端點(diǎn)安全性通常是第一道防線,但是攻擊者可以使用復(fù)雜的技術(shù)繞過它�����。端點(diǎn)檢測(cè)和響應(yīng)(EDR)是被動(dòng)的�,這意味著它只能在威脅到達(dá)端點(diǎn)后才檢測(cè)到威脅。這是一個(gè)缺點(diǎn)�,因?yàn)樗尮粽哂懈鄷r(shí)間造成傷害��。Cato Networks的高級(jí)安全策略總監(jiān)Etay Maor解釋了為什么組織需要一個(gè)分層的安全方法����,包括EDR以及其他安全措施��,如防火墻和入侵檢測(cè)系統(tǒng)���。單通道云引擎可以將所有這些措施集成到一個(gè)平臺(tái)中�����。
終端已經(jīng)成為現(xiàn)代企業(yè)風(fēng)險(xiǎn)的中心����。從用戶到設(shè)備,從業(yè)務(wù)應(yīng)用程序到云工作負(fù)載����,每種類型的企業(yè)數(shù)據(jù)都流經(jīng)端點(diǎn)。更重要的是�����,隨著遠(yuǎn)程工作的加快和大量物聯(lián)網(wǎng)設(shè)備連接到企業(yè)網(wǎng)絡(luò)���,監(jiān)控每個(gè)端點(diǎn)的安全性和可見性變得極具挑戰(zhàn)性�����。
(資料圖片僅供參考)
在過去的幾年中����,EDR已被部署用于檢測(cè)端點(diǎn)的惡意活動(dòng)�,并幫助防御勒索軟件等高級(jí)威脅。然而����,最近的證據(jù)顯示,EDR既不能防黑客��,也不能完全有效地應(yīng)對(duì)高級(jí)持續(xù)性威脅(apt)。讓我們了解EDR的不足之處�����,以及為什么僅靠端點(diǎn)安全性不足以保護(hù)組織�����。
1.終端安全通常是第一個(gè)被規(guī)避的
根據(jù)美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施局(cisaa)的說法����,為了獲得初始訪問權(quán)限,威脅行為者通常會(huì)利用配置錯(cuò)誤的系統(tǒng)�、糟糕的員工操作(弱密碼����、不安全的互聯(lián)網(wǎng)活動(dòng)和瀏覽行為等)和薄弱的安全控制(未打補(bǔ)丁的軟件、開放的RDP端口等)��。
在惡意行為者作為其發(fā)現(xiàn)和偵察行動(dòng)的一部分實(shí)現(xiàn)訪問后�����,apt通常會(huì)識(shí)別應(yīng)該避免的系統(tǒng)和流程�。當(dāng)然,端點(diǎn)安全軟件在該列表中排名靠前,因?yàn)楣粽呦M_保他們不被抓住���。因此�,攻擊者利用許多規(guī)避策略�����,如篡改或混合��,來繞過EDR防御�����。最近�����,一個(gè)勒索軟件組織被發(fā)現(xiàn)利用這種復(fù)雜的技術(shù)來繞過完善的EDR控制���。
2.EDR易受特權(quán)升級(jí)攻擊
EDR策略通常依賴于在端點(diǎn)上運(yùn)行流程或服務(wù)來收集數(shù)據(jù)���、檢測(cè)威脅和響應(yīng)事件。獲得對(duì)端點(diǎn)的管理訪問權(quán)限的攻擊者可以禁用這些進(jìn)程�����,從而使EDR系統(tǒng)失效。不要忘記�����,80%的安全漏洞涉及某種權(quán)限升級(jí)��。因此����,如果攻擊者從暗網(wǎng)和社會(huì)工程師那里購(gòu)買憑據(jù),或者暴力破解用戶憑據(jù)�,他們就可以輕松地邁出第一步。他們通過破壞軟件中的漏洞(例如��,Windows和Linux)和錯(cuò)誤配置來獲得特權(quán)訪問���。接下來,他們可能會(huì)運(yùn)行腳本來阻止端點(diǎn)安全性或使用管理權(quán)限禁用EDR保護(hù)��。
