最新研究
2022漏洞管理指南
2022漏洞管理指南
前往下载

明明已部署EDR,服务器为什么还是被入侵了?

2022-05-16

昨天,笔者接到了一条后台留言:“明明已经安装了EDR产品,服务器为什么还是被入侵呢?”答案其实很简单,因为EDR并不是专门用来保护主机安全的。关于这一点,笔者在之前的文章中谈过在主机安全领域的鄙视链CWPP → EDR → EPP → 杀毒软件(又是一条赤裸裸的鄙视链)

在介绍EDR和CWPP两个产品概念之前,先来简单说明主机、服务器、终端几个位置概念:

主机VS服务器。主机是一个统称,所有服务器(虚拟机)都是主机,但并非所有主机都是服务器,也就是服务器⫋主机。主机和服务器的主要差别在于,主机是连接到网络的计算机或其他设备,而服务器是提供服务的软件或硬件设备,日常所说的服务器一般是指提供服务的主机。由此可见,主机安全并不是一个产品,而是对应一个需要被保护的位置,主机安全即主机侧的安全保护。

终端VS服务器。终端和服务器是两类东西。这里的终端指桌面电脑、笔记本、个人设备等用于访问网络、数据和应用的设备,而服务器则是提供服务、存储、计算的设备。当然,某种程度上来说,广义上的终端概念也可以包括服务器,但常规意义的终端不包括服务器。

EDR与CWPP的定义及区别

简单来说,EDR(Endpoint Detection & Response,终端检测和响应)作用于PC这样的常规终端,而CWPP(Cloud Workload Protection Platforms,云工作负载保护平台)作用于服务器端。可能有人会说,EDR产品的Agent也能部署进服务器里面呀?这个问题没有错,但这么做相当于把汽车的发动机引擎装进飞机里面,装倒是装进去了,但问题是飞得起来吗?

网络安全是一个专业、细分品类非常多的领域,需要不同的安全产品各司其职来完成对应的安全保护。在安全的需求上,PC类的终端侧与主机侧的安全诉求差别很大。所以,面向终端的EDR产品与面向服务器/工作负载的主机安全产品CWPP,这两者之间有本质的区别,并不能混为一谈。主机侧的安全产品实现不了终端侧的安全防护,EDR也不能实现CWPP的防护效果。

终端侧与主机侧具体的安全需求场景对比如下表所示:

表1 终端侧与主机侧的安全需求对比

很多人会误认为装了EDR就等于实现了主机位置的安全防护,这种观点与市场上安全产品的分类混乱有一定关系,部分安全厂商为了扩大EDR产品的适用范围,在对产品进行简单整改之后,便对外宣称其EDR产品能够解决“PC+主机”两侧的安全问题,致使很多人误以为EDR本来就是能够同时覆盖PC侧与主机侧的统一解决方案。而事实上,根据Gartner对EDR的定义,国内绝大多数所谓的EDR产品连真正的EDR都算不上,基本都是EPP(Endpoint Protection Platforms,终端保护平台)或AV(Anti Virus,反病毒软件)换了皮肤,连常规的终端检测都没做好,更谈不上服务器侧的安全问题。

EDR究竟是什么?

根据Gartner的定义,EDR是一种集成的终端安全解决方案,它将终端数据的实时连续监控和收集与基于规则的自动响应和分析功能相结合。该术语由Gartner的Anton Chuvakin提出,用于描述新兴的安全系统,用于检测和调查终端上的可疑活动,采用高度自动化使安全团队能够快速识别和响应威胁。

EDR 安全系统的主要功能是:

• 监控并从终端收集表明可能存在威胁的活动数据;

• 分析这些数据以识别威胁模式;

• 自动响应已识别的威胁以消除或遏制它们,并通知安全人员;

• 取证和分析工具,用于研究已识别的威胁并搜索可疑活动。

什么才是CWPP?

Gartner在CWPP的定义中特别强调了workload是指虚拟机、容器、无服务器上的工作负载。


在Gartner研究的技术体系中,EDR和CWPP是不同的技术品类。在主机安全这个位置上,CWPP拥有EDR不可替代的价值:

• 细粒度的资产清点,管控不合规的软件供应链;

• 漏洞、弱密码等风险的持续检测,任务式跟踪,闭环管理;

• 实时检测绕过边界,入侵主机的未知威胁和有效攻击;

• 合规检查,管控不合规业务配置。

EDR与CWPP的关系

EDR与主机安全属于网络安全领域两个不同的方向,前者聚焦于常规的终端侧,后者聚焦于主机侧,两者作用于完全不同的位置。EDR的基因是根植于PC等常规终端的,它天然不适配于主机侧。虽然部分厂商在后期对EDR产品做了改动,使其在主机上也能实现一定程度的防护效果,但如果在主机上安装EDR产品,会面临以下几点难题:

