1. CrowdStrike EDR 解决方案中最重要的是什么？

• 找到能够提供最高级别的保护同时需要最少的努力和投资的 EDR 安全解决方案非常重要——在不耗尽资源的情况下为您的安全团队增加价值。以下是您应该寻找的 EDR 的六个关键方面：

  • 可见度：跨所有终端的实时可见性，从而可以检测发现攻击者活动，进而实施阻断。
  • 威胁数据库：EDR 需要从终端收集大量遥测数据并丰富上下文，因此可以使用各种分析技术挖掘攻击迹象。
  • 行为保护：仅依赖基于签名或IOC会导致检测能力被轻易绕过，从而导致数据泄露；EDR需要能通过行为来搜索攻击指标 (IOAs，crowdstrike发明的)，以便在发生危害之前收到可疑活动的告警。

• TODO > 什么是攻击指标 Indicators of attack (IOA)？ 攻击指标 (IOA)侧重于检测攻击者试图完成的目标的意图，而不管攻击中使用的恶意软件或漏洞。就像杀毒软件的签名一样，基于 IOC 的检测方法无法检测到0day攻击和免杀恶意软件。

  比如鱼叉攻击，必须欺骗目标点击链接或打开恶意文件/文档，一旦机器沦陷，攻击者将默默地执行另一个进程，隐藏在内存或磁盘中，并在系统重新启动后维持权限；然后与C2联系，等待进一步的指示。

  IOA 关注这些具体步骤的执行、对手的意图以及他试图实现的结果。IOA并不关注他用来实现目标的特定工具，而实监控关键行动，通过有状态执行检查引擎(Stateful Execution Inspection Engine)来收集和使用指标(indicators )，我们可以确定攻击者如何成功访问网络并推断其意图。

  • 洞察力和智慧：集成威胁情报的EDR解决方案可以提供上下文，包括攻击您的特定对手的详细信息或有关攻击的其他信息。
  • 快速响应：EDR能够对事件做出快速准确的响应，可以在攻击造成影响之前阻止攻击，并快速恢复业务。
  • 基于云：基于云的EDR解决方案可以降低对终端的影响，同时确保可以准确、实时地完成搜索、分析和调查等功能。

2. CrowdStrike EDR 是如何工作的？

• EDR解决方案的工作原理是提供对终端上发生事情的持续和全面的实时检测/监控。然后将行为分析和可操作的情报应用于终端数据，以阻止攻击告警演变为安全事件。功能包括：
  • 1. 自动发现未知攻击者
    • Falcon Insight 将所有终端的遥测数据与IOA配对，并使用其行为来分析数十亿事件，自动检测可疑行为的痕迹；如果一系列事件和告警与已知 IOA匹配，agent将把该活动标记为恶意并自动发送告警；用户还可以编写自己的搜索条件，Falcon Insight的云架构可在5 秒或更短的时间内返回查询结果。
  • 2. 与威胁情报集成
    • 可以更快地检测被识别为恶意的TTPs，并提供了上下文信息，其中包括相关的归因，提供有关攻击者的详细信息以及有关攻击的任何其他信息。
  • 3. 主动防御，托管式威胁狩猎
    • 作为 Falcon 平台的一部分，Falcon OverWatch™ 托管威胁追踪服务增加了一个额外的保护能力，安全专家会帮助客户采取行动，以确保不会遗漏威胁，并最终防止发生大规模泄露。
  • 4. 提供实时/历史的可见性
    • Falcon Insight就像终端上的 DVR，记录相关活动以捕捉尝试绕过检测的安全事件；Falcon agent跟踪了数百个不同的安全相关事件，例如进程创建、驱动程序加载、注册表修改、磁盘访问、内存访问或网络连接等，客户可以从安全角度全面了解其终端上发生的一切。
    • 这为安全团队提供了他们需要的有用信息，包括：
      • 内外与外部的网络连接
      • 直接/远程登录的所有用户帐户
      • ASP 密钥的变更、可执行文件和管理工具的使用
      • 进程执行
      • 详细的进程级别的网络活动，包括 DNS 请求、连接和开放端口
      • 存档文件创建，包括 RAR 和 ZIPS
      • USB等外部存储介质
  • 5. 加速调查
    • 能够加快调查和最终修复的速度，因为从终端收集的信息通过Falcon 平台存储在 CrowdStrike 云中，使用了一个图形数据库来跟踪每个终端事件之间的所有关系和联系，该数据库可以快速、大规模地提供历史和实时数据的详细信息和上下文，这使安全团队能够有效地跟踪即使是最复杂的攻击，并及时发现事件，并对它们进行分类、验证和确定优先级，从而更快、更精确地进行补救。
  • 6. 实现快速的修复
    • Falcon Insight 可以隔离终端，它允许组织通过将可能受到威胁的主机与所有网络活动隔离开来采取迅速和即时的行动。当终端受被隔离，它仍然可以从 CrowdStrike 云发送和接收信息，但即使与云的连接被切断，它仍将保持被隔离，并在重新启动期间保持这种隔离状态。
    • 在应对新出现的威胁时，时间至关重要，响应者需要实时、深入的可见性，以便他们能够快速果断地进行补救。
    • 信息收集器允许安全团队通过执行以下任务，以了解威胁的风险和范围：
      • 浏览文件系统并提取文件
      • 列出正在运行的进程
      • 提取 Windows 事件日志
      • 查询 Windows 注册表
      • 列出当前的网络连接和配置
      • 提取进程内存
      • 计算文件哈希
      • 收集环境变量
      • 使用 PowerShell 或其他工具收集其他所需信息
    • 补救措施使团队能够迅速而果断地采取行动来遏制或补救威胁，包括：
      • 删除文件
      • 结束一个进程
      • 删除或修改 Windows 注册表项或值
      • 上传文件
      • 运行脚本或可执行文件
      • 加密文件
      • 重启/关机
• 借助 CrowdStrike 的云原生架构、轻量级agent和统一控制台，实时响应功能可以交付到世界上任何地方的任何系统，而对成本或性能的影响几乎为零。

3. 参考资料

• https://www.crowdstrike.com/cybersecurity-101/indicators-of-compromise/ioa-vs-ioc/
• https://www.crowdstrike.com/cybersecurity-101/endpoint-security/endpoint-detection-and-response-edr/