具有特權(quán)訪問權(quán)限的攻擊者只需在啟動(dòng)關(guān)聯(lián)服務(wù)之前以安全模式重新啟動(dòng)設(shè)備并重命名應(yīng)用程序目錄����,就可以遠(yuǎn)程禁用端點(diǎn)安全性����。在最近的另一個(gè)例子中�,攻擊者利用AI合成一個(gè)多態(tài)鍵盤記錄器,該鍵盤記錄器使用合法通道(例如�����,MicrosoftTeams)向攻擊者發(fā)送用戶名和密碼�����。EDR沒有檢測(cè)到攻擊���,因?yàn)樵摷夹g(shù)沒有利用任何類型的指揮和控制基礎(chǔ)設(shè)施�����。
3.EDR可能通過供應(yīng)鏈?zhǔn)艿綋p害
大多數(shù)EDR要求軟件由供應(yīng)商簽名�����,否則它們將被標(biāo)記為不受信任;在某些情況下���,如果應(yīng)用程序沒有簽名��,它們的執(zhí)行將被完全阻止��。如果攻擊者以某種方式破壞了這個(gè)代碼簽名證書��,安全產(chǎn)品將盲目地信任應(yīng)用程序��,甚至允許被破壞的軟件在沒有任何檢查的情況下運(yùn)行����。導(dǎo)致美國(guó)主要政府機(jī)構(gòu)和科技公司遭到入侵的Sunburst攻擊就是出于這個(gè)原因��。盡管許多受害者都安裝了復(fù)雜的端點(diǎn)安全系統(tǒng)��,但它未能檢測(cè)到惡意更新包��,因?yàn)樗怯蒘olarWinds數(shù)字簽名的�,因此被認(rèn)為是可信的。最近����,一個(gè)勒索軟件組織濫用了合法第三方驅(qū)動(dòng)程序的漏洞,使受害者機(jī)器上運(yùn)行的EDR失效�����。
4.EDR很難管理和監(jiān)控
要使EDR發(fā)揮最佳性能�,需要大量的資源。平均一個(gè)EDR會(huì)產(chǎn)生大約11,000個(gè)安全警報(bào)����,每天打開一個(gè)新的窗口,需要分析師花費(fèi)令人頭疼的數(shù)小時(shí)從海量數(shù)據(jù)中篩選���,其中許多是誤報(bào)��。篩選警報(bào)可能會(huì)適得其反�,而且令人厭煩����,但毫無(wú)疑問,人工智能可以解決這個(gè)問題��。嚴(yán)重的威脅可以躲過所有這些喋喋不休���,讓攻擊者在受害者的環(huán)境中停留更長(zhǎng)時(shí)間���。
不是EDR的失敗,而是整個(gè)網(wǎng)絡(luò)安全系統(tǒng)的失敗
具有諷刺意味的是���,EDR最大的缺點(diǎn)之一是它的反應(yīng)性太強(qiáng)��。換句話說����,威脅已經(jīng)到達(dá)或已經(jīng)在端點(diǎn)執(zhí)行,現(xiàn)在是EDR的責(zé)任來阻止它��。
事實(shí)是��,從來沒有一個(gè)單一的失敗點(diǎn)�,因?yàn)楣舻拿總€(gè)階段都有機(jī)會(huì)阻止它。這就是為什么組織需要由SASE(安全訪問服務(wù)邊緣)等單通道云引擎提供端到端安全性的原因����,SASE可以使用來自每個(gè)用戶、每個(gè)應(yīng)用程序和每個(gè)設(shè)備的網(wǎng)絡(luò)流�����,提供對(duì)網(wǎng)絡(luò)和端點(diǎn)活動(dòng)的細(xì)粒度可見性��。因?yàn)閺姆阑饓Φ蕉它c(diǎn)安全�,再到web安全,再到云安全,一切都集成在云服務(wù)中��,更容易管理和監(jiān)控各種攻擊面�����,并在潛在威脅出現(xiàn)時(shí)做出反應(yīng)����。
EDR仍然是檢測(cè)端點(diǎn)上惡意行為的強(qiáng)大獨(dú)立工具��。也就是說�,現(xiàn)代惡意軟件正在不斷進(jìn)化,甚至可以避開像EDR這樣的高級(jí)防御���。組織需要能夠檢測(cè)并阻止高級(jí)持續(xù)性威脅的同步端到端系統(tǒng)��,即使其中一個(gè)安全層未能檢測(cè)到惡意活動(dòng)��。
