制台部署
像市场上许多其它EDR产品一样,Bitdefender EDR提供了SaaS云控制台版本,在云端集中管理,对于跨区域,跨全球的企业来说,是一个非常不错的选择。
除此之外,Bitdefender EDR还可以在公司内部私有化部署。Bitdefender提供了OVA, XVA, VMDK,VHD, VHDX, RAW等多种格式的虚拟机模板,IT管理员可通过虚拟化管理平台速导入虚拟机模板,一键完成管理控制台部署。
IT环境支持
在IT环境支持方面,Bitdefender EDR不仅支持台式机,笔记本办公电脑,还适用于服务器,虚拟化数据中心,超融合基础架构,云环境等,支持面非常广泛,支持各类的主流操作系统,EDR支持Windows, Linux,macOS等各类系统。
控制台UI界面
访问Bitdefender EDR控制台后首先看到的是仪表板,它既简洁又有用。它包含恶意软件活动的趋势线,每个报表小部件中都包含追溯的功能。与大多数竞争产品提供的静态界面相比,Bitdefender在这方面做的非常不错,Bitdefender允许使用大量有用的小部件来定制其布局,定制成自己最喜欢的界面。
我们发现最独特的是能够直接从某些小部件中启动扫描任务。对于我们来说,这种高度的定制与便捷的工具相结合,确实给人留下了深刻的印象。
在管理控制台右侧,管理员可以实时看到网络中每个安全事件的告警,快速查看安全事件。
EDR客户端安装
Bitdefender的EDR客户端采用国际主流的方式,客户端同集成了EPP+EDR,两者结合在一起,可在一个轻量化传感器中提供多种安全功能。
在部署时,我们选择了使用下载器部署。整个安装包只有5M大小,却集成了非常多的安全模块,包括: 反恶意软件,高级威胁防护,高级反漏洞利用,HyperDetect可调节机器学习,Sandbox沙盒分析器,防火墙,入侵检测系统,网络攻击防护,流量扫描,设备控制,补丁管理,EDR传感器,威胁情报,应用程序控制白名单,应用程序控制黑名单等等,IT管理员可以将所有模块都包含在安装程序中,也可以根据需求自定义灵活配置。
另外,还有更多的安装选项,例如“选择语言”,“防卸载密码”, “安装到自定义路径”,“配置扫描引擎”, “卸载其它安全软件”。这使Bitdefender的部署选项非常灵活,是IT专业人员的不错选择。
配置好安装包后,管理员可以使用非常多的方法来部署Bitdefender EDR客户端到网络,例如“发送邀请邮件”, “远程推送安装”, “与AD, vCenter Server, XenServer,Nutanix Prism集成远程推送安装”,“MSI安装” “使用第三方工具例如SCCM,桌面管理软件推送安装”, “拷贝安装包到目标机器安装”等等,经验丰富的网络管理员可以在30分钟内部署EDR到上百台电脑,服务器,虚拟桌面,虚拟服务器等。
对于VMware,Citrix,Nutanix, AD环境,Bitdefender的部署尤其让人印象深刻,所有部署都可以在控制台中远程推送。
Bitdefender EDR 还包含了数据中心安全模块,对虚拟化数据中心,超融合架构的虚拟服务器VS和虚拟桌面VDI提供了特殊优化的安全保护, 可在虚拟化底层拦截攻击。对于大型IT环境来说,这是一个很吸引人的选项。
在官方文档中,我们看到Bitdefender支持市场上所有的虚拟化和超融合平台,例如:VMware,Citrix,Nutanix, Microsoft Hyper-V,KVM,深信服,阿里云,腾讯云,华为云,青云等等。
策略配置
Bitdefender的部署过程令人印象深刻,但在“策略”页面上,Bitdefender的控制,易用度超越了其他公司。
Bitdefender可以在一个策略模板中,全面控制所有不同平台的设备的安全策略,例如Windows, Linux,macOS等,策略设置后自动下发,可在短短的1分钟内应用到所有设备,非常便捷!
