深信服可扩展检测响应系统XDR_无文件攻击检测防护系统

申请试用

深信服可扩展检测响应系统XDR

深信服可扩展检测响应系统XDR，演示组件、平台、服务的一体化。不再像友商一样，产品和服务非常割裂。通过威胁情报可实时的同步最新的热点漏洞情况，可查询漏洞基本信息和提供修复建议。MDR服务和XDR平台的整体界面对于用户增效的体验。

立即咨询

首页 > 产品中心 > 网络安全 > 深信服可扩展检测响应系统XDR

基础-界面功能演示核心价值点 icon

1、聚合分析和网络侧态感安全事件的区别。2、安全事件展示的核心价值。3、XTH订阅对于用户的感知。4、MDR服务和XDR平台的整体界面对于用户增效的体验。5、热点威胁及脆弱性的展示。

聚合分析和网络侧态感安全事件的区别 icon

安全事件展示的核心价值 icon

1、演示大幅告警削减，分别点开安全事件和安全告警，右下角可观察到事件和告警条目。

2、演示SIP对XDR的举证，可以将XDR包装成SIP的扩展模块，有助于对SIP的告警进行削减和可溯源性加强安全事件可聚合告警，对攻击链进行举证，可详细点击告警详情。

安全事件展示的核心价值 icon

攻击入口溯源
从受害者视角可回溯历史被攻击的其他事件，基于时序排序有助于发现真正的攻击入口。

攻击面管理
从攻击者视角审视业务资产的攻击面，并于发生的威胁进行关联，精准定位威胁根因入口，进行攻击暴露面管理。

有效处置
对于失陷主机、事中攻击的情况，有效溯源到根因入口，有效闭环彻底根治安全威胁，并提升处置质量和效率。

XTH订阅对于用户的感知 icon

针对于技术水平不强，经验不丰富的客户，着重介绍XTH。1、XTH报告位于【调查-安全事件-安全事件顶端】 2、红框处可清晰看到标记的XTH事件 3、有XTH人头代表专家已审核，可实现99%准确性 4、有 XTH标签+回形针的代表威胁狩猎报告 5、XTH威胁狩猎报告可被引用和整合。 6、XTH报告包括事件信息、事件简述、事件溯源的详情和处置建议，可作为一个证据链作为补充 7、云端专家可帮助用户清楚定位威胁发生原因和威胁情况，释放用户的精力。

MDR服务和XDR平台的整体界面对于用户增效的体验 icon

演示组件、平台、服务的一体化。不再像友商一样，产品和服务非常割裂。1、MDR服务对话框位于【调查-安全事件-任一事件右上角】2、人工服务时间内是实时对话框，有疑问可以及时联系到专家。3、工作时间外，通过留言的方式一个工作日内获取回复。

热点威胁及脆弱性的展示 icon

可面向客户演示热点威胁的联动策略下发（目前仅支持CWPP，后续扩展EDR）1、通过威胁情报可实时的同步最新的热点漏洞情况，可查询漏洞基本信息和提供修复建议。2、可设置评估策略。热点漏洞热点事件爆发后，立即对业务进行检测，或者手动下发评估任务3、基于扫描结果，可查询脆弱性影响资产，以方便及时修复。

什么是无文件攻击？

无文件攻击（Fileless Attack）是指在没有恶意文件写入受害者主机磁盘的情况下实施的攻击方法。

相较于传统的攻击方法，需要在受害者主机上放置可执行文件（例如.exe文件），无文件攻击直接将恶意程序在内存中执行。在2016年的调查中，CrowdStrike Services事件响应团队发现，10个成功入侵的攻击向量中有8个使用了无文件攻击技术。这无疑给传统病毒防护软件带来了极大的挑战。

无文件攻击分类

非文件上传型漏洞
一些服务类漏洞或框架漏洞的利用往往不需要恶意文件的落地，如log4j2漏洞、Shiro反序列化漏洞等。

系统程序白利用
利用Windows系统的内置工具完成攻击者的恶意行为，如powershell.exe、certutil.exe和schtasks.exe等。

潜伏型攻击
为了让恶意代码既不在受害者主机中落地，又能持久化的多次执行，可以将恶意代码注入注册表、系统进程、WMI，或设置定时任务等。

为什么传统的端点防护技术对于无文件攻击毫无办法？ icon

传统防病毒（AV）
传统杀毒软件一般是通过检测文件内容，与病毒特征库进行比对从而进行病毒识别，但无文件攻击在磁盘上并无文件落地，传统杀毒软件自然无可奈何。

基于机器学习的病毒检测（ML）
通过对大量恶意文件特征的提取和学习，训练出模型识别可能遇到的未知病毒样本，但与传统杀毒软件同理，无文件落地导致没有样本可供检测。

沙箱（Sandbox）
由于无文件攻击不使用PE文件，因此沙盒没有什么可爆破的。即便真有东西被发送到沙箱，因为无文件攻击通常会劫持合法进程，大多数沙箱也都会忽略它。

