维端网AV (Anti Virus,防病毒软件)最早可追溯到互联网的萌芽时期。其大概在 80 年代至 90 年代出现了更多商业化产品。
众所周知,早期的防病毒软件通过扫描和阻止已知的病毒签名来工作。而随着新病毒和恶意软件的出现,客户必须在终端设备上更新自身的AV数据库,然后运行扫描功能以查找这些新的不良签名。1994 年,主流反病毒数据库中大约有 30,000 个恶意软件样本。
的确,AV 正在发挥其应有的防御作用,防病毒的开发者们通过版本升级的操作逻辑让安全机制保持更新,即通过技术手段发现新的恶意软件并提交样本,让数据库的防病毒机制持续保持对安全威胁的预警。
这种手段对于客户来讲确实让防病毒的能力奏效了一段时间,但随着线上云服务变得越来越普遍,网络安全社区(攻击者和防御者)开始意识到一些现实情况。
一方面,攻击者坚持不懈,他们会编写新的恶意软件来通过防护屏障,每个新的恶意软件样本都会创建一个新的签名。而另一方面,防御者会发现病毒进而将攻击者所锻造的威胁吸纳到后者的签名数据库,然后阻止它。
这种猫捉老鼠的游戏造成了一种颇为尴尬的局面:新的恶意软件会被创建,它会被发现并被阻止,然后循环继续。
2005 年,全球数据库中大约有 333,000 个恶意软件 。这一数字比我们在 90 年代中期看到的要多很多,但 AV 仍然运行良好。
然而,到 2007 年,这一数字猛增到 550 万个恶意软件样本,而那只是两年之后的事情!按照数量突破递增导致质量升级的逻辑,病毒很有可能突破安全的终极防线。
例如,攻击者开始使用客户自己的工具来对付客户——像 PowerShell 脚本和 Office 文檔宏。这些是传统 AV 很难检测到的东西,因为软件和执行本身应该是安全的。
网络安全专家开始意识到客户无法再继续使用这种过时的技术,其必须做出一些改进。
下一代 AV (NGAV) 于 2010 年代初开始出现。擅长安全服务的MSP意识到可以寻找并尝试通过使用恶意软件本身的行为来检测新变种,而不是依赖于已知的Hash值。客户可以利用 NGAV 查看在端点上执行的所有内容,并根据其行为方式确定它是否是恶意的,而不是仅仅寻找已知的恶意软件。
但并非一切都是 100%,尤其是在安全方面。MSP开始不断发现新的威胁 ,包括勒索软件、无文件恶意软件和零日攻击。NGAV 确实不错,但客户仍然还需要能够响应和补救最初未被 NGAV 阻止的安全威胁。
在 NGAV 之后不久,MSP合作伙伴们开始借助端点检测和响应 (EDR) 平台强化安全机制:监控最终用户设备(台式机、笔记本计算机、平板计算机和手机)是否存在防病毒软件无法检测到的威胁。
EDR平台从 AV 和 NGAV 中提取了最好防御能力并将它们结合起来。尽管恶意软件变体一直在变化,但恶意软件的行为方式却很少。这也催生了 MITRE ATT&CK 框架的开发, 如今许多 EDR 解决方案都在使用该框架。
与 NGAV 一样,EDR 解决方案会跟踪端点上的所有内容,最终将恶意软件将捕获。其最大优势是:监控最终用户设备(台式机、笔记本计算机、平板计算机和手机)是否存在防病毒软件无法检测到的威胁。
MSP合作伙伴在此基础上进一步将目光从EDR转向XDR,即 扩展检测和响应 (XDR) ,其一度被MSP视为安全生态下一代主打角色。
XDR近年来的高光时刻似乎盖过了零信任。Gartner也预测到2027年,XDR技术的应用比率将从现在的5%飙升至40%。
XDR全称为:Extended Detection and Response,即可拓展威胁检测与响应。其是一个基于SaaS化模式,将多源安全遥测数据进行聚合,把原先分散的单点安全能力以原生化方式进行有机融合,以此提升威胁检测、调查、响应与狩猎能力的系统。
XDR 建立在 EDR 的核心功能之上,使所有遥测都可以访问——来自端点、云工作负载、身份、电子邮件、网络流量、虚拟容器、传感器(来自运营技术或 OT)等等。
同时,XDR可以帮助企业从技术堆栈中孤立的安全工具中收集威胁数据,以便更轻松、更快速地进行调查、威胁搜寻和响应。
维端网认为,通过将所有这些丰富的威胁数据过滤并浓缩到一个控制台中,XDR 使安全团队能够通过一个统一的解决方案快速有效地搜索和消除跨多个域的安全威胁。
XDR 协调并扩展孤立安全工具的价值,统一并简化安全分析、调查和修复。因此,XDR 具有以下优势:
整合威胁可见性:XDR 通过跨多个层工作、收集和关联来自电子邮件、端点、服务器、云工作负载和网络的数据来提供精细的可见性。
轻松检测和调查:分析师和威胁猎手可以专注于高优先级威胁,因为 XDR 会从警报流中剔除被确定为无关紧要的异常。借助该工具中预置的高级分析和关联内容,XDR 可自动检测隐蔽威胁——安全团队几乎无需花时间不断编写、调整和管理检测规则。
端到端的编排和响应: 详细的跨域威胁上下文和遥测——从受影响的主机和根本原因到指针和时间表——指导整个调查和补救过程。自动警报和强大的响应操作可以触发复杂的多工具工作流,以显著提高 SOC 效率并消除威胁。
