端點安全性通常是第一道防線，但是攻擊者可以使用復雜的技術繞過它。端點檢測和響應(EDR)是被動的，這意味著它只能在威脅到達端點后才檢測到威脅。這是一個缺點，因為它讓攻擊者有更多時間造成傷害。Cato Networks的高級安全策略總監Etay Maor解釋了為什么組織需要一個分層的安全方法，包括EDR以及其他安全措施，如防火墻和入侵檢測系統。單通道云引擎可以將所有這些措施集成到一個平臺中。

　　終端已經成為現代企業風險的中心。從用戶到設備，從業務應用程序到云工作負載，每種類型的企業數據都流經端點。更重要的是，隨著遠程工作的加快和大量物聯網設備連接到企業網絡，監控每個端點的安全性和可見性變得極具挑戰性。

　　在過去的幾年中，EDR已被部署用于檢測端點的惡意活動，并幫助防御勒索軟件等高級威脅。然而，最近的證據顯示，EDR既不能防黑客，也不能完全有效地應對高級持續性威脅(apt)。讓我們了解EDR的不足之處，以及為什么僅靠端點安全性不足以保護組織。

　　1.終端安全通常是第一個被規避的

　　根據美國網絡安全和基礎設施局(cisaa)的說法，為了獲得初始訪問權限，威脅行為者通常會利用配置錯誤的系統、糟糕的員工操作(弱密碼、不安全的互聯網活動和瀏覽行為等)和薄弱的安全控制(未打補丁的軟件、開放的RDP端口等)。

　　在惡意行為者作為其發現和偵察行動的一部分實現訪問后，apt通常會識別應該避免的系統和流程。當然，端點安全軟件在該列表中排名靠前，因為攻擊者希望確保他們不被抓住。因此，攻擊者利用許多規避策略，如篡改或混合，來繞過EDR防御。最近，一個勒索軟件組織被發現利用這種復雜的技術來繞過完善的EDR控制。

　　2.EDR易受特權升級攻擊

　　EDR策略通常依賴于在端點上運行流程或服務來收集數據、檢測威脅和響應事件。獲得對端點的管理訪問權限的攻擊者可以禁用這些進程，從而使EDR系統失效。不要忘記，80%的安全漏洞涉及某種權限升級。因此，如果攻擊者從暗網和社會工程師那里購買憑據，或者暴力破解用戶憑據，他們就可以輕松地邁出第一步。他們通過破壞軟件中的漏洞(例如，Windows和Linux)和錯誤配置來獲得特權訪問。接下來，他們可能會運行腳本來阻止端點安全性或使用管理權限禁用EDR保護。

　　具有特權訪問權限的攻擊者只需在啟動關聯服務之前以安全模式重新啟動設備并重命名應用程序目錄，就可以遠程禁用端點安全性。在最近的另一個例子中，攻擊者利用AI合成一個多態鍵盤記錄器，該鍵盤記錄器使用合法通道(例如，MicrosoftTeams)向攻擊者發送用戶名和密碼。EDR沒有檢測到攻擊，因為該技術沒有利用任何類型的指揮和控制基礎設施。

　　3.EDR可能通過供應鏈受到損害

　　大多數EDR要求軟件由供應商簽名，否則它們將被標記為不受信任;在某些情況下，如果應用程序沒有簽名，它們的執行將被完全阻止。如果攻擊者以某種方式破壞了這個代碼簽名證書，安全產品將盲目地信任應用程序，甚至允許被破壞的軟件在沒有任何檢查的情況下運行。導致美國主要政府機構和科技公司遭到入侵的Sunburst攻擊就是出于這個原因。盡管許多受害者都安裝了復雜的端點安全系統，但它未能檢測到惡意更新包，因為它是由SolarWinds數字簽名的，因此被認為是可信的。最近，一個勒索軟件組織濫用了合法第三方驅動程序的漏洞，使受害者機器上運行的EDR失效。

　　4.EDR很難管理和監控

　　要使EDR發揮最佳性能，需要大量的資源。平均一個EDR會產生大約11,000個安全警報，每天打開一個新的窗口，需要分析師花費令人頭疼的數小時從海量數據中篩選，其中許多是誤報。篩選警報可能會適得其反，而且令人厭煩，但毫無疑問，人工智能可以解決這個問題。嚴重的威脅可以躲過所有這些喋喋不休，讓攻擊者在受害者的環境中停留更長時間。

　　不是EDR的失敗，而是整個網絡安全系統的失敗

　　具有諷刺意味的是，EDR最大的缺點之一是它的反應性太強。換句話說，威脅已經到達或已經在端點執行，現在是EDR的責任來阻止它。

　　事實是，從來沒有一個單一的失敗點，因為攻擊的每個階段都有機會阻止它。這就是為什么組織需要由SASE(安全訪問服務邊緣)等單通道云引擎提供端到端安全性的原因，SASE可以使用來自每個用戶、每個應用程序和每個設備的網絡流，提供對網絡和端點活動的細粒度可見性。因為從防火墻到端點安全，再到web安全，再到云安全，一切都集成在云服務中，更容易管理和監控各種攻擊面，并在潛在威脅出現時做出反應。

　　EDR仍然是檢測端點上惡意行為的強大獨立工具。也就是說，現代惡意軟件正在不斷進化，甚至可以避開像EDR這樣的高級防御。組織需要能夠檢測并阻止高級持續性威脅的同步端到端系統，即使其中一個安全層未能檢測到惡意活動。