端点检测和响应如何保护网络边界?

2020-06-28 16:39:18 云杰通信 102

端点检测和响应如何保护网络边界?

  根据最近的一项研究,每天大约每39秒发生一次新的网络攻击。一次成功攻击所需的平均成本为390万美元,用以进行识别,消除和恢复。攻击者尝试破坏系统的机率非常高。但是,这并不意味着您会束手无策。

  您可以使用端点检测和响应(EDR)来显着降低风险和潜在成本。

  什么是端点检测和响应?

  EDR解决方案是旨在检测并响应端点上发生的安全事件的工具的集合。端点是网络上允许访问内部网络的设备或应用程序。这些访问点是攻击者可以用来渗透您的系统的网关。

  端点包括任何面向外部的设备或端口,包括物联网(IoT)设备,智能手机,便携式计算机,路由器和网站门户。面向外部的资源是那些连接到外部网络(例如Internet)的资源。

  EDR提供了连续的监视功能,并提供了对端点设备上事件的更大可见性。它通常通过主机系统或特定终结点设备上的软件代理工作。这些代理收集事件数据并将其发送到中央数据库进行分析。由于事件数据是集中分析的,因此可以使用EDR关联多个端点之间的数据。这使您能够识别可能会错过的可疑活动。

  EDR工具通常使用机器学习的形式来识别复杂的可疑行为,并与威胁情报信息进行比较。除了事件收集和分析之外,这些工具通常还包括应用程序和设备控制,加密和访问控制的功能。

  一旦识别出可疑活动,就可以使用EDR工具自动响应问题。这些工具可以撤消用户或应用程序访问权限,隔离受感染的系统,并跟踪攻击活动的起源。

  EDR对于识别和应对非传统威胁特别有用,包括:

  无文件恶意软件- 滥用合法程序和进程的权限来获取对系统的访问权限。一旦进入内部,无文件恶意软件就会使用系统内存来执行恶意任务,例如更改注册表值。这些攻击不需要下载文件。相反,此恶意软件依赖于传统防病毒软件无法检测到的脚本和程序。

  零时差漏洞—暴露漏洞的同一天发生的攻击。漏洞发布后,可能没有补丁可用,从而使漏洞利用暴露无遗。此外,这些攻击还没有威胁签名。这种缺乏使得零日攻击无法被基于签名的传统安全工具检测到。

  高级持续威胁(APT)-在一段时间内进行的攻击,通常是由国家赞助或组织的团体进行的攻击。APT涉及渗透到您的系统中并保持未被检测到。同时,您的系统已映射,数据被泄露或资源被滥用。APT经常使用受损的凭据,这些凭据可用于绕过安全系统并使活动显得合法。

  EDR最佳做法

  EDR解决方案可以成为限制系统访问并提供更好的系统可见性的有效工具。但是,仅这些工具不足以提供完整的安全性。下面的最佳实践可以帮助您以最大程度的保护来实施EDR工具。

  采取预防措施

  只要有可能,您就应该努力防止安全事件,而不仅仅是检测并响应攻击。进行定期的安全审核,以确保您的配置正确并且正在实施安全策略。

  确保系统提供最新的修补程序和安全修复程序。主动监视威胁资源线程和漏洞数据库可以帮助确保您了解可能的漏洞。知道漏洞后,几乎没有理由可以利用它。

  考虑实施威胁搜寻过程,其中包括积极搜索威胁活动。 威胁搜寻可以帮助您确定绕过安全措施的攻击,确定潜在的系统风险并测试系统的有效性。

  EDR解决方案可以作为您现有安全措施的宝贵补充。这些工具可以识别否则会被忽略的威胁,并提供对网络活动的更深入的了解。