本文讲的是 做好入侵检测与响应需要谨记这四条守则,在规划、选择和部署终端检测与响应 (Endpoint Detection and Response, EDR) 解决方案之后,在EDR运行期间你只需要记住这些事情:
发现并存储终端信息是关键
为了有效保护机构的终端,你需要了解整个终端的环境和背景。这不仅包括存储并记录所有现有终端的固件,还包括其操作系统、应用版本,这样,一旦出现违反机构安全政策的改动,就可以有效利用这些数据。
它还包括不断监测新的终端,因为它们有可能尝试访问企业网络。所有未经批准的终端条目都应当被自动化地立即拦截。
检测、响应、预防之间的隔阂需要最小化
EDR中最重要的挑战之一就是减少”机构发现威胁和进行适当的响应”之间的时间差,以及“机构进行响应和将其整合进预防性安全措施”之间的时间差。
幸运的是,机构可以通过两个方式减少这其中的差距。首先,他们可以为终端的正常行为设立基准线,这样将会告诉他们什么才是“安全”和 “正常”的行为,进一步可以分析配置的变化情况,也即 漂移”。
其次,他们可以利用威胁情报、商业背景和在安全方面的努力,不但找出所有威胁,也考虑到其优先级和严重程度。有了这个信息,机构可以自动创建一个关于补丁的时间表,根据其严重性和优先级来快速响应威胁,而无需人工进行干预。
所有东西都与安全成熟度有关
EDR在支持安全的企业文化中工作效率最高,比如企业会采取正规的形式部署安全策略和进行培训。因此,想要最大限度利用EDR系统的机构应当谨记安全是一个过程,并提升自身的安全成熟度。这意味着企业必须不断进行安全意识培训,制定安全策略,并创建安全流程。
机构还应当确保EDR解决方案被配置成能够与其它安全基础设施相互整合的模式。通过这一步骤,他们能够让互相割裂的安全系统相互整合,找到威胁。
EDR的生命周期永不终结
成百上千乃至数百万的新的数字威胁每天都在诞生。知道了这一点,机构应当对新威胁的迹象随时保持警惕,使用对旧威胁的响应方式创建新的预防措施,不断检测新的终端与配置上的变化,并努力减少检测、响应和预防之间的差距。