除了添加和管理策略外,还可以根据设备所连接的网络自动应用这些策略。尽管规则可能会变得有些复杂,但是在这么多员工从不同位置通过不同设备进行连接的时候,能够如此精细地分配配置文件是一项强大的功能。对于远程办公,漫游用户的策略管理来说非常有用。
事件检测和响应
EDR端点检测与响应是一个更加有趣的地方,因为它提供了针对恶意软件攻击的根本原因分析。
Bitdefender的EDR部分分为两个区域:
调查:显示突破Bitdefender安全技术的事件,管理员需要重点关注和调查此区域的事件
查看:显示Bitdefender预防技术检测的事件,管理员可以稍作查看,无需太多关注。
通过区域的划分,Bitdefender大大缩小了需要分析的安全事件数量,因为安全分析师没有足够的时间来评估每个警报并确定进一步调查的优先级。
自动警报分类显示了一个清晰的视图,分析人员可以轻松阅读和理解。 它减少了对警报进行分类所花费的时间,并使事件响应更快。
点击事件,将展开详细的分析报告,图表显示了详细的攻击路径,并为IT专业人员提供了建议的主动步骤,以缓解入侵。
应急响应工具:
Bitdefender提供了:“黑名单”, “Mitre ATT&CK 标签”,“隔离主机”,“安装补丁”,“远程Shell连接”,“结束进程”,“沙盒分析” ,“VirusTotal分析”, “Google分析”,“扫描入侵指标” ,“事件搜索” 等众多响应功能。对于可疑的安全事件,管理员可立即采取行动,避免威胁继续发展。
黑名单是一个有用的事件响应工具,管理员可以在事件中,点击按钮将文件添加到黑名单中,也可以手动导入MD5或SHA256哈希,建立黑名单规则,阻止其在网络中运行。
对于APT常用的网络钓鱼攻击,管理员可借助黑名单功能,快速屏蔽钓鱼附件,非常好用。
高级功能
Bitdefender的沙盒分析器是另一个突出的功能。当遇到不确定的文件时,可以将其提交到沙盒以进行引爆然后进行分析。由于它在虚拟容器中引爆,因此这是确定文件是否安全的一种好方法。
当有潜在威胁试图突破Bitdefender预防技术时,端点会自动触发沙盒提交分析功能,沙盒系统分析完毕后,会自动反馈分析结果和报告到管理控制台,并发送判决给客户端。
如果需要,也可以手动提交文件和网址到沙盒分析。
相对于微步在线之类的沙盒工具,Bitdefender提供了更加详细和精准的沙盒分析报告,集成的沙盒工具让安全分析更加简单和高效。
特色功能
风险管理是Bitdefender的一大特色功能,Bitdefender风险管理包括操作系统安全基线分析,漏洞分析,人为风险分析等功能。IT管理员可在管理控制台实时查看整个公司的风险态势,所有的风险指标,例如:操作系统配置错误,浏览器配置错误,Office宏,程序漏洞,密码更改策略,人为风险等数百个风险指标,Bitdefender还提供了自动或手动修复功能。
持续的风险分析,风险修复,可以从根本上降低整个公司的攻击面。
除了基线分析,Bitdefender还提供了漏洞扫描和补丁管理功能,可以快速发现操作系统和第三方应用程序的漏洞,IT管理员可设置自动漏扫,自动安装补丁计划,非常方便。完整清晰的报表,易用度,甚至可以超越LANDESK之类的桌面管理工具。
攻击实战
为了检验EDR的实际能力,我们对Bitdefender EDR发动了实际攻击测试。我们准备了一台用于攻击的Kali Linux,和一台Windows 10,在Windows 10上安装了Bitdefender EDR客户端。
攻击测试1—APT网络钓鱼
我们执行的第1个测试是网络钓鱼,从服务器发送一封钓鱼邮件到受害者,其中包含特制的word文档,打开文档时将运行VBA宏,该宏启动带有特定参数的cmd.exe,并尝试执行installer.exe安装木马。
Bitdefender EDR自动响应,阻止了所有的攻击,并在控制台中深度曝光了每个执行步骤。
攻击测试2—RDP爆破攻击
我们在Kali上使用Hydra对Windows 10发起了1000次蛮力爆破攻击,Bitdefender EDR自动响应和拦截了RDP爆破,并屏蔽了后续的攻击,EDR控制台也实时展现了攻击链路。
测试3—内网发现
攻击者通过钓鱼,暴力破解,漏洞利用等攻击手动攻击成功后,通常会以此机器为跳板,发现网络中其它的设备和关机服务器,因此,我们执行了第3个测试是网络发现。我们为此专门制作了一个批处理脚本,运行后此脚本将自动搜集攻击目标的系统和网络信息。
非常令人震撼的是,Bitdefender把批处理脚本中的每一条命令和命令参数都完整地呈现在控制台中。
测试4—提权和窃取凭据
我们的第4项测试比较棘手,我们编写了一套powershell和批处理脚本,首先,我们使用UACMe绕过Windows的UAC,并提权。 有了这些新的特权,我们再运行Powershell脚本。Powershell脚本将运行mimikatz.exe从操作系统进程lsass.exe中提取用户名和密码,转储到文件中data.txt。 然后,powershell脚本将解析这个文件并提取凭证,然后通过HTTP将其发送到运行在Kali机器上的Python攻击服务器。
Bitdefender EDR自动响应,阻止了所有的攻击,并像播放高清电影一样清晰地展示了每一个攻击步骤。
出色的响应
Bitdefender EDR最厉害的功能之一就是它实时响应高级攻击。一旦检测到威胁,恶意软件名称,文件以及相关信息,便会立即在弹出面板中显示。
而且,Bitdefender显示的详细程度令人震惊。客户端和Web控制台界面上的事件链显示了恶意软件正在执行的详细逐个播放。对于事件调查,根本原因分析,攻击取证非常有用,它也可以揭示攻击的来源,并帮助管理员搜索初始入口点。
测试总结
Bitdefender EDR是一个您需要重点关注的强大的安全解决方案,它包含大量高级功能以及经过深思熟虑的策略管理系统。即使针对非标准攻击,在我们的测试中Bitdefender检测威胁的能力也是令人惊叹,攻击者很难绕过Bitdefender的安全防线。
Bitdefender EDR总体评分:5.0/5.0
|
产品功能 |
⭐⭐⭐⭐⭐ |
|
文档 |
⭐⭐⭐⭐⭐ |
|
性能 |
⭐⭐⭐⭐⭐ |
|
易用度 |
⭐⭐⭐⭐⭐ |
|
支持 |
⭐⭐⭐⭐⭐ |
|
产品价值 |
⭐⭐⭐⭐⭐ |
|
文档 |
⭐⭐⭐⭐⭐ |
Bitdefender EDR优点
—对复杂IT环境支持非常好,对虚拟化和超融合的VDI和VS提供了特殊优化的安全保护
—集成行业顶级的EPP预防技术
—高质量的威胁情报,5亿用户全球最大的云安全网络
—部署非常简单,易于使用
—EDR实时展示,响应和停止高级攻击,可深度朔源和攻击取证
—沙盒分析器带来安全自动化,简化可疑文件分析
—包含实用的漏洞扫描和补丁管理功能
—包含风险管理评估安全基线功能,从根本上减少攻击面
附:Bitdefender EDR能力图
