EDR: Endpoint Detect & Response. 基于端点的检测与响应,属于企业安全防护体系里的重要一环。CrowdStrike是全球EDR产品中的佼佼者。学习一下CrowdStrike在AWS的宣传白皮书。以加深对EDR在云端的主要卖点和部署方式。
材料链接:https://d1.awsstatic.com/Marketplace/solutions-center/downloads/CrowdStrike-Falcon-Discover-datasheet.pdf
云上挑战
1)资产可见行 : 发现所有账号使用的EC2,并将其纳入管理。
2)上下文:威胁分析时,需要终端信息。
3)一致性:IT架构复杂,EC2应当和传统服务器保持管理上的一致。
4)效率:安全团队事情太多了。
5)容易部署:如何融入DevOps流程中。
CrowdStrike 使用场景
1. 富化告警信息和上下文
提供终端侧的告警数据和VPC间的基于终端的信息。
2. 寻找未纳管EC2
CS 的Falcon Discover平台提供功能,可以支持跨AWS账号导入EC2资产,并提供各种检索条件。
3. 提高安全的视野
CS的Dashboard,提供所需的任何信息。
4. Review EC2的生命周期
其他的,在我看来的核心优势:
1) 和AWS云高度集成,这个很重要
我看到的几家私有化托管的EDR,主要还是Agent+带Dashboard Server的模式。如果在云中使用的话,这种可见行似乎是缺乏的,这个可以和乙方的同学再聊一下。
对甲方团队而言,如果引入这种不带资产管理的EDR设备,后续还有大量的适配工作要做,比如上面提到的对AWS机器的可见性和管理。国内是否有针对同类的EDR产品, 提供类似的云账号集成的功能?
我部署了EDR之后想收获什么?
1)资产管理&可见。和现在的网络资产可见类似。多少IP/多少域名,覆盖率如何。趋势如何。
2)终端信息收集。Agent定时任务、CPU占用率、运行进程、开放端口等基础信息。
3)风险发现。强大的、与时俱进的漏洞库,强的AV能力,强的告警能力。
4)阻断能力。自动解决掉一些高频安全风险,比如挖矿木马自动隔离,端口反弹自动kill进程等。
其他的两个想法:
1)腾讯云主机安全有网络的告警列表,是基于Agent做的吗?其他的产品似乎大家都没有这个功能。如果大家都有这个功能,部署之后能否开放运营,基于流量在主机上做热补丁拦截?
2)数据可见行,能否开放全部数据到我们?拿到日志数据之后,日志数据的理解成本会不会很高?