看XDR如何破局？

为了抵御无文件的攻击，XDR主要提供了强大的IOA引擎，该引擎提供了针对无文件攻击的独特的主动预防能力；寻找攻击可能正在进行的迹象，而不是关心攻击的步骤是如何执行的；例如，对于IOA来说，一个活动是从驱动器上复制的文件启动的，还是从无文件技术启动的，都无关紧要。IOA关注的是所执行的行为、它们之间的关系、它们的顺序、它们的依赖性，将它们视为揭示一系列事件背后真实意图和目的的指标。IOA不关注攻击者使用的特定工具和恶意软件，而是洞察一切可疑的行为和动作。

一、无文件攻击

在实际攻防场景中，无文件攻击常常是多种手法形成一套组合拳，例如使用log4j2漏洞执行命令，调用系统powershell下载加壳挖矿木马。整个过程没有上传任何可执行文件，传统防病毒软件对此束手无策。而网络侧设备由于告警太多，也只能淹没在误报的海洋中望“洋”兴叹。而XDR的IOA引擎能够精确识别端侧可疑的进程信息，与网络侧告警相关联，将整个过程以故事线形式展开，奈何组合拳也无处遁形。

二、加密流量攻击（Encrypted Traffic Attack） icon

为什么使用加密通信？

为了保护数据和应用服务的安全，越来越多的流量采用加密方式进行通信。然而，在一定程度上保证通信安全的同时，也带来很多问题，越来越多恶意软件通过加密流量进行网络攻击和病毒传播。加密通信是一把双刃剑，提高了信息交换和传输过程中的安全性的同时，也为流量侧的内容检测带来了挑战。

二、加密流量攻击

例如Shiro这一Java安全框架，用AES对称加密的方式加密通信过程，并且密钥用户可自定义，在这种情况下，无论是正常业务流量，还是攻击者的恶意流量，网络侧的安全设备往往只能“盲”审，对于常见的Shiro反序列化攻击通常是“误报高，检出低”的情况。

二、加密流量攻击

Shiro反序列化漏洞的利用过程，整个恶意代码被加密保存在Cookie字段传输，在不解密数据的情况下，与正常数据并无二异。网络侧设备要么策略宽松，很容易就被绕过，要么草木皆兵，对任何Cookie字段带有RememberMe的可疑流量均上报告警，形成大量误报，对此漏洞始终难以有良好的防护效果。

二、加密流量攻击

XDR的E+N检测能力，通过在端侧直接发现可疑的Java进程信息，与NDR在流量侧发现的可疑流量进行关联分析，可以轻易检出加密的Shiro反序列化攻击。并且攻击者调用的命令在进程层面也一清二楚，使得对整个攻击意图的研判简单高效。

三、Webshell利用 icon

Webshell 由于与被控制的服务器或远程主机交换的数据都是通过80/8080等web端口传递的，因此一般不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录，只会在网站的web日志中留下一些数据提交记录，没有经验的管理员是很难看出入侵痕迹的。同时伴随着对抗的加密，当前大量攻击者使用加密、免杀、混淆等对抗技术，导致现有的网络层安全产品无法对此类攻击进行有效防护；因此，在当前的攻防演练与黑产的活动中，均作为较大的攻击打点的突破口，是攻击者十分热门的技术之一。

三、Webshell利用 icon

Webshell检测的痛点

网络侧安全设备（AF、NDR）主要通过检测Webshell的上传和通信两个阶段。传统防火墙只能对于恶意文件内容做特征匹配，在多种Webshell变种中面临很大的挑战，现在的AI智能语法引擎在识别Webshell及其变种上已经可以做到较高准确率，但对于Webshell上传成功的判断仍有不足。

三、Webshell利用 icon

想要精准检出Webshell利用，必须从网络侧和端侧双管齐下，通过关联AF或NDR检出的可疑流量告警，和EDR监测到的落地文件或恶意进程告警，生成Webshell攻击成功的事件，大大提高了检出准确率，可达99%，同时减少不成功的告警，聚焦有效攻击行为。

四、加密通信挖矿

近年来由于虚拟货币区块链等技术和产品的发展以及虚拟货币价值的持续升高，让原本用于DDoS攻击或者发垃圾邮件的僵尸网络又看到了另一种新的变现途径：虚拟货币”挖矿”。所以一些被攻陷的主机常常也被植入挖矿木马，开始偷偷地消耗服务器资源来挖矿。随着攻防对抗技术的演进，挖矿程序也出现加壳、加密连接矿池等技术，使得传统杀毒软件和网关设备难以检测。

四、加密通信挖矿一个典型的加密通信挖矿利用过程 icon

漏洞利用
利用log4j2漏洞实现远程代码执行，无文件攻击传统防病毒无能为力，单一网络侧的判断精度也十分有限

执行阶段
通过https协议向白域名（Github）发起网络请求下载挖木马，过程加密且为白域名，网络侧无能为力

持久化
下载加壳/Go语言编译挖矿程序，免杀手段使得传统杀毒软件防护非常有限

非法外联
挖矿木马通过DoH（DNS over HTTPS）解析矿池域名，然后连接矿池地址。整个域名解析过程基于HTTPS，网络层安全设备检测困难。

四、加密通信挖矿 XDR的两把刷子 icon

对于漏洞攻击阶段和执行阶段，EDR在端侧对于可疑进程的监测、配合强大的IOA引擎，令“隐身”的无文件攻击也现形。同时白域名下载挖矿木马也由关联的进程树暴露无遗。