EESv7的动态威胁防御介绍

B100D1E55

ESET今年企业新品主要有四大组成部分，分别是Enterprise Inspector（EDR方案），Threat Intelligence（信息安全服务），Security Management Center（新版企业中控台），以及Enterprise Security（端点防御）

动态威胁防御（Dynamic Threat Defense, EDTD）则是ESET在端点防御等产品中加入的一道新防线，可部署在邮件服务器杀毒、文件服务器杀毒、以及客户端点防护产品中，官方介绍如下：

ESET Dynamic Threat Defense (EDTD) 可通过利用基于 ESET 云的先进技术来检测从未发现的全新威胁，从而额外提供一层安全防护。它是付费服务，虽然它类似于 ESET LiveGrid®，但 ESET Dynamic Threat Defense的优势是可针对因新威胁造成的可能后果提供防护。如果 ESET Dynamic Threat Defense 检测到可疑代码或行为，它会通过将其暂时置于 ESET Dynamic Threat Defense 隔离区来阻止进一步的威胁活动。可疑样本（文件或电子邮件）会自动提交给 ESET 云，其中 ESET Dynamic Threat Defense 服务器将使用其尖端恶意软件检测引擎分析样本。在文件或电子邮件位于 ESET Dynamic Threat Defense 隔离区期间，ESET File Security 会等待来自 ESET Dynamic Threat Defense 服务器的结果。在分析完成后，您的 ESET File Security 会收到一份报告，其中含有观察样本行为的摘要。如果样本被证明是无害的，则会将它从 ESET Dynamic Threat Defense 隔离区释放，否则会继续隔离。如果这是一个误报，并且您确定该文件或电子邮件并不是威胁，则在 ESET File Security 接收到 ESET Dynamic Threat Defense 服务器结果之前，可以手动将它从 ESET Dynamic Threat Defense 隔离区释放。

1. EDTD架构

EDTD会监视未知文件并自动上传至ESET云服务器进行沙箱鉴定，其网络拓扑结构如下：



其中沙箱鉴定位于ESET总部的云服务器（HQ cloud），而鉴定结果则会通过Azure云的EBA服务进行同步（ESET Business Account，是早先ESET License Administrator的升级版），随后这个鉴定结果会以2分钟同步一次的频率快速分发到企业所有参与EDTD的端点，确保第一时间抵御未知威胁。而中控端ESMC也会定期查询ESET云服务器，同步文件的提交列表供管理员进行进一步审查

2. 工作模式
在不同产品中EDTD工作模式略有不同。对于邮件防护方案而言由于时效性要求没那么强，在邮件服务器上的工作图示如下：

当邮件服务器接收到未知附件的时候，EDTD会将其上传到ESET云端分析。在分析期间右键会被截获并保留在暂存区，直到鉴定结果返回后若无害则放行，有害则进行隔离


而对于普通客户端而言这个过程是异步的，也就是在鉴定结果出来前用户就可以运行未知程序。但如果鉴定发现文件为恶意，EES客户端则会及时查杀并隔离对应威胁

对于鉴定时间，ESET给出的数据是90%以上的未知样本能在5分钟内处理。事实上大部分样本处理时间比5分钟短，一般1~2分钟就会有结果

3. 文件上传和隐私
和趋势的Deep Discovery Analyzer等企业本地硬件沙盘方案相比，云沙盘的一大痛点在于隐私问题。对此EDTD提供了比较详尽的控制选项，除了可以控制不同类别文件是否上传外还提供了文件夹上传排除的选项。此外还可以选择云端鉴定完立即删除样本或者数天后删除样本确保信息保密



4. 客户端设置
客户端可以选择处理威胁的方式和阈值，其中阈值分为三档：可疑、高度可疑、恶意。当服务器返回鉴定结果后EES就可以选择对恶意程序及相关文件进行清理和隔离：


5. 鉴定引擎
EDTD云端鉴定引擎集成了多套系统，除了传统的行为沙箱外还包含了多个仿真和分拣系统，最终会进行综合打分，基本上和之前介绍的Augur系统架构类似：


6. 鉴定结果展示

EDTD的另一个亮点在于鉴定结果的透明度：根据云端鉴定引擎的打分结果，会将详细的风险级别和文件行为生成报告展示：

鉴定结果分为无害、可疑、高度可疑、有害


风险行为描述，上图为检测到键盘/鼠标钩子行为，还列出对应行为可能被用来怎么干坏事，白文件在什么情况下出现这种行为……



神经网络检测，其实不仅有这种报法，还有其他类别的……
报告样例：


7. 使用体验

从这段时间使用的情况来看EDTD非常强大，就算排除掉可疑级别的鉴定其检出率也比客户端高不少，基本上横扫前一段毒区PACKAGE系列和其他样本。EDTD不仅判识率高，鉴定也非常精准，PACKAGE中误纳入的几个白文件在EDTD上均正确判白。响应速度平均每个文件基本在2分钟，极少有耗时5分钟，最长也只见过6分钟。
顺带一提，臭名昭著的易语言系列黑产其实不少EDTD都直接判黑（并非无脑对所有易语言判黑），至于为什么不在客户端拉黑就是个谜了……

桑德尔

一看个人版就没戏

B100D1E55

桑德尔 发表于 2018-8-17 09:58
一看个人版就没戏

是的呢，不过不久之后个人版应该也会有一些改进

WhiteCruel

DTD介绍终于来了，支持支持

B100D1E55

WhiteCruel 发表于 2018-8-17 11:01
DTD介绍终于来了，支持支持

其实老早就写了，不过为了保险起见还是等到官方正式发布之后再见光……哈哈

欧阳宣

包含这个功能的版本是一年5设备190刀的那个advanced么？实在太贵了

Picca

这是不是相当于把云端的鉴定机拿来租用了。联想到VT，在未知文件鉴别这一方面，ESET可能真是执牛耳者吧

B100D1E55

欧阳宣 发表于 2018-8-17 12:04
包含这个功能的版本是一年5设备190刀的那个advanced么？实在太贵了

这种服务+端点防护要是190刀能搞定就太便宜了，Hybrid-analysis个人版都不止那个价格……所以190刀的advanced并没有EDTD，其实EDTD服务价格我也不知道，找代{过}{滤}理商要quote才行，enterprise产品的普遍尿性了

B100D1E55

Karna 发表于 2018-8-17 12:08
这是不是相当于把云端的鉴定机拿来租用了。联想到VT，在未知文件鉴别这一方面，ESET可能真是执牛耳 ...

嗯你抓住重点了，另一方面则是结果更透明一些。不过这个技术还需要时间考验，有很多检测技术都是见光死（特别是鉴定结果透明化之后），估计这也是现阶段不对非大企业客户开放的原因之一

不过从其现阶段效果来说的确是很厉害，算是我目前见过最精准的一套鉴定系统。有很多云虽然查杀率高，但是误报率也杠杠的

Picca

B100D1E55 发表于 2018-8-17 12:28
嗯你抓住重点了，另一方面则是结果更透明一些。不过这个技术还需要时间考验，有很多检测技术都是见光死（ ...

忽然有个想法，会不会别的安软厂商买几个服务，然后作为自己云的鉴定手段 problem solved