终端检测与响应

2015的时候，企业安全还没有受到重视，那时候还没有受到网络武器永恒自然的洗礼，国内的内网一直都自认为很安全。直到NSA的武器泄漏，出现了勒索病毒，大肆利用无差别攻击，把国内的内        网安全蹂躏了好几遍。讲到这里顺便提一句就是，只要你内网有乱七八糟的扫描爆破，病毒IOC的域名请求，整天都报这些安全事件，那我觉得安全建设成熟度才刚起步。

      内网终端众多难管理，管理缺乏抓手，病毒攻击，终端高级威胁等不可视。缺乏长期有效的管制手段，漏洞补丁未及时修复。内网资产管理，漏洞管理，很难做好，长期高效运营挑战很大，这就需要终端安全管理产品来解决这些问题了。

      企业终端安全管控产品，在信息化网络化高速发展的风口上，国家要把网络大国变成网络强国的风口上吹起来了，日趋发展壮大，逐渐成熟。

国内企业终端安全产品要做到成为国际一流产品其实不容易。

接下来围绕的终端安全闭环生命周期，从预防、防御、检测、响应四个方面来讲成熟的终端安全产品应该要具备的能力

    最近几年国内，面临第一大威胁，就是勒索病毒，一旦中毒，数据几乎无法还原，业务受影响程度非常大，要么就被勒索高额虚拟货币。勒索出现的安全事件，在国内已经是层出不穷，屡见不鲜。

    现在的EDR对杀毒预防还是比较重视，基于AI引擎查杀，多引擎查杀，静态特征码查杀，动态行为查杀，云端查杀。这方面做好的可能已经可以抵挡99%的威胁，但是剩下的1%被绕过的风险就是黑客必夺之地。

预防方面还有资产全面性、脆弱性的排查，等保基线核查，漏洞修复，漏洞利用防护，网络攻击防护，无文件攻击防护，沙盒分析防护，高级威胁防护，勒索病毒免疫，勒索病毒缓解等等。

防御方面有，异常行为检测防护，如进程，网络，注册表，启动项，用户行为等。

     web威胁检测防护，邮件钓鱼检测防护，漏洞扫描检测防护，移动设备控制防护，应用程序控制防护，风险分析和管理，全盘加密防护，入侵检测防护等等。

     检测方面有根因分析事件关联， IOC扫描，攻击可视化，ATTACK标签，原始事件搜索等等功能。

     响应方面有隔离主机 ，阻断远程shell连接 ，结束进程，隔离文件，添加到黑白名单 ，添加到沙盒分析，上传到vt分析，Google搜索，策略加白等等

    其他功能，比如报表和SOC集成

       为什么说终端安全产品要做到国际一流挑战非常大呢，因为终端是防护中的最后一道防线，攻击手法层出不穷。拿病毒查杀来说，目前没有哪个的杀毒厂商能做到百分百精准查杀。一旦杀毒杀不出来，网络连接 IOC检测不出来，内网受到的威胁风险非常大。

      以攻击者视角讲个故事，一旦边界设备存在漏洞或者个人PC被社工钓鱼攻击。攻击者的木马直接落到受害者机器上面(有可能是无文件攻击或白加黑攻击)，执行建立加密的c2连接，通过信息收集，网络扫描，服务爆破，提权，主机密码抓取，留后门，横向移动扩大战果，企业机密数据窃取，隐秘渗出，至此，已经完成了一次来无影去无踪的高级威胁攻击，攻击成本大概是中级黑客1人*30天。