色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
电子发烧友
开通电子发烧友VIP会员 尊享10大特权
海量资料免费下载
精品直播免费看
优质内容免费畅学
课程9折专享价
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

【最新評估報告】最先進的EDR并不完美,無法檢測到常見的攻擊!

虹科網絡可視化技術 ? 2022-05-27 10:51 ? 次閱讀
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

2022年1月份的一篇研究論文《An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors》,一個希臘學者團隊測試了當今18家頂級網絡安全公司的端點檢測和響應(EDR)軟件,發現許多軟件未能檢測到高級持續威脅行為者(如國家支持的間諜組織和勒索軟件團伙)使用的一些最常見的攻擊技術。

希臘雅典比雷埃夫斯大學的兩位學者George Karantzas和Constantinos Patsakis說:"我們的結果表明,EDR仍有很大的改進空間,因為最先進的EDR未能防止和記錄這項工作中報告的大部分攻擊。

be7222ac-dd11-11ec-b80f-dac502259ad0.png1典型的攻擊場景

這項研究在去年發表的一篇題為 《針對高級持續性威脅攻擊媒介的終端檢測和響應系統的實證評估(An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors)》的論文中詳細介紹了EDR軟件,該軟件是經典殺毒程序的演變,使用靜態和動態分析方法來檢測惡意軟件,但也監測、收集和匯總來自終端的數據,試圖檢測依靠更隱蔽技術的惡意行為,如濫用合法應用程序來實施攻擊。

今天,EDR結合了從靜態文件簽名規則到高級機器學習模塊的所有內容,被認為是安全軟件方面最頂端的解決方案。然而,它們并不完美。

Karantzas和Patsakis的研究旨在找出當今一些最大公司的EDR在面對模擬常見APT殺傷鏈的各種簡單攻擊時的表現。

他們的工作包括購買一個成熟的過期域名來托管惡意軟件的有效載荷,用Let's Encrypt SSL證書來保護該域名,并托管攻擊中常用的四種類型的文件,如:

一個Windows控制面板的快捷方式文件(.cpl)。

一個合法的Microsoft Teams安裝程序(將加載一個惡意的DLL)。

一個未簽署的可移植可執行文件(EXE)。

一個HTML應用程序(HTA)文件。

一旦執行,這四個文件都會濫用合法功能來加載和運行Cobalt Strike Beacon后門。

這個攻擊鏈背后的想法是,這四個文件和Beacon后門是常規的有效載荷,通常是作為魚叉式網絡釣魚電子郵件活動的一部分發送給受害者的,如果企業部署了EDR,那就都應該檢測、阻止或至少提醒安全團隊。


be7222ac-dd11-11ec-b80f-dac502259ad0.png2已測試的EDR和結果

研究小組針對Bitdefender、Carbon Black、Check Point、Cisco、Comodo、CrowdStrike、Elastic、ESET、F-Secure、Fortinet、Kaspersky、McAfee、Microsoft、Panda Security、Sentinel One、Sophos、Symantec和Trend Micro的EDR軟件測試這些攻擊。結果見下表。

EDR

CPL

HTA

EXE

DLL

BitDefender GravityZonePlus

×

×

×

Carbon Black Response

·

×

Check Point Harmony

×

×

思科AMP

×

×

Comodo OpenEDR

×

×

CrowdStrikeFaleon

×

Elastic EDR

×

×

F-Secure Elements 終端檢測和響應

×

FortiEDR

×

×

×

×

微軟終端防御系統

×

×

Panda Adaptive Defense 360

×

Sentinel One (不含測試功能)

×

Sentinel One (含測試功能)

×

×

×

×

Sophos Intercept X with EDR

×

×

Trend micro Apex One

·

·

終端保護

ESET PROTECT Enterprise

×

×

F-Secure Elements 終端: 保護平臺

Kaspersky終端安全

×

×

×

McAfee終端保護

×

×

Symantec 終端保護

×

表:每個測試解決方案的攻擊匯總結果。

符號:√:成功的攻擊,◇:成功的攻擊,引發了中級警報,·:成功的攻擊,引發輕微警報,★: 攻擊成功,發出警報,◇:攻擊不成功,未發出警報,×:攻擊失敗,發出警報,+:在供應商提供的兩個實驗中,第一個實驗在5小時后被檢測到,第二個實驗在25分鐘后被檢測到,⊙:最初的測試由于文件簽名而被阻止,第二項測試在另一個應用程序中成功。

