明明已部署EDR,服务器为什么还是被入侵了?
昨天,笔者接到了一条后台留言:“明明已经安装了EDR产品,服务器为什么还是被入侵呢?”答案其实很简单,因为EDR并不是专门用来保护主机安全的。关于这一点,笔者在之前的文章中谈过在主机安全领域的鄙视链CWPP → EDR → EPP → 杀毒软件(又是一条赤裸裸的鄙视链)。
在介绍EDR和CWPP两个产品概念之前,先来简单说明主机、服务器、终端几个位置概念:
主机VS服务器。主机是一个统称,所有服务器(虚拟机)都是主机,但并非所有主机都是服务器,也就是服务器⫋主机。主机和服务器的主要差别在于,主机是连接到网络的计算机或其他设备,而服务器是提供服务的软件或硬件设备,日常所说的服务器一般是指提供服务的主机。由此可见,主机安全并不是一个产品,而是对应一个需要被保护的位置,主机安全即主机侧的安全保护。
终端VS服务器。终端和服务器是两类东西。这里的终端指桌面电脑、笔记本、个人设备等用于访问网络、数据和应用的设备,而服务器则是提供服务、存储、计算的设备。当然,某种程度上来说,广义上的终端概念也可以包括服务器,但常规意义的终端不包括服务器。
EDR与CWPP的定义及区别
简单来说,EDR(Endpoint Detection & Response,终端检测和响应)作用于PC这样的常规终端,而CWPP(Cloud Workload Protection Platforms,云工作负载保护平台)作用于服务器端。可能有人会说,EDR产品的Agent也能部署进服务器里面呀?这个问题没有错,但这么做相当于把汽车的发动机引擎装进飞机里面,装倒是装进去了,但问题是飞得起来吗?
网络安全是一个专业、细分品类非常多的领域,需要不同的安全产品各司其职来完成对应的安全保护。在安全的需求上,PC类的终端侧与主机侧的安全诉求差别很大。所以,面向终端的EDR产品与面向服务器/工作负载的主机安全产品CWPP,这两者之间有本质的区别,并不能混为一谈。主机侧的安全产品实现不了终端侧的安全防护,EDR也不能实现CWPP的防护效果。
终端侧与主机侧具体的安全需求场景对比如下表所示:
表1 终端侧与主机侧的安全需求对比
很多人会误认为装了EDR就等于实现了主机位置的安全防护,这种观点与市场上安全产品的分类混乱有一定关系,部分安全厂商为了扩大EDR产品的适用范围,在对产品进行简单整改之后,便对外宣称其EDR产品能够解决“PC+主机”两侧的安全问题,致使很多人误以为EDR本来就是能够同时覆盖PC侧与主机侧的统一解决方案。而事实上,根据Gartner对EDR的定义,国内绝大多数所谓的EDR产品连真正的EDR都算不上,基本都是EPP(Endpoint Protection Platforms,终端保护平台)或AV(Anti Virus,反病毒软件)换了皮肤,连常规的终端检测都没做好,更谈不上服务器侧的安全问题。
EDR究竟是什么?
根据Gartner的定义,EDR是一种集成的终端安全解决方案,它将终端数据的实时连续监控和收集与基于规则的自动响应和分析功能相结合。该术语由Gartner的Anton Chuvakin提出,用于描述新兴的安全系统,用于检测和调查终端上的可疑活动,采用高度自动化使安全团队能够快速识别和响应威胁。
EDR 安全系统的主要功能是:
• 监控并从终端收集表明可能存在威胁的活动数据;
• 分析这些数据以识别威胁模式;
• 自动响应已识别的威胁以消除或遏制它们,并通知安全人员;
• 取证和分析工具,用于研究已识别的威胁并搜索可疑活动。
什么才是CWPP?
