終端已經(jīng)成為現(xiàn)代企業(yè)風(fēng)險(xiǎn)的中心。從用戶到設(shè)備,從業(yè)務(wù)應(yīng)用程序到云工作負(fù)載,每種類型的企業(yè)數(shù)據(jù)都流經(jīng)端點(diǎn)。更重要的是,隨著遠(yuǎn)程工作的加快和大量物聯(lián)網(wǎng)設(shè)備連接到企業(yè)網(wǎng)絡(luò),監(jiān)控每個(gè)端點(diǎn)的安全性和可見性變得極具挑戰(zhàn)性。
在過去的幾年中,EDR已被部署用于檢測(cè)端點(diǎn)的惡意活動(dòng),并幫助防御勒索軟件等高級(jí)威脅。然而,最近的證據(jù)顯示,EDR既不能防黑客,也不能完全有效地應(yīng)對(duì)高級(jí)持續(xù)性威脅(apt)。讓我們了解EDR的不足之處,以及為什么僅靠端點(diǎn)安全性不足以保護(hù)組織。
1.終端安全通常是第一個(gè)被規(guī)避的
根據(jù)美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施局(cisaa)的說法,為了獲得初始訪問權(quán)限,威脅行為者通常會(huì)利用配置錯(cuò)誤的系統(tǒng)、糟糕的員工操作(弱密碼、不安全的互聯(lián)網(wǎng)活動(dòng)和瀏覽行為等)和薄弱的安全控制(未打補(bǔ)丁的軟件、開放的RDP端口等)。
在惡意行為者作為其發(fā)現(xiàn)和偵察行動(dòng)的一部分實(shí)現(xiàn)訪問后,apt通常會(huì)識(shí)別應(yīng)該避免的系統(tǒng)和流程。當(dāng)然,端點(diǎn)安全軟件在該列表中排名靠前,因?yàn)楣粽呦M_保他們不被抓住。因此,攻擊者利用許多規(guī)避策略,如篡改或混合,來繞過EDR防御。最近,一個(gè)勒索軟件組織被發(fā)現(xiàn)利用這種復(fù)雜的技術(shù)來繞過完善的EDR控制。
2.EDR易受特權(quán)升級(jí)攻擊
EDR策略通常依賴于在端點(diǎn)上運(yùn)行流程或服務(wù)來收集數(shù)據(jù)、檢測(cè)威脅和響應(yīng)事件。獲得對(duì)端點(diǎn)的管理訪問權(quán)限的攻擊者可以禁用這些進(jìn)程,從而使EDR系統(tǒng)失效。不要忘記,80%的安全漏洞涉及某種權(quán)限升級(jí)。因此,如果攻擊者從暗網(wǎng)和社會(huì)工程師那里購買憑據(jù),或者暴力破解用戶憑據(jù),他們就可以輕松地邁出第一步。他們通過破壞軟件中的漏洞(例如,Windows和Linux)和錯(cuò)誤配置來獲得特權(quán)訪問。接下來,他們可能會(huì)運(yùn)行腳本來阻止端點(diǎn)安全性或使用管理權(quán)限禁用EDR保護(hù)。
具有特權(quán)訪問權(quán)限的攻擊者只需在啟動(dòng)關(guān)聯(lián)服務(wù)之前以安全模式重新啟動(dòng)設(shè)備并重命名應(yīng)用程序目錄,就可以遠(yuǎn)程禁用端點(diǎn)安全性。在最近的另一個(gè)例子中,攻擊者利用AI合成一個(gè)多態(tài)鍵盤記錄器,該鍵盤記錄器使用合法通道(例如,MicrosoftTeams)向攻擊者發(fā)送用戶名和密碼。EDR沒有檢測(cè)到攻擊,因?yàn)樵摷夹g(shù)沒有利用任何類型的指揮和控制基礎(chǔ)設(shè)施。
3.EDR可能通過供應(yīng)鏈?zhǔn)艿綋p害
大多數(shù)EDR要求軟件由供應(yīng)商簽名,否則它們將被標(biāo)記為不受信任;在某些情況下,如果應(yīng)用程序沒有簽名,它們的執(zhí)行將被完全阻止。如果攻擊者以某種方式破壞了這個(gè)代碼簽名證書,安全產(chǎn)品將盲目地信任應(yīng)用程序,甚至允許被破壞的軟件在沒有任何檢查的情況下運(yùn)行。導(dǎo)致美國(guó)主要政府機(jī)構(gòu)和科技公司遭到入侵的Sunburst攻擊就是出于這個(gè)原因。盡管許多受害者都安裝了復(fù)雜的端點(diǎn)安全系統(tǒng),但它未能檢測(cè)到惡意更新包,因?yàn)樗怯蒘olarWinds數(shù)字簽名的,因此被認(rèn)為是可信的。最近,一個(gè)勒索軟件組織濫用了合法第三方驅(qū)動(dòng)程序的漏洞,使受害者機(jī)器上運(yùn)行的EDR失效。
4.EDR很難管理和監(jiān)控
要使EDR發(fā)揮最佳性能,需要大量的資源。平均一個(gè)EDR會(huì)產(chǎn)生大約11,000個(gè)安全警報(bào),每天打開一個(gè)新的窗口,需要分析師花費(fèi)令人頭疼的數(shù)小時(shí)從海量數(shù)據(jù)中篩選,其中許多是誤報(bào)。篩選警報(bào)可能會(huì)適得其反,而且令人厭煩,但毫無疑問,人工智能可以解決這個(gè)問題。嚴(yán)重的威脅可以躲過所有這些喋喋不休,讓攻擊者在受害者的環(huán)境中停留更長(zhǎng)時(shí)間。
不是EDR的失敗,而是整個(gè)網(wǎng)絡(luò)安全系統(tǒng)的失敗
具有諷刺意味的是,EDR最大的缺點(diǎn)之一是它的反應(yīng)性太強(qiáng)。換句話說,威脅已經(jīng)到達(dá)或已經(jīng)在端點(diǎn)執(zhí)行,現(xiàn)在是EDR的責(zé)任來阻止它。
事實(shí)是,從來沒有一個(gè)單一的失敗點(diǎn),因?yàn)楣舻拿總€(gè)階段都有機(jī)會(huì)阻止它。這就是為什么組織需要由SASE(安全訪問服務(wù)邊緣)等單通道云引擎提供端到端安全性的原因,SASE可以使用來自每個(gè)用戶、每個(gè)應(yīng)用程序和每個(gè)設(shè)備的網(wǎng)絡(luò)流,提供對(duì)網(wǎng)絡(luò)和端點(diǎn)活動(dòng)的細(xì)粒度可見性。因?yàn)閺姆阑饓Φ蕉它c(diǎn)安全,再到web安全,再到云安全,一切都集成在云服務(wù)中,更容易管理和監(jiān)控各種攻擊面,并在潛在威脅出現(xiàn)時(shí)做出反應(yīng)。
EDR仍然是檢測(cè)端點(diǎn)上惡意行為的強(qiáng)大獨(dú)立工具。也就是說,現(xiàn)代惡意軟件正在不斷進(jìn)化,甚至可以避開像EDR這樣的高級(jí)防御。組織需要能夠檢測(cè)并阻止高級(jí)持續(xù)性威脅的同步端到端系統(tǒng),即使其中一個(gè)安全層未能檢測(cè)到惡意活動(dòng)。