結果顯示,在測試的EDR中,只有兩個產品對所有的攻擊載體都有全面的覆蓋,公司的防御系統起了作用。

研究小組認為,這種情況下,EDR將面臨被攻擊者關閉或至少禁用其遙測功能,而防御者就會看不到受感染的系統上可能會發生的情況,這就允許威脅者準備對本地網絡的進一步攻擊。

但并不是所有的EDR都在這項實驗中進行了測試。

研究人員去年在Huntress實驗室高級安全人員John Hammond的YouTube上發表的視頻中說,并不是所有的EDR供應商都同意開放他們的產品進行測試,甚至他們測試的18種產品中,有一些是在SOC和CERT團隊等中介機構的幫助下完成的。而他們的研究一經上線,一些供應商就主動聯系并詢問有關情況以及他們可以改進其產品的方法。


聯系我們索要詳細報告。《針對高級持續性威脅攻擊媒介的終端檢測和響應系統的實證評估(An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors)》,詳細了解實驗方法,步驟及結論。

beb1e9f0-dd11-11ec-b80f-dac502259ad0.gif

be7222ac-dd11-11ec-b80f-dac502259ad0.png3有效的加強防御的方案-移動目標防御技術

現有的安全防御理念,想的是怎么找到更多的漏洞,找到更多的特征,提高檢測的效率。特征庫可以從1G變到10G,但是對網絡安全的理念是沒有變化的。今天的安全模型優先考慮監控,檢測,預防和修復,安全團隊以靜態的基礎架構為基礎,防御千變萬化的攻擊方法,嚴重不對稱。攻擊者有足夠的時間研究靜態基礎設施和靜態的防御技術。所以隨著時間的增加,攻擊者攻擊一個目標,時間越長,攻擊難度越小,獲取更多架構信息,攻擊經驗不斷累積。

移動目標防御技術是一種顛覆性的防御理念,不是優化目前的防御方式。通過不斷變化攻擊面,不是讓終端產品沒有后門,沒有漏洞,而是把攻擊變成概率問題。讓攻擊者隨著攻擊時間越長,難度越大,大大增加了攻擊者攻擊的成本,扭轉了攻防不對稱的局面。

虹科提供的是基于移動目標防御(Moving Target Defense)技術的終端解決方案,可以阻止繞過NGAV、EDR和EPP的勒索軟件、零日,無文件攻擊,內存攻擊等高級攻擊。我們的防御原理是:當一個應用程序加載到內存空間時,會對進程結構進行變形,使內存對攻擊者來說始終是不可預測的。應用程序照常加載運行,原始框架結構會留作陷阱;攻擊目標是原始框架結構,但是由于無法找到預期的和需要的資源而失敗。攻擊就被立即防御、捕獲和記錄,并帶有完整的取證細節。

be7222ac-dd11-11ec-b80f-dac502259ad0.png4方案推薦

bf68389a-dd11-11ec-b80f-dac502259ad0.png

Morhpisec(摩菲斯)——在網絡安全的前沿

bf864a10-dd11-11ec-b80f-dac502259ad0.png

Morphisec(摩菲斯)作為移動目標防御的領導者,已經證明了這項技術的威力。他們已經在5000多家企業部署了MTD驅動的漏洞預防解決方案,每天保護800多萬個端點和服務器免受許多最先進的攻擊。事實上,Morphisec(摩菲斯)目前每天阻止15,000至30,000次勒索軟件、惡意軟件和無文件攻擊,這些攻擊是NGAV、EDR解決方案和端點保護平臺(EPP)未能檢測和/或阻止的。(例如,Morphisec客戶的成功案例,Gartner同行洞察力評論和PeerSpot評論)在其他NGAV和EDR解決方案無法阻止的情況下,在第零日就被阻止的此類攻擊的例子包括但不限于:

勒索軟件(例如,Conti、Darkside、Lockbit)

后門程序(例如,Cobalt Strike、其他內存信標)

供應鏈(例如,CCleaner、華碩、Kaseya payloads、iTunes)

惡意軟件下載程序(例如,Emotet、QBot、Qakbot、Trickbot、IceDid)

Morphisec(摩菲斯)為關鍵應用程序windows和linux本地和云服務器提供解決方案,2MB大小快速部署。

免費的Guard Lite解決方案,將微軟的Defener AV變成一個企業級的解決方案。讓企業可以從單一地點控制所有終端。請聯系我們免費獲取!

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 網絡安全
    +關注

    關注

    11

    文章

    3335

    瀏覽量

    61325
  • EDR
    EDR
    +關注

    關注

    0

    文章

    24

    瀏覽量

    2175
收藏 0人收藏
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

    評論

    相關推薦
    熱點推薦

    STM8S003為什么無法檢測到引腳電平?

    引腳電平變化(也就是讀取數據時),始終無法獲取相應的電平信息,通過IAR編譯器的DEBUG功能時。發現芯片在檢測無法檢測到電平的上升沿,以至于程序超時。系統采用us級的計數方式,示波器
    發表于 06-09 07:51

    無論怎么安裝cy4532ccg3paevk_RevSA PSoc4.2 都無法檢測到CY CCG3 3171的 demo code,為什么?

    您好,我在使用貴公司的 CY4532 EVK開發板,但是我無論怎么安裝cy4532ccg3paevk_RevSA PSoc4.2 都無法檢測到 CY CCG3 3171的 demo code。
    發表于 06-04 08:18

    將 TypeC 連接到 DisplayPort 轉換電纜時,可能無法檢測到 CC 線路,也可能無法顯示屏幕,為什么?

    CYPD5225-96BZXI 設計具有 2 個 Type-C 端口的設備。 將 TypeC 連接到 DisplayPort 轉換電纜時,可能無法檢測到 CC 線路,也可能無法顯示屏幕。 ■詳細信息
    發表于 05-28 08:11

    STM8S003為什么無法檢測到引腳電平?

    引腳電平變化(也就是讀取數據時),始終無法獲取相應的電平信息,通過IAR編譯器的DEBUG功能時。發現芯片在檢測無法檢測到電平的上升沿,以至于程序超時。系統采用us級的計數方式,示波器
    發表于 05-28 06:30

    Windows11上未檢測到FX3設備是什么原因導致的?

    大家好, FX3 設備在 AMD win11 系統上無法檢測到,在 intel win11 系統上可以檢測到。 在 AMD 系統上檢測不到的原因可能是什么?
    發表于 05-15 07:49

    STM8S003無法檢測到引腳電平怎么解決?

    引腳電平變化(也就是讀取數據時),始終無法獲取相應的電平信息,通過IAR編譯器的DEBUG功能時。發現芯片在檢測無法檢測到電平的上升沿,以至于程序超時。系統采用us級的計數方式,示波器
    發表于 04-27 08:09

    STM8S003為什么無法檢測到引腳電平?

    引腳電平變化(也就是讀取數據時),始終無法獲取相應的電平信息,通過IAR編譯器的DEBUG功能時。發現芯片在檢測無法檢測到電平的上升沿,以至于程序超時。系統采用us級的計數方式,示波器
    發表于 04-25 06:59

    為什么無法檢測到LPCxpresso54628 EVK板的SWD端口?

    : 在此之后,Flash Magic 或MCUXPRESSO-IDE . 我在 中收到以下錯誤MCUXPRESSO-IDE : 錯誤: 檢測到 0 個可用的 SWD 設備。 我可以通過什么方式從這個階段恢復 MCU ?
    發表于 04-03 07:08

    使用keil編譯下載usb_cdc_vcom freertos例程sdk2.15版本無法正常檢測到串口,怎么解決?

    使用keil編譯下載usb_cdc_vcom freertos例程sdk2.15版本無法正常檢測到串口但是sdk2.4.1的例程可以...怎么檢查問題
    發表于 03-27 08:00

    OpenVINO?檢測到GPU,但網絡無法加載到GPU插件,為什么?