1. 稳定性不高。重Agent架构,涉及装载驱动或修改内核,在部署安装Agent的时候就可能造成系统宕机、蓝屏、崩溃;

2. 容易影响业务。重防护功能,基于策略进行自动拦截阻断可能造成误判和误杀,导致业务系统崩溃;

3. 资产画像不全。对主机层和系统层资产清点以及对应用层梳理较弱,存在防护盲区;

4. Linux系统下安全能力不足。源于针对PC终端进行防护,所以针对Windows系统功能做的相对全面,但Linux系统功能相对偏弱,包括补丁漏洞、杀毒、安全防护等;

5. 风险检测种类不全。EDR只支持漏洞风险检查,其他的如弱密码、系统风险、应用风险、账号风险之类的风险是检查不出来的;

6. 不支持合规基线。EDR通常不具备或只提供少量的基线检查标准,不能帮助用户合规落地。

这两种产品的区别可以通过下表清晰地展示出来:

表2 国内EDR与CWPP的区别


通过安全EDR来实现主机安全可以看作是用数学老师教语文。一个数学老师,除了教数学,他可能也有能力教语文,但效果一定比不上专职语文老师。同样的道理,EDR的核心能力在于对终端的安全防护,它虽然在一定程度上也能保护主机安全,但它在主机安全领域的能力并不深入。

想了解更多主机安全的趋势、产品及国内市场介绍,可以扫描下方二维码领取沙利文《2021年中国云主机安全市场报告》。

CWPP是主机侧安全的最佳落地实践

因此,要最想让主机安全防护效果大化,就得用专业的主机安全产品。青藤万相·主机自适应安全平台是国内第一家落地自适应安全架构的主机安全产品,历经7年多的发展,在主机侧沉淀了大量技术和场景经验,并基于600多万Agent为客户提供资产清点、风险发现、入侵检测、合规基线、病毒查杀、微隔离等多种安全服务。

在主机安全防护方面,青藤万相具有以下优势:

• 轻Agent部署。装驱动、不动内核,稳定性高达99.9999%,正常的系统负载情况下,CPU占用率<1%,内存占用<40M,在系统负载过高时,Agent会主动降级运行,不影响正常业务。

• 更全面的资产清点。从主机层、系统层、应用层、Web层几个不同角度清点硬件配置、进程、端口、账号、中间件、数据库、Web 应用、Web 框架、Web 站点等,提供 10 余类主机关键资产清点,800 余类业务应⽤⾃动识别,让保护对象清晰可⻅。

• 高效的漏洞扫描。通过Agent收集主机信息,对主机的情况了如指掌,与自有的50000+漏洞库比对,可以快速找出漏洞,不论主机数量多少,都可以在5分钟内完成扫描。

• 减少误报告警量。青藤万相只对成功的入侵行为发出告警,既把安全人员从大量无意义的告警中解脱出来,还能保证他们所接到的每条告警都是有价值的。

• 定制化合规基线。根据服务器的操作系统、软件应用等信息,自动筛选出该服务器上需要检查的基线,并支持一键批量创建基线任务。拥有1500+的基线配置检查系统Checklist知识库,还可根据不同行业相关基线规范,对知识库实现定制管理,匹配各行业安全配置需求。

• 东西向流量管控。青藤万相的微隔离功能模块以拓扑图清晰直观地展示主机间的业务流量,让用户集中统一配置网络策略,阻断异常的横向访问行为,能够让东西向流量安全防护真正落地。

• 注重安全左移。关注安全事件的事前和事中及时发现,将风险消灭在萌芽过程中,同时针对事后具备全方位的事件采集功能,方便进行溯源处置追责。

青藤万相作为主机安全领域的代表性产品,凭借领先的技术和理念优势连续5年入选Gartner CWPP市场指南,位列Frost&Sullivan云主机安全市场领袖梯队,并在赛迪云主机安全报告中市场占有率第一,为金融、政府、运营商、互联网、国央企等20+行业的1000+头部客户提供了主机防护。如果你对这个领域有任何疑问或有主机安全防护需求,可以拨打400-188-9287咨询青藤安全专家并申请万相免费试用~

立即体验,让安全一触即达

7*24小时安全监控

5*8小时故障诊断

安装升级服务

产品使用培训

免费试用

免费试用

请填写真实信息,方便我们更好地了解您的企业安全需求,如需咨询更多服务,请拨打 400-188-9287
*

*

*

*

*

*

请选择您想试用的产品
提交申请

您的申请已提交

申请通过后,我们将尽快联系您
青藤服务热线:400-188-9287