Gartner在CWPP的定义中特别强调了workload是指虚拟机、容器、无服务器上的工作负载。
在Gartner研究的技术体系中,EDR和CWPP是不同的技术品类。在主机安全这个位置上,CWPP拥有EDR不可替代的价值:
• 细粒度的资产清点,管控不合规的软件供应链;
• 漏洞、弱密码等风险的持续检测,任务式跟踪,闭环管理;
• 实时检测绕过边界,入侵主机的未知威胁和有效攻击;
• 合规检查,管控不合规业务配置。
EDR与CWPP的关系
EDR与主机安全属于网络安全领域两个不同的方向,前者聚焦于常规的终端侧,后者聚焦于主机侧,两者作用于完全不同的位置。EDR的基因是根植于PC等常规终端的,它天然不适配于主机侧。虽然部分厂商在后期对EDR产品做了改动,使其在主机上也能实现一定程度的防护效果,但如果在主机上安装EDR产品,会面临以下几点难题:
1. 稳定性不高。重Agent架构,涉及装载驱动或修改内核,在部署安装Agent的时候就可能造成系统宕机、蓝屏、崩溃;
2. 容易影响业务。重防护功能,基于策略进行自动拦截阻断可能造成误判和误杀,导致业务系统崩溃;
3. 资产画像不全。对主机层和系统层资产清点以及对应用层梳理较弱,存在防护盲区;
4. Linux系统下安全能力不足。源于针对PC终端进行防护,所以针对Windows系统功能做的相对全面,但Linux系统功能相对偏弱,包括补丁漏洞、杀毒、安全防护等;
5. 风险检测种类不全。EDR只支持漏洞风险检查,其他的如弱密码、系统风险、应用风险、账号风险之类的风险是检查不出来的;
6. 不支持合规基线。EDR通常不具备或只提供少量的基线检查标准,不能帮助用户合规落地。
这两种产品的区别可以通过下表清晰地展示出来:
表2 国内EDR与CWPP的区别
通过安全EDR来实现主机安全可以看作是用数学老师教语文。一个数学老师,除了教数学,他可能也有能力教语文,但效果一定比不上专职语文老师。同样的道理,EDR的核心能力在于对终端的安全防护,它虽然在一定程度上也能保护主机安全,但它在主机安全领域的能力并不深入。
CWPP是主机侧安全的最佳落地实践
因此,要想让主机安全防护效果最大化,就得用专业的主机安全产品。青藤万相·主机自适应安全平台是国内第一家落地自适应安全架构的主机安全产品,历经7年多的发展,在主机侧沉淀了大量技术和场景经验,并基于600多万Agent为客户提供资产清点、风险发现、入侵检测、合规基线、病毒查杀、微隔离等多种安全服务。
在主机安全防护方面,青藤万相具有以下优势:
• 轻Agent部署。不装驱动、不动内核,稳定性高达99.9999%,正常的系统负载情况下,CPU占用率<1%,内存占用<40M,在系统负载过高时,Agent会主动降级运行,不影响正常业务。
• 更全面的资产清点。从主机层、系统层、应用层、Web层几个不同角度清点硬件配置、进程、端口、账号、中间件、数据库、Web 应用、Web 框架、Web 站点等,提供 10 余类主机关键资产清点,800 余类业务应⽤⾃动识别,让保护对象清晰可⻅。
• 高效的漏洞扫描。通过Agent收集主机信息,对主机的情况了如指掌,与自有的50000+漏洞库比对,可以快速找出漏洞,不论主机数量多少,都可以在5分钟内完成扫描。
• 减少误报告警量。青藤万相只对成功的入侵行为发出告警,既把安全人员从大量无意义的告警中解脱出来,还能保证他们所接到的每条告警都是有价值的。
• 定制化合规基线。根据服务器的操作系统、软件应用等信息,自动筛选出该服务器上需要检查的基线,并支持一键批量创建基线任务。拥有1500+的基线配置检查系统Checklist知识库,还可根据不同行业相关基线规范,对知识库实现定制管理,匹配各行业安全配置需求。
• 东西向流量管控。青藤万相的微隔离功能模块以拓扑图清晰直观地展示主机间的业务流量,让用户集中统一配置网络策略,阻断异常的横向访问行为,能够让东西向流量安全防护真正落地。
• 注重安全左移。关注安全事件的事前和事中及时发现,将风险消灭在萌芽过程中,同时针对事后具备全方位的事件采集功能,方便进行溯源处置追责。
青藤万相作为主机安全领域的代表性产品,凭借领先的技术和理念优势连续5年入选Gartner CWPP市场指南,位列Frost&Sullivan云主机安全市场领袖梯队,并在赛迪云主机安全报告中市场占有率第一,为金融、政府、运营商、互联网、国央企等20+行业的1000+头部客户提供了主机防护。
明明已部署EDR,服务器为什么还是被入侵了?相关推荐
- 小说阅读器未能连接服务器怎么办,vue移动端小说阅读器vue全家桶项目,已部署到服务器可访问预览...
