關(guān)于欺騙技術(shù)和EDR的四件事
許多人會(huì)提倡網(wǎng)絡(luò)安全之戰(zhàn)在終點(diǎn)進(jìn)行。完全保護(hù)這些設(shè)備,攻擊者無法推進(jìn)攻擊。這種信念引發(fā)了新的興趣,并專注于從端點(diǎn)保護(hù)(EPP)轉(zhuǎn)向端點(diǎn)檢測和響應(yīng)解決方案(EDR)以及托管檢測和響應(yīng)(MDR)解決方案。
威脅形勢正在迅速變化,組織的防御需要隨之改變。新一代的復(fù)雜攻擊者已經(jīng)證明他們可以逃避反病毒解決方案并繞過傳統(tǒng)的外圍防御。鑒于他們能夠定期妥協(xié)網(wǎng)絡(luò),因此在“深度防御”戰(zhàn)略中進(jìn)行分層包括預(yù)防,檢測和響應(yīng)變得比以往任何時(shí)候都更加重要。在許多情況下,預(yù)測措施也成為一個(gè)因素,增加了收集威脅情報(bào)的需要,這可能已經(jīng)被先前的預(yù)防方法所拋棄。
與端點(diǎn)保護(hù)解決方案不同,EDR不僅僅是單一產(chǎn)品或簡單的工具集。該術(shù)語涵蓋了一系列功能,將監(jiān)控,分析,報(bào)告,響應(yīng)和取證功能結(jié)合到一套旨在響應(yīng)高技能攻擊者的防御中。通過在端點(diǎn)上放置傳感器和響應(yīng)功能,這些系統(tǒng)可以在攻擊發(fā)揮作用時(shí)識(shí)別并阻止攻擊者。許多EDR解決方案中的取證功能還有助于捕獲威脅情報(bào)并分析攻擊以識(shí)別其現(xiàn)有防御中的弱點(diǎn)。
盡管在EDR中發(fā)現(xiàn)了許多豐富內(nèi)容,但完整的縱深防御戰(zhàn)略需要更多。來自Carbon Black,Cisco,CrowdStrike,Cybereason,F(xiàn)ireEye,Symantec,Tanium等主要供應(yīng)商的EDR解決方案仍然存在與檢測網(wǎng)絡(luò)內(nèi)威脅,端點(diǎn)資產(chǎn)的發(fā)現(xiàn)和庫存,安全控制之間的信息共享相關(guān)的差距,以及最小化響應(yīng)時(shí)間的過程。補(bǔ)充技術(shù)可以彌補(bǔ)許多這些差距。
欺騙技術(shù)與EDR平臺(tái)一起部署可以在關(guān)閉這些風(fēng)險(xiǎn)中發(fā)揮重要作用。大多數(shù)人會(huì)認(rèn)為欺騙是早期準(zhǔn)確檢測威脅及其在減少攻擊者停留時(shí)間方面的作用的有效手段。但是,借助先進(jìn)的分布式欺騙平臺(tái)(DDP),組織還可以獲得可見性,資產(chǎn)發(fā)現(xiàn)和信息共享自動(dòng)化。
以下是欺騙技術(shù)在使用EDR平臺(tái)進(jìn)行深度防御時(shí),所稱的“自適應(yīng)防御”時(shí)增加顯著價(jià)值的四個(gè)方面。
網(wǎng)內(nèi)檢測和可見性
欺騙技術(shù)通過快速檢測網(wǎng)絡(luò)中橫向移動(dòng)的威脅,憑證盜竊以及其他形式的復(fù)雜攻擊(如中間人妥協(xié))來增強(qiáng)EDR防御。通過基于巧妙制作的誘餌創(chuàng)建合成攻擊面,該誘餌旨在鏡像生產(chǎn)資產(chǎn),組織創(chuàng)建一個(gè)攻擊者無法區(qū)分欺騙和真實(shí)設(shè)備的環(huán)境。這不僅會(huì)使他們遠(yuǎn)離合法目標(biāo),而且還會(huì)主動(dòng)誘使他們參與欺騙環(huán)境,從而提高他們存在的實(shí)時(shí)警報(bào)。
檢測策略包括以偽造憑證,文件共享,模仿服務(wù)和誘餌數(shù)據(jù)的形式將面包屑放置在端點(diǎn)上,這些數(shù)據(jù)可以快速誘使攻擊者進(jìn)入欺騙環(huán)境,在這種情況下可以在他們不知情的情況下記錄和研究他們的行為。
端點(diǎn)的發(fā)現(xiàn)和跟蹤
為了準(zhǔn)備,部署和操作欺騙,現(xiàn)代DDP使用機(jī)器自學(xué)習(xí)來了解網(wǎng)絡(luò)上和網(wǎng)絡(luò)外的新設(shè)備及其配置文件和屬性。該信息最初是為創(chuàng)建真實(shí)性而設(shè)計(jì)的,它還為安全團(tuán)隊(duì)提供了對網(wǎng)絡(luò)添加和更改的強(qiáng)大知識(shí)。事實(shí)證明,這對于檢測未經(jīng)授權(quán)的個(gè)人設(shè)備,物聯(lián)網(wǎng)和其他安全性較低的網(wǎng)絡(luò)設(shè)備或添加了惡意意圖的設(shè)備非常有用。除了設(shè)備可見性之外,平臺(tái)還具有對暴露的憑證攻擊路徑發(fā)出警報(bào)的能力。暴露和孤立憑證以及系統(tǒng)錯(cuò)誤配置通常是攻擊者獲得立足點(diǎn)所需的開放。
信息共享
通過使用高交互誘餌,安全團(tuán)隊(duì)可以收集攻擊者的詳細(xì)取證分析。在初步檢測之后,欺騙技術(shù)可以安全地收集并自動(dòng)關(guān)聯(lián)攻擊者TTP,IOC和反間諜,以深入了解攻擊者的能力,目標(biāo)以及他們想要泄露的信息。國際奧委會(huì)信息可以自動(dòng)與EDR解決方案,共享和使用,加快事故處理,威脅狩獵和補(bǔ)救。
自動(dòng)事件響應(yīng)
DDP解決方案現(xiàn)在還將促進(jìn)事件響應(yīng)的自動(dòng)化,這對于高嚴(yán)重性警報(bào)至關(guān)重要。通過本機(jī)集成,安全團(tuán)隊(duì)可以設(shè)置欺騙平臺(tái),以自動(dòng)觸發(fā)端點(diǎn)隔離,阻止和威脅搜尋,從而節(jié)省阻止攻擊蔓延的關(guān)鍵時(shí)間及其可能造成的傷害。一些解決方案還將與EDR管理工具集成,進(jìn)一步簡化了對威脅的查看和響應(yīng)。
與傳統(tǒng)的邊界防御和端點(diǎn)上的EDR相結(jié)合,欺騙平臺(tái)補(bǔ)充并增強(qiáng)了縱深防御策略,使攻擊者的工作更加困難,并且經(jīng)常起到威懾作用,驅(qū)使他們追求更容易的目標(biāo)。
