关于欺骗技术和EDR的4件事
来源:用户上传
作者:
许多人提倡网络安全之战在终点进行。完全保护这些设备,攻击者无法推进攻击。这种信念引发了新的兴趣,并专注于从端点保护(EPP)转向端点检测和响应解决方案(EDR)以及托管检测和响应(MDR)解决方案。
威胁形势正在迅速变化,组织的防御也需要随之改变。最新一代的复杂攻击者已经证明他们可以逃避反病毒解决方案并绕过传统的外围防御。鉴于他们能够定期妥协网络,因此在“深度防御”战略中进行分层包括预防、检测和响应变得比以往任何时候都更加重要。在许多情况下,预测措施也成为一个因素,增加了收集威胁情报的需要,这可能已经被先前的预防方法所抛弃。
与端点保护解决方案不同,EDR不仅仅是单一产品或简单的工具集。该术语涵盖了一系列功能,将监控、分析、报告、响应和取证功能结合到一套旨在响应高技能攻击者的防御中。通过在端点上放置传感器和响应功能,这些系统可以在攻击发挥作用时识别并阻止攻击者。许多EDR解决方案中的取证功能还有助于捕获威胁情报并分析攻击以识别其现有防御中的弱点。
尽管在EDR中发现了许多丰富内容,但完整的纵深防御战略需要更多。来自Carbon Black,Cisco,CrowdStrike,Cybereason,FireEye,Symantec,Tanium等主要供应商的EDR解决方案仍然存在与检测网络内威胁,端点资产的发现和库存,安全控制之间的信息共享相关的差距,以及最小化响应时间的过程。补充技术可以弥补许多这些差距。
欺骗技术与EDR平台部署可以在关闭这些风险中发挥重要作用。大多数人会认为欺骗是早期准确检测威胁及其在减少攻击者停留时间方面的作用的有效手段。但是,借助先进的分布式欺骗平台(DDP),组织还可以获得可见性、资产发现和信息共享自动化。
以下是欺骗技术在使用EDR平台进行深度防御时,所称的“自适应防御”时增加显著价值的4个方面。
网内检测和可见性
欺骗技术通过快速检测网络中横向移动的威胁,凭证盗窃以及其他形式的复杂攻击(如中间人妥协)来增强EDR防御。通过巧妙制作的诱饵创建合成攻击面,该诱饵旨在镜像生产资产,组织创建一个攻击者无法区分欺骗和真实设备的环境。这不仅会使他们远离合法目标,还会诱使他们参与欺骗环境,从而提高他们存在的实时警报。
检测策略包括以伪造凭证、文件共享、模仿服务和诱饵数据的形式将面包屑放置在端点上,这些数据可以快速诱使攻击者进入欺骗环境,在他们不知情的情况下记录和研究他们的行为。
端点的发现和跟踪
為了准备、部署和操作欺骗,现代DDP使用机器自学习来了解网络上和网络外的新设备及其配置文件和属性。该信息最初是为创建真实性而设计的,它还为安全团队提供对网络添加和更改的强大知识。事实证明,这对于检测未经授权的个人设备,物联网和其他安全性较低的网络设备或添加了恶意意图的设备非常有用。除了设备可见性外,平台还具有对暴露的凭证攻击路径发出警报的能力。暴露和孤立凭证以及系统错误配置通常是攻击者获得立足点所需的开放。
信息共享
通过使用高交互诱饵,安全团队可以收集攻击者的详细取证分析。在初步检测之后,欺骗技术可以安全地收集并自动关联攻击者TTP、IOC和反间谍,以深入了解攻击者的能力、目标以及他们想要泄露的信息。信息可以自动与EDR解决方案共享和使用,加快事故处理、威胁狩猎和补救。
自动事件响应
DDP解决方案现在还将促进事件响应的自动化,这对于高严重性的警报至关重要。通过本机集成,安全团队可以设置欺骗平台,以自动触发端点隔离,阻止和威胁搜寻,从而阻止攻击蔓延的关键时间及其可能造成的伤害。一些解决方案还将与EDR管理工具集成,进一步简化了对威胁的查看和响应。
与传统的边界防御和端点上的EDR相结合,欺骗平台补充并增强了纵深防御策略,使攻击者的工作更加困难,并且起到威慑作用,驱使他们追求更容易的目标。
转载注明来源:https://www.xzbu.com/1/view-14813896.htm