Cynet 360：下一代EDR

虽然EDR在对抗当今大部分高级威胁方面的效率没有争议，但现在有了一种新的“下一代EDR”解决方案（请在此处了解更多信息），它不仅具有所有EDR功能，除此之外，还要防止EDR未涵盖的突出攻击向量，例如涉及用户和网络的攻击向量。

Cynet（下一代EDR解决方案）的联合创始人埃亚尔·格鲁纳（Eyal Gruner）解释说：“许多人在不知不觉中混合了两种不同的东西——端点保护和漏洞保护”。

“确实，许多攻击都是从端点开始的，涉及恶意文件和进程，这使EDR成为端点的完美解决方案。然而，实际的攻击面要比这广得多，归根结底，你想要保护的不是端点–；而是你的组织。”

格鲁纳曾是白帽黑客（从15岁开始），他还创立了以色列最大的网络安全咨询公司BugSec。如今，他是世界公认的攻击者工具、技术和实践方面的专家。

“这样想：根据定义，每个攻击者的活动都会产生某种异常。它只是有意义的，因为我们认为是“正常行为”不包括妥协的资源和窃取数据。这些异常是使安全产品和第8211类的锚；或者威胁分析者和第8211类；识别T。阻止一些不好的事情发生并阻止它。"

格鲁纳说，这些异常现象可能表现在三个核心位置–；进程执行、网络流量或用户活动。例如，勒索软件会生成进程执行异常，因为有一个进程试图与大量文件交互。

另一方面，许多类型的横向移动包括异常高的SMB流量形式的网络流量异常。以类似的方式，当攻击者使用泄露的用户帐户凭据登录到关键服务器时，唯一的异常是用户行为。在这两种情况下，仅通过监控过程是不可能揭示攻击的。

“对于可以通过流程异常识别的攻击，EDR是一个很好的工具，”格鲁纳说。“它位于端点上，监控进程行为，因此您可以很好地抵御这组威胁。但其他所有威胁呢？有许多主流载体在不触发任何进程异常的情况下对网络流量和用户行为进行操作，EDR实际上对这些威胁视而不见。”

下一代EDR检测跨端点、网络和用户的恶意活动

为了更好地理解这个问题，让我们站在攻击者的立场。他已经成功地破坏了一个端点，现在正在计算如何在环境中前进，以访问并过滤敏感数据。完成这项任务需要几个步骤。让我们以一个为例–；证件被盗。

高权限凭据对于访问环境中的资源至关重要。攻击者可能会试图从受损端点的内存中转储它们。EDR可能会捕捉到这种情况，因为它会导致流程异常。

然而，密码散列也可以通过拦截内部网络流量（利用ARP中毒或DNS响应器等技术）来获取，这些流量只能通过监测网络流量异常来识别–；EDR会完全忽略这一点。

格鲁纳说：“根据我的经验，擅长自己工作的攻击者通常能很快了解采取了哪些防御措施，并据此采取行动。”。“如果有一个好的EDR，他们将把技术转移到网络和用户领域，在EDR的雷达下自由运作。”

“因此，如果您希望安全堆栈中的组件只保护您免受基于进程的攻击，如恶意软件、漏洞攻击等，EDR可以提供覆盖范围。如果您寻求的是防止漏洞，您需要考虑更广泛的问题–；这就是我们创建Cynet 360的原因。”

Cynet 360持续监控进程、网络流量和用户活动，全面覆盖当今高级攻击中使用的攻击向量。这基本上意味着EDR的所有功能，与用户行为分析和网络分析进行了扩展和集成，并辅之以强大的欺骗层，使运营商能够植入诱饵数据文件、密码、网络共享等，并欺骗攻击者引诱其出现。

但Cynet提供的不仅仅是增量价值。“这不仅仅是基于流程的威胁加上基于网络的威胁加上基于用户的威胁，格鲁纳说。”攻击者越先进，就越善于隐藏自己的存在和活动。因此，如果只关注进程、流量或用户行为，就会发现许多攻击是不可见的。"

“只有将这些信号结合在一起，形成一个上下文，你才能识别出有恶意的东西在发生。Cynet 360自动创建这个上下文，以揭示在其他方面看不见的多个威胁。”

下一代EDR可全面了解所有威胁

格鲁纳总结道，“没有百分之百的保护，但你必须在所有主要道路上都有警卫。攻击者能绕过他们吗？我想如果他们足够熟练、坚定和足智多谋，答案是肯定的。但如果你监控所有主要的异常路径，这将迫使他们非常努力地工作–；比大多数人想要的更多，”格鲁纳补充道。

“EDR是一件了不起的事情，这就是为什么Cynet 360包含了它的所有功能–；以及更多功能。仅EDR还不足以提供健全的漏洞保护，这就是为什么我们为Cynet 360提供了所有其他功能。”