暑假实习了几个月辞职后,闲着无聊自己开发的一个vue小说阅读器链接 预览地址,里面的小说接口调用的是追书神器,然后我把里面的vip和收费章节做了处理加了个换源功能,里面需要收费或者vip的小说都可以免 ...
- 使用vue全家桶搭建的vue小说阅读器,已部署到服务器可预览
暑假实习了几个月辞职后,闲着无聊自己开发的一个vue小说阅读器链接 请使用浏览器打开此链接 http://39.96.55.152(由于域名需要备案用的是ip地址),里面的小说接口调用的是追书神器, ...
- 使用vue全家桶搭建的vue小说阅读器,已部署到服务器可预览。
暑假实习了几个月辞职后,闲着无聊自己开发的一个vue小说阅读器链接 http://39.96.55.152(由于域名需要备案用的是ip地址),里面的小说接口调用的是追书神器,然后我把里面的vip和收费 ...
- 吃鸡游戏对服务器性能,超级服务器已部署!吃鸡国服再爆好消息,游戏速度将会起飞!...
最近有关吃鸡国服的消息越来越多,不过已经有不少小伙伴不太买账了:从年前就说要上线上线,现在连个毛都没有看到,吹的天花乱坠有啥用?的确,吃鸡国服这个饼已经画的够大了,无数国服玩家已经等不及了.前端时间圈 ...
- 绝地求生国服版服务器维修怎么办,绝地求生国服服务器已部署!官方回应国服上线时间问题...
原标题:绝地求生国服服务器已部署!官方回应国服上线时间问题 近日<绝地求生>国服官博发文表示,<绝地求生>国服将采用超性能服务器,帮助玩家的体验更加快速稳定.同时国服还推出&q ...
- 已解决:前、后端打包部署至服务器后,背景图片不显示并且一些图标都变成了方块
将打包好的jar包部署至服务器后,输入项目网址后,发现背景图片没有显示出来并且一些图标变成了方块. 解决办法:在前端找到bulid文件目录下的utils.js文件,添加以下语句: publicPath ...
- 部署FTP服务器及其管理
1.FTP简介 文件传输协议(英文:File Transfer Protocol,缩写:FTP)是用于在网络上进行文件传输的一套标准协议,也是网络上常用的最老的网络协议之一,它使用客户/服务器模式.它 ...
- 已成功与服务器建立连接,但是在登录过程中发生错误。 (provider: SSL Provider, error: 0 - 接收到的消息异常,或格式不正确。)...
之前做好的asp.net部署后,发现 访问数据库时: 异常:已捕获: "已成功与服务器建立连接,但是在登录过程中发生错误. (provider: SSL Provider, error: 0 ...
- debian重启ssh服务_Jenkins远程部署Linux服务器
前言 之前在Jenkins上也有一些使用经验了,但是都是使用团队配置好的Jenkins,自己只需要管自己的项目以及执行构建即可,这一次自己尝试了一下配置Jenkins的远程部署Linux服务器以及应用 ...
最新文章
- 《虚拟化与云计算》读书感(四)数据中心的设计和构造
- 说说JavaScriptCore
- Django | 执行项目下指定的脚本
- Android升级butterknife,Android组件化开发中使用Butterknife的坑
- linux系统终端介绍
- 7-4 求链式线性表的倒数第K项(最佳解法)(List容器)
- python打乱list_超实用!每 30 秒学会一个 Python 小技巧,GitHub 标星 5300!
- Linux异步IO实现方案总结
- Perl 第一章概述
- html page背景图片,html – Fullpage.js背景图片
- ★LeetCode(196)——删除重复的电子邮箱(MySQL)
- 准备在北京Tech·Ed上组织博客园聚会
- 【matlab深度学习工具箱】classificationLayer参数详解
- 微服务项目之电商4.0技术架构图
- Php—— 1.apache2.4.x+php7.x
- 通过--amend和rebase修改git commit提交的注释信息
- VulnHub1:Jangow: 1.0.1靶机入侵
- 第一二天作业-BGP MPLS + OSPF分流互备做法
- 编译原理—x86汇编指令
- Led护眼灯真的有效果吗?2022双十一最值得入手护眼台灯推荐