本文讲的是EDR:终端发现的三大原则和挑战,网络攻击者无时无刻不在找寻渗透企业IT环境的途径,其中一个最容易的通道,就是利用终端上的漏洞。从攻击者的角度来看,终端可以定义为,网络罪犯和网络间谍用来侵入内部的最具吸引力,最柔软脆弱的目标。
攻击者往往会利用,安全防御者无法知悉企业网络系统中所有的设备,且没有及时更新,因而去搜索目标网络中可供建立桥头堡的柔弱终端。然后,再通过进一步的漏洞利用构筑长期驻留条件,最终迈向既定目标。
时移世易,公司防御此类入侵的方式也经历了诸多变化。10年前,安全从业人员需要病毒签名才可以封锁攻击,因此,他们大部分都依赖基于签名的反病毒解决方案和感染指标(IoCs)来检测染指他们网络的罪犯。但是,黑客逐渐勘破了企业安全团队对检测机制的倚重,转而利用零日漏洞和多态的、自更新的恶意软件来绕过这些防护,比如Qbot。
安全研究人员自然通过自己研发的新方法予以了回击。该新方法被称为“终端检测与响应(EDR)”,默认攻击者始终会渗漏公司网络,让安全人员利用IoCs和终端行为来快速检测任何入侵,减小攻击者造成的损害。
为实现该目标,EDR系统部署并积极管理能提供公司终端关键信息的6个主要控制。
这6个控制是:终端发现、软件发现、漏洞管理、安全配置管理、日志管理,以及危险检测和响应。
终端发现是首要的控制,因为如果连自己有什么设备都不知道的话,何谈为硬件构筑防御呢?如此,硬件和软件管理、许可合规、监管合规,以及安全,都取决于公司企业维护动态终端清单的能力。
安全从业人员若想知悉自家公司的资产,应遵守以下三个原则:
- 将终端发现当成一个过程
一次性发现所有资产是不现实的。安全人员应分阶段进行资产发现工作,先从有文档的系统和进程开始。
- 利用标准化来节省时间
通过采用NIST之类的标准,信息安全从业者会培养出在工具间共享终端信息的能力,增强公司安全态势。
- 找寻弱点
安全从业者不能让攻击者比自己还清楚公司的IT环境。他们需要经常性找寻脆弱点。而这只有在公司维护有准确的资产清单的情况下才有可能实现。
除了这些原则,终端发现还面临着一些挑战。有些资产横跨数个隔离的网络,另一些(尤其是工业物联网设备)则不使用可被简单扫描识别的传统IT协议。进入如此,扫描IIoT设备还是有可能会引起服务中断。也就是说,安全人员可能需要采取其他发现方式来精确编目这些终端。
企业该怎样克服此类终端发现中的障碍呢?
为解答这一问题,安全公司Tripwire发布了《终端安全求生指南:网络安全专业人士的战地手册》——实现和最优化6大EDR安全控制的专属资源。
最低限度,安全人员需要建立起终端基线,或者一份包含了每个网络节点“正常”行为的参考。这涉及到从现有记录中收集信息,包括网络拓扑图,甚至是便利贴;涉及到扫描网络以发现其上切实存在的东西;涉及到利用被动发现来映射终端;涉及到减少可访问的IP地址空间以确保公司使用尽可能少的IP。