EDR 終端發現的三大原則和挑戰

本文講的是edr：終端發現的三大原則和挑戰，網路攻擊者無時無刻不在找尋滲透企業it環境的途徑，其中乙個最容易的通道，就是利用終端上的漏洞。從攻擊者的角度來看，終端可以定義為，網路罪犯和網路間諜用來侵入內部的最具吸引力，最柔軟脆弱的目標。

攻擊者往往會利用，安全防禦者無法知悉企業網路系統中所有的裝置，且沒有及時更新，因而去搜尋目標網路中可供建立橋頭堡的柔弱終端。然後，再通過進一步的漏洞利用構築長期駐留條件，最終邁向既定目標。

時移世易，公司防禦此類入侵的方式也經歷了諸多變化。10年前，安全從業人員需要病毒簽名才可以封鎖攻擊，因此，他們大部分都依賴基於簽名的反病毒解決方案和感染指標(iocs)來檢測染指他們網路的罪犯。但是，黑客逐漸勘破了企業安全團隊對檢測機制的倚重，轉而利用零日漏洞和多型的、自更新的惡意軟體來繞過這些防護，比如qbot。

安全研究人員自然通過自己研發的新方法予以了回擊。該新方法被稱為「終端檢測與響應(edr)」，預設攻擊者始終會滲漏公司網路，讓安全人員利用iocs和終端行為來快速檢測任何入侵，減小攻擊者造成的損害。

為實現該目標，edr系統部署並積極管理能提供公司終端關鍵資訊的6個主要控制。

這6個控制是：終端發現、軟體發現、漏洞管理、安全配置管理、日誌管理，以及危險檢測和響應。

終端發現是首要的控制，因為如果連自己有什麼裝置都不知道的話，何談為硬體構築防禦呢？如此，硬體和軟體管理、許可合規、監管合規，以及安全，都取決於公司企業維護動態終端清單的能力。

安全從業人員若想知悉自家公司的資產，應遵守以下三個原則：

將終端發現當成乙個過程

一次性發現所有資產是不現實的。安全人員應分階段進行資產發現工作，先從有文件的系統和程序開始。

利用標準化來節省時間

通過採用nist之類的標準，資訊保安從業者會培養出在工具間共享終端資訊的能力，增強公司安全態勢。

找尋弱點

安全從業者不能讓攻擊者比自己還清楚公司的it環境。他們需要經常性找尋脆弱點。而這只有在公司維護有準確的資產清單的情況下才有可能實現。

除了這些原則，終端發現還面臨著一些挑戰。有些資產橫跨數個隔離的網路，另一些(尤其是工業物聯網裝置)則不使用可被簡單掃瞄識別的傳統it協議。進入如此，掃瞄iiot裝置還是有可能會引起服務中斷。也就是說，安全人員可能需要採取其他發現方式來精確編目這些終端。

企業該怎樣克服此類終端發現中的障礙呢？

為解答這一問題，安全公司tripwire發布了《終端安全求生指南：網路安全專業人士的戰地手冊》——實現和最優化6大edr安全控制的專屬資源。

最低限度，安全人員需要建立起終端基線，或者乙份包含了每個網路節點「正常」行為的參考。這涉及到從現有記錄中收集資訊，包括網路拓撲圖，甚至是便利貼；涉及到掃瞄網路以發現其上切實存在的東西；涉及到利用被動發現來對映終端；涉及到減少可訪問的ip位址空間以確保公司使用盡可能少的ip。

EDR 終端發現的三大原則和挑戰

計算機三大原則

後端開發的三大原則 huaxiawudi

計算機的三大原則

EDR 終端發現的三大原則和挑戰

計算機三大原則

後端開發的三大原則 huaxiawudi

計算機的三大原則

相關推薦