• 目录
  • 引言:防御的演变
  • 新威胁趋势:AI
  • 通过过去的利用案例告知防御
  • 为什么AI驱动的EDR不可妥协
  • 关键绩效指标(KPI):卓越的基准
  • 案例分析:FOG、SingHealth 和 LOTL
  • 可见性没有速度是无用的

引言:防御的演变

杀毒软件诞生于威胁以明显的基于文件的恶意软件形式出现,并可通过已知签名轻松拦截的时代。当攻击者遵循可预测规则并重复使用相同模式时,它运行良好。

但随着对手变得更加复杂,通过内存隐藏、滥用合法工具及通过可信供应链潜入,那些静态防御开始崩溃。无文件攻击、借助本地工具的技巧以及快速传播的勒索软件轻松击败了传统杀毒软件,运行在它无法监视的灰色地带。

这就是端点检测与响应(EDR)介入的地方。EDR从被动的守门员演变为主动的侦探和保镖。

新威胁趋势:AI

  • IBM的 最新威胁情报显示,发送信息窃取工具的网络钓鱼活动每周增长84%,将网络钓鱼变成基于身份攻击的隐秘向量,尽管传统网络钓鱼成功率下降。这些信息窃取工具大规模收集凭证,使后续账户接管和横向移动成本更低且更难发现。
  • 同时,全球数据泄露的平均成本约为 440万美元,检测和遏制的改进推动成本逐年小幅下降。

最简单的入口点仍是通过电子邮件。根据 Hornetsecurity统计,2025年恶意软件电子邮件攻击增长了131%,网络钓鱼尝试增长约21%,电子邮件诈骗增长约35%。超过四分之三的CISO现在认为AI生成的网络钓鱼是严重的新兴威胁,许多组织已投入AI驱动的防护。构建真正有弹性的基础设施需要将过往攻击中学到的关键教训付诸实践。

通过过去的利用案例告知防御

构建真正有弹性的基础设施需要将过往攻击中学到的关键教训付诸实践。让我们以2013年Target攻击事件为例。成熟的EDR如何帮助避免此次攻击?

  • 第一步:网络攻击者登录供应商门户

    网络攻击者窃取了Target暖通空调供应商的用户名和密码,并登录了权限过度的Target供应商门户,能访问敏感内部数据。攻击者在异常时间使用未知IP地址或地理位置登录供应商门户,然后直接访问POS管理服务器以获取额外权限。如果Target部署了先进的EDR技术,可以设置异常活动报警——要求额外验证或中止访问会话。

  • 第二步:缓慢穿行网络

    获得供应商门户访问权后,攻击者开始穿越供应商网络,朝Target支付网络扩散,映射并寻找最佳路径访问Target POS管理服务器。成熟的EDR系统可监控端点遥测,显示供应商会话使用管理工具及其他扫描工具,扫描子网,映射与暖通空调供应商相关的文件共享和服务器。这种可见性能让IT安全分析师在供应商成功入侵Target支付数据之前隔离其行为。

  • 第三步:恶意软件入侵POS的瞬间

    经过测试后,他们释放了类似BlackPOS的内存抓取恶意软件,该软件秘密监视POS系统内存以窃取支付卡信息。恶意软件通过Target提供的软件分发工具,感染了数十个POS系统。任何POS端的EDR设备若产生异常高优先级告警,可能已识别这种新出现的低频二进制文件被投放至高限制的收银站点。该文件安装了挂钩和与金融应用进程的持久连接,有了EDR可以自动阻断和封锁进行分析。

  • 第四步:内存抓取暴露

    在购物季高峰期,一个寒冷的十二月夜晚,恶意软件秘密监控支付应用内存,伴随每次刷卡从RAM外泄卡轨信息。基于行为的EDR可识别未经信任的进程重复访问其他进程内存并解析结构化卡信息。这在合法POS终端极为罕见,会终止该进程,标记其哈希为恶意软件,并在企业范围内搜索相似行为。

