Cynet 360：下一代 EDR 解决方案

-4-Cynet360：下一代EDR解决方案许多企业视终端检测与响应(EDR)为数据泄露主要防备手段。2022年，EDR作为单独的一类平安产品消失，并很快被认为是漏洞利用、零日恶意软件和无文件攻击等新型威逼的有力响应，补充了传统杀毒软件(AV)在这方面的弱势。

许多企业视终端检测与响应(EDR)为数据泄露主要防备手段。2022年，EDR作为单独的一类平安产品消失，并很快被认为是漏洞利用、零日恶意软件和无文件攻击等新型威逼的有力响应，补充了传统杀毒软件(AV)在这方面的弱势。

虽说EDR应对当今多种高级威逼的有效性毋庸置疑，但新型"下一代EDR'解决方案已浮出水面，不仅拥有全部EDR功能，还能抵挡EDR未掩盖的主要攻击途径，比如那些涉及用户和网络的攻击。

Cynet（一种下一代EDR解决方案）共同创始人EyalGruner解释道：许多人都无意识地搞混淆了两种不同的东西终端防护和数据泄露防护。

没错，许多攻击始于终端，涉及恶意文件与恶意进程，使EDR成为了终端防护的完善解决方案。但实际攻击界面远比终端宽阔，你要爱护的不仅仅是终端，而是你的公司。

Gruner白帽黑客出身（从15岁就开头了），还创办了以色列最大的网络平安询问公司BugSec。如今，他是世界著名的攻击工具、技术及实践专家。

可以这么想：攻击者的动作必定会产生某种特别。而我们理解的正常行为是不包含染指资源和盗取数据的。这些特别就是平安产品或者说威逼分析师的锚点，用以识别正在发生的不良状况并封锁之。

Gruner称，这些特别可在三个核心的地方看到进程执行、网络流量或用户行为。比如说，勒索软件会产生进程执行特别，由于会消失一个尝试与大量文件交互的进程。

另一方面，多种横向移动包含网络流量特别，以超高服务器消息块(SMB)流量的形式呈现。与之类似，当攻击者以被盗用户账户凭证登录关键服务器时，唯一的特别存在于用户行为中。两种状况下，仅仅监视进程是无法发觉攻击的。

Gruner表示，EDR可以很好地防备那些可通过进程特别加以识别的攻击。该工具驻守终端，监视进程行为，形成对此类威逼的有效防护。但其他类型的威逼呢？有许多主流攻击方法在网络流量和用户行为层面操作，不会触发丝毫过程特别，EDR对此完全失明。

为更好地理解该问题，我们不妨从攻击者的角度来看。攻击者已胜利入侵一台终端，正在衡量怎样进一步浸染整个环境，访问并渗漏敏感数据。要完成这一任务还有几个必要的步骤要做。我们以凭证窃取为例。

高权限凭证是访问环境中资源的基础。攻击者可能尝试从已入侵终端的内存中转录出这些凭证。由于该举动会引发进程特别，EDR可以捕获到该入侵动作。

然而，密码散列值也可以通过拦截内部网络流量（利用地址解析协议(ARP)中毒或域名系统(DNS)响应器）猎取。这种拦截动作只有通过监视网络流量特别才能探知，而EDR会完全漏掉这一特别。

Gruner表示，以自己的阅历，厉害的攻击者通常能快速摸清目标都设置了哪些防备措施，然后实行相应的规避和攻击动作。假如发觉设置了良好的EDR，攻击者会换用针对网络和用户领域的技术，在EDR检测不到的地方肆意操作。

所以，假如你想要的是平安技术栈中有个组件能够防护基于进程的攻击，比如恶意软件、漏洞利用程序等，那EDR就能满意你的需求。但假如你寻求的是防止数据泄露，你就得考虑更多东西了这正是我们创建Cynet360的初衷。

Cynet360持续监视进程、网络流量和用户行为，全方位掩盖当今高级攻击中所用各种攻击方法。也就是说，包含全部EDR功能，并扩展和集成了用户行为分析和网络分析，补充了健壮的诱骗层可使操作人员能够植入充当诱饵的数据文件、密码、网络共享等，诱骗攻击者暴露自身。

而且，Cynet供应的远不止增值那么简洁。Gruner称：不仅仅是基于进程的威逼+基于网络的威逼+基于用户的威逼。攻击者越高端，就越精于隐蔽自身及其行为。所以，许多攻击仅靠观测进程或流量或用户行为根本无法发觉。

只有通过综合这些信号形成上下文，你才可以看出有恶意大事发生。Cynet360自动化该上下文创建过程，揭示其他方法发觉不了的多种威逼。

Gruner总结道：没有哪种防护措施是100%无缺口的，但你必需扼守全部主要通路。攻击者能够绕过它们吗？答案是"能'，只要他们技术够高、决心够大、资源够丰富。但假如你监视全部主要特别路径，就能迫使他们前进得特别困难难到足以令他们中大多数人无功而返。