端點安全性通常是第一道防線，但是攻擊者可以使用復(fù)雜的技術(shù)繞過它。端點檢測和響應(yīng)(EDR)是被動的，這意味著它只能在威脅到達(dá)端點后才檢測到威脅。這是一個缺點，因為它讓攻擊者有更多時間造成傷害。Cato Networks的高級安全策略總監(jiān)Etay Maor解釋了為什么組織需要一個分層的安全方法，包括EDR以及其他安全措施，如防火墻和入侵檢測系統(tǒng)。單通道云引擎可以將所有這些措施集成到一個平臺中。 　　
　　終端已經(jīng)成為現(xiàn)代企業(yè)風(fēng)險的中心。從用戶到設(shè)備，從業(yè)務(wù)應(yīng)用程序到云工作負(fù)載，每種類型的企業(yè)數(shù)據(jù)都流經(jīng)端點。更重要的是，隨著遠(yuǎn)程工作的加快和大量物聯(lián)網(wǎng)設(shè)備連接到企業(yè)網(wǎng)絡(luò)，監(jiān)控每個端點的安全性和可見性變得極具挑戰(zhàn)性。
　　
　　在過去的幾年中，EDR已被部署用于檢測端點的惡意活動，并幫助防御勒索軟件等高級威脅。然而，最近的證據(jù)顯示，EDR既不能防黑客，也不能完全有效地應(yīng)對高級持續(xù)性威脅(apt)。讓我們了解EDR的不足之處，以及為什么僅靠端點安全性不足以保護組織。
　　
　　1.終端安全通常是第一個被規(guī)避的
　　
　　根據(jù)美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施局(cisaa)的說法，為了獲得初始訪問權(quán)限，威脅行為者通常會利用配置錯誤的系統(tǒng)、糟糕的員工操作(弱密碼、不安全的互聯(lián)網(wǎng)活動和瀏覽行為等)和薄弱的安全控制(未打補丁的軟件、開放的RDP端口等)。
　　
　　在惡意行為者作為其發(fā)現(xiàn)和偵察行動的一部分實現(xiàn)訪問后，apt通常會識別應(yīng)該避免的系統(tǒng)和流程。當(dāng)然，端點安全軟件在該列表中排名靠前，因為攻擊者希望確保他們不被抓住。因此，攻擊者利用許多規(guī)避策略，如篡改或混合，來繞過EDR防御。最近，一個勒索軟件組織被發(fā)現(xiàn)利用這種復(fù)雜的技術(shù)來繞過完善的EDR控制。
　　
　　2.EDR易受特權(quán)升級攻擊
　　
　　EDR策略通常依賴于在端點上運行流程或服務(wù)來收集數(shù)據(jù)、檢測威脅和響應(yīng)事件。獲得對端點的管理訪問權(quán)限的攻擊者可以禁用這些進程，從而使EDR系統(tǒng)失效。不要忘記，80%的安全漏洞涉及某種權(quán)限升級。因此，如果攻擊者從暗網(wǎng)和社會工程師那里購買憑據(jù)，或者暴力破解用戶憑據(jù)，他們就可以輕松地邁出第一步。他們通過破壞軟件中的漏洞(例如，Windows和Linux)和錯誤配置來獲得特權(quán)訪問。接下來，他們可能會運行腳本來阻止端點安全性或使用管理權(quán)限禁用EDR保護。
　　
　　具有特權(quán)訪問權(quán)限的攻擊者只需在啟動關(guān)聯(lián)服務(wù)之前以安全模式重新啟動設(shè)備并重命名應(yīng)用程序目錄，就可以遠(yuǎn)程禁用端點安全性。在最近的另一個例子中，攻擊者利用AI合成一個多態(tài)鍵盤記錄器，該鍵盤記錄器使用合法通道(例如，MicrosoftTeams)向攻擊者發(fā)送用戶名和密碼。EDR沒有檢測到攻擊，因為該技術(shù)沒有利用任何類型的指揮和控制基礎(chǔ)設(shè)施。
　　
　　3.EDR可能通過供應(yīng)鏈?zhǔn)艿綋p害
　　
　　大多數(shù)EDR要求軟件由供應(yīng)商簽名，否則它們將被標(biāo)記為不受信任;在某些情況下，如果應(yīng)用程序沒有簽名，它們的執(zhí)行將被完全阻止。如果攻擊者以某種方式破壞了這個代碼簽名證書，安全產(chǎn)品將盲目地信任應(yīng)用程序，甚至允許被破壞的軟件在沒有任何檢查的情況下運行。導(dǎo)致美國主要政府機構(gòu)和科技公司遭到入侵的Sunburst攻擊就是出于這個原因。盡管許多受害者都安裝了復(fù)雜的端點安全系統(tǒng)，但它未能檢測到惡意更新包，因為它是由SolarWinds數(shù)字簽名的，因此被認(rèn)為是可信的。最近，一個勒索軟件組織濫用了合法第三方驅(qū)動程序的漏洞，使受害者機器上運行的EDR失效。
　　
　　4.EDR很難管理和監(jiān)控
　　
　　要使EDR發(fā)揮最佳性能，需要大量的資源。平均一個EDR會產(chǎn)生大約11,000個安全警報，每天打開一個新的窗口，需要分析師花費令人頭疼的數(shù)小時從海量數(shù)據(jù)中篩選，其中許多是誤報。篩選警報可能會適得其反，而且令人厭煩，但毫無疑問，人工智能可以解決這個問題。嚴(yán)重的威脅可以躲過所有這些喋喋不休，讓攻擊者在受害者的環(huán)境中停留更長時間。
　　
　　不是EDR的失敗，而是整個網(wǎng)絡(luò)安全系統(tǒng)的失敗
　　
　　具有諷刺意味的是，EDR最大的缺點之一是它的反應(yīng)性太強。換句話說，威脅已經(jīng)到達(dá)或已經(jīng)在端點執(zhí)行，現(xiàn)在是EDR的責(zé)任來阻止它。
　　
　　事實是，從來沒有一個單一的失敗點，因為攻擊的每個階段都有機會阻止它。這就是為什么組織需要由SASE(安全訪問服務(wù)邊緣)等單通道云引擎提供端到端安全性的原因，SASE可以使用來自每個用戶、每個應(yīng)用程序和每個設(shè)備的網(wǎng)絡(luò)流，提供對網(wǎng)絡(luò)和端點活動的細(xì)粒度可見性。因為從防火墻到端點安全，再到web安全，再到云安全，一切都集成在云服務(wù)中，更容易管理和監(jiān)控各種攻擊面，并在潛在威脅出現(xiàn)時做出反應(yīng)。
　　
　　EDR仍然是檢測端點上惡意行為的強大獨立工具。也就是說，現(xiàn)代惡意軟件正在不斷進化，甚至可以避開像EDR這樣的高級防御。組織需要能夠檢測并阻止高級持續(xù)性威脅的同步端到端系統(tǒng)，即使其中一個安全層未能檢測到惡意活動。