  • 第五步:构建内部被盗卡仓库

    攻击者没有直接在线泄露信用卡数据,而是在内部基础设施上存储,聚集数百万条记录后才进行外泄。EDR结合基本分析可能串联起全部线索:POS机器神秘向非支付内部服务器传输高度敏感数据块,服务器大量使用压缩和加密工具,并做好外发数据传输准备。服务器极易成为自动隔离和权限锁定目标。

  • 第六步:需要更响亮声音的警报

    调查显示安全工具确实产生了有关恶意软件和外泄路径的警报,但未能及时采取措施。良好的EDR程序不仅检测,还执行。诸如POS内存抓取、高量数据暂存或关键服务器异常外发应触发自动化手册,中断网络访问,回滚变更,并强制实时人工审查——将4000万张卡片泄露的灾难缩小为可控事件窗口。Target攻击教训是,可见性若缺乏自动响应速度,将毫无用处,传统工具已无法弥补这一差距。

Target攻击证明了没有快速响应的可见性是无效的。

为什么AI驱动的EDR不可妥协

为防止历史重演,AI驱动的EDR已成必需。利用机器学习和行为分析,这些系统实时检测、关联和消除威胁,执行人类团队常漏掉的瞬时决策。

业界已转向这一新标准:

  • 至少89%的组织以某种方式应用AI学习识别威胁。
  • 85%的组织用AI检测威胁,约70%-71%用AI响应威胁并恢复事件。

这些数字证明行业正在转变,但无法告诉你效果如何。要区分仅仅“摆设”工具与真正保护你的工具,需要查看评分板。

KPI表:防御卓越的基准

现代CISO依赖反映安全结果和运营效率的KPI。

KPI 基准 为什么采用此基准? 行业参考
平均检测时间(MTTD) < 一分钟 攻击者几秒内移动。 CrowdStrike 1-10-60
平均调查时间(MTTI) < 10分钟 快速初筛防止蔓延。 SANS
平均修复时间(MTTR) < 60分钟 防止域级权限被攻破。 NIST / MITRE
误报率 < 5% 减轻分析师疲劳。 Verizon DBIR
端点覆盖率 > 99% 消除盲点。 CIS Controls

如今AI驱动的EDR不仅是检测引擎,更是涵盖信号收集到恢复与教训总结全过程的高度一体化栈。

与其谈论虚构事件,不如剖析过往攻击。

多起有充分文档支持的事件展示,若早期或更强EDR得力,虽未必能完全阻止,却能减轻影响严重性。

 

  • 由非托管端点传播的勒索软件

    针对FOG勒索软件的案例研究表明,内部系统存在未受EDR保护的横向移动。分析指出端点可视盲点和代理部署不一致,为攻击者提供了目标和扩展机会。若所有服务器和工作站强制部署EDR,整个系统将纳入保护之中。

  • 长期潜伏与稀疏监控

    SingHealth攻击分析指出,攻击者在网络潜伏整整一年后,外泄数百万患者数据。分析发现攻击阶段包括凭证访问、横向移动和数据暂存,若改进端点日志和行为分析可有效阻断。成熟的端点检测与响应解决方案可在数据外泄前就警示攻击者围绕特权凭证和数据库访问的可疑行为。

  • 借助本地工具的攻击

    借助本地工具攻击中84%的事件被归类为高危。相关国家支持者持续滥用PowerShell等合法工具,无需额外恶意软件。 研究人员写道,“传统杀毒产品在这里无效,因为攻击利用了受信任的二进制文件,而非明显的恶意软件。”聚焦行为分析、父子进程树识别及脚本块日志的EDR解决方案天生优化防御LOTL攻击。

可见性没有速度是无用的

Target攻击教训告诉我们,识别威胁无意义,若不能及时阻止。

当今攻击者借助AI加快攻击速度,应对时间窗口已从数天缩短至数分钟。

  • 传统工具让你对84%的借助本地工具攻击视而不见。
  • 部分覆盖率让FOG类勒索软件有机可乘。
  • 响应迟缓将小型事件演变为头条级灾难。

现在问题不再是你是否会被攻击,而是你多快能响应。无需待下一个案例证明EDR价值,立即保护你的基础设施。