    OpenVINO?安裝在舊的 Windows 10 版本 Windows? 10 (RS1) 上。 已安裝 GPU 驅動程序版本 25.20.100.6373,檢測到 GPU,但網絡無法加載
    發表于 03-05 06:01

    ADS1298為什么無法檢測到腦電信號?

    目前可以檢測到心電和眼電,無法檢測到腦電信號,已知電極沒有問題。 自己做的PCB板,ADS1298配置為HR模式,1KSPS,gain=6,采用2.4V參考電壓,關閉右腿驅動,3V單電源供電。將
    發表于 01-03 07:18

    網絡攻擊中常見的掩蓋真實IP的攻擊方式

    在各類網絡攻擊中,掩蓋真實IP進行攻擊常見的手段,因為攻擊者會通過這樣的手段來逃脫追蹤和法律監管。我們需要對這類攻擊做出判斷,進而做出有效
    的頭像 發表于 12-12 10:24 ?468次閱讀

    使用LMX2820時,電荷泵的輸出無法檢測到鎖定是怎么回事?

    您好,在使用LMX2820時,電荷泵的輸出會出現如圖所示的情況,無法檢測到鎖定,輸出的頻率也與我目標的有些差距,請問是什么問題呢,感謝您的回答。另外我的環路濾波器與EVM板上一致,參考時鐘信號為差分,Vpp=400mV。
    發表于 11-08 11:35

    求助,兩塊VCA810級聯輸出波形為什么如此不完美

    兩塊VCA810級聯,雙電源+-5V供電,輸入信號為0--10M的20mv正弦波,放大倍數為40db,輸出波形為什么如此不完美????請求專家指導 這是我的電路原理圖: 這是我焊接的電路
    發表于 09-19 07:08

    庫克稱iPhone16是最先進的iPhone

    最新款iPhone、Watch和AirPods,最大的亮點估計在人工智能。所以庫克稱iPhone16是最先進的iPhone。 庫克表示。iPhone 16 系列是我們打造的最先進的 iPhone。得益于
    的頭像 發表于 09-10 11:47 ?1165次閱讀
    主站蜘蛛池模板: 乱码AV午夜噜噜噜噜 | 99在线在线视频观看 | 动漫AV纯肉无码AV电影网 | 亚洲精品免播放器在线观看 | 亚洲精品久久一区二区三区四区 | 国产精品自在在线午夜精品 | 777米奇色狠狠俺去啦 | 久久99综合国产精品亚洲首页 | 午夜日韩久久影院 | 香蕉尹人综合精品 | 国产精品国产三级国产专区53 | 俄罗斯一级毛片aaaa | 高傲教师麻麻被同学调教123 | 添加一点爱与你电视剧免费观看 | yellow日本动漫观看免费 | 亚洲成a人不卡在线观看 | 毛片基地看看成人免费 | 国产乱辈通伦影片在线播放亚洲 | 东北足疗店妓女在线观看 | 穿着丝袜被男生强行啪啪 | 伊人伊人影院 | 拉菲娱乐主管高工资q39709 | 乡村教师电影完整版在线观看 | 花蝴蝶高清在线视频免费观看 | 最近中文字幕2018MV高清在线 | 清冷受被CAO的合不拢 | 国产一级毛片在线 | 亚洲国产欧美在线人成aaaa20 | 4k岛国精品午夜高清在线观看 | 色噜噜视频影院 | 91黄色影院 | 喜马拉雅听书免费版 | 欧美精品成人一区二区在线观看 | 国产又色又爽又刺激在线播放 | 欧亚一卡二卡日本一卡二卡 | 日韩大胆视频 | 小小水蜜桃3视频在线观看 小向美奈子厨房magnet | 儿子你得太大了慢点插 | 国产精品久免费的黄网站 | 精品欧美一区二区三区久久久 | 91久久精品一区二区三区 |

    電子發燒友

    中國電子工程師最喜歡的網站

    • 2931785位工程師會員交流學習
    • 獲取您個性化的科技前沿技術信息
    • 參加活動獲取豐厚的禮品