1、对抗痕迹清除:溯源入侵流程。NTA通过聚合关联利用攻击链各阶段的流量,将告警之间的时序关系、因果关系进行关联分析,从而还原整个攻击流程。攻击溯源分析对攻击行为在防护体系内外部的路径进行分析,并对相关联的行为进行相关性组合。在安全事件发生后,能够对攻击事件下钻到原始日志进行分析取证,对回溯到的攻击源,可以利用威胁信息进行验证;攻击链模型对攻击事件进行溯源分析,通过将产生的安全事件按攻击过程分类,不限于信息收集、网络入侵、命令控制、横向渗透、目标达成、痕迹清理。在真实的攻击事件发生后,通过攻击链模型结合人工分析判断,找到真实攻击源的能力。综合来看,在攻防演练中,通过对网络中流量行为的监测与分析,发
2、现攻击行为并且快速协同进行响应,提升检测精度,减少误报率。而基于溯源分析,不仅可以还原整个攻击流程,企业还可以进一步完善自身在事前的攻击模型建模,进一步优化整体安全能力。此外,在中国网络流量监测与分析产品研究报告(2020年)中,经中国信息通信研究院安全研究所测试,多数企业可对网络攻击特征进行基本识别,但需加强机器学习、数据图谱等高级关联分析和溯源展示能力。在网络攻击识别方面,多数受测产品能识别出Web应用攻击、弱口令、暴力破解、扫描与爬虫、数据库攻击、敏感信息泄露、恶意通信流量、内网渗透、通用应用漏洞攻击、恶意软件、后门识别、异常协议等攻击行为。随着重要信息与大数据的安全防护逐渐从“防护”向
3、“检测”、“响应”进行转变,逐渐开始强调“威胁态势感知”,NTA与NDR这类基于网络的检测与响应堪称新一代的态势感知、安全运营系统或平台,将成为日后的主要防护工具另一方面,技术的迭代发展对于安全防护也提出了更高的要求:虚拟化云计算技术的大量应用,衍生出安全运营的需求升级;所有权和控制权的变化,导致管理机制的变化,引出安全责任共担机制、运维流程的变化,安全运营由外到内,防御和检测面临着深刻的变革。在这种新的安全形势下,采取主动防御的方式保护端点安全越来越有必要。终端检测与响应(EDR)的概念就是基于以上问题而诞生的。EDR的重点不在于阻止漏洞利用和恶意软件,而在于监视终端以检测可疑活动,并捕获可疑数据以进行安全取证及调查。合格EDR解决方案应具备四大基本功能:安全事件检测、安全事件调查、遏制安全事件以及将端点修复至感染前的状态。EDR工具通过记录大量终端与网络事件,并将这些数据存储在终端本地或者集云端数据库中,对这些数据进行IOC比对、行为分析和机器学习,用以持续对这些数据进行分析,识别威胁,并快速进行响应,能够在现有基础上为企业提供深层次、细化的端点数据。