端点安全性通常是第一道防线,但是攻击者可以使用复杂的技术绕过它。端点检测和响应(EDR)是被动的,这意味着它只能在威胁到达端点后才检测到威胁。这是一个缺点,因为它让攻击者有更多时间造成伤害。Cato Networks的高级安全策略总监Etay Maor解释了为什么组织需要一个分层的安全方法,包括EDR以及其他安全措施,如防火墙和入侵检测系统。单通道云引擎可以将所有这些措施集成到一个平台中。
终端已经成为现代企业风险的中心。从用户到设备,从业务应用程序到云工作负载,每种类型的企业数据都流经端点。更重要的是,随着远程工作的加快和大量物联网设备连接到企业网络,监控每个端点的安全性和可见性变得极具挑战性。
在过去的几年中,EDR已被部署用于检测端点的恶意活动,并帮助防御勒索软件等高级威胁。然而,最近的证据显示,EDR既不能防黑客,也不能完全有效地应对高级持续性威胁(apt)。让我们了解EDR的不足之处,以及为什么仅靠端点安全性不足以保护组织。
1.终端安全通常是第一个被规避的
根据美国网络安全和基础设施局(cisaa)的说法,为了获得初始访问权限,威胁行为者通常会利用配置错误的系统、糟糕的员工操作(弱密码、不安全的互联网活动和浏览行为等)和薄弱的安全控制(未打补丁的软件、开放的RDP端口等)。
在恶意行为者作为其发现和侦察行动的一部分实现访问后,apt通常会识别应该避免的系统和流程。当然,端点安全软件在该列表中排名靠前,因为攻击者希望确保他们不被抓住。因此,攻击者利用许多规避策略,如篡改或混合,来绕过EDR防御。最近,一个勒索软件组织被发现利用这种复杂的技术来绕过完善的EDR控制。
2.EDR易受特权升级攻击
EDR策略通常依赖于在端点上运行流程或服务来收集数据、检测威胁和响应事件。获得对端点的管理访问权限的攻击者可以禁用这些进程,从而使EDR系统失效。不要忘记,80%的安全漏洞涉及某种权限升级。因此,如果攻击者从暗网和社会工程师那里购买凭据,或者暴力破解用户凭据,他们就可以轻松地迈出第一步。他们通过破坏软件中的漏洞(例如,Windows和Linux)和错误配置来获得特权访问。接下来,他们可能会运行脚本来阻止端点安全性或使用管理权限禁用EDR保护。
具有特权访问权限的攻击者只需在启动关联服务之前以安全模式重新启动设备并重命名应用程序目录,就可以远程禁用端点安全性。在最近的另一个例子中,攻击者利用AI合成一个多态键盘记录器,该键盘记录器使用合法通道(例如,MicrosoftTeams)向攻击者发送用户名和密码。EDR没有检测到攻击,因为该技术没有利用任何类型的指挥和控制基础设施。
3.EDR可能通过供应链受到损害
大多数EDR要求软件由供应商签名,否则它们将被标记为不受信任;在某些情况下,如果应用程序没有签名,它们的执行将被完全阻止。如果攻击者以某种方式破坏了这个代码签名证书,安全产品将盲目地信任应用程序,甚至允许被破坏的软件在没有任何检查的情况下运行。导致美国主要政府机构和科技公司遭到入侵的Sunburst攻击就是出于这个原因。尽管许多受害者都安装了复杂的端点安全系统,但它未能检测到恶意更新包,因为它是由SolarWinds数字签名的,因此被认为是可信的。最近,一个勒索软件组织滥用了合法第三方驱动程序的漏洞,使受害者机器上运行的EDR失效。
4.EDR很难管理和监控
要使EDR发挥最佳性能,需要大量的资源。平均一个EDR会产生大约11,000个安全警报,每天打开一个新的窗口,需要分析师花费令人头疼的数小时从海量数据中筛选,其中许多是误报。筛选警报可能会适得其反,而且令人厌烦,但毫无疑问,人工智能可以解决这个问题。严重的威胁可以躲过所有这些喋喋不休,让攻击者在受害者的环境中停留更长时间。
不是EDR的失败,而是整个网络安全系统的失败
具有讽刺意味的是,EDR最大的缺点之一是它的反应性太强。换句话说,威胁已经到达或已经在端点执行,现在是EDR的责任来阻止它。
事实是,从来没有一个单一的失败点,因为攻击的每个阶段都有机会阻止它。这就是为什么组织需要由SASE(安全访问服务边缘)等单通道云引擎提供端到端安全性的原因,SASE可以使用来自每个用户、每个应用程序和每个设备的网络流,提供对网络和端点活动的细粒度可见性。因为从防火墙到端点安全,再到web安全,再到云安全,一切都集成在云服务中,更容易管理和监控各种攻击面,并在潜在威胁出现时做出反应。
EDR仍然是检测端点上恶意行为的强大独立工具。也就是说,现代恶意软件正在不断进化,甚至可以避开像EDR这样的高级防御。组织需要能够检测并阻止高级持续性威胁的同步端到端系统,即使其中一个安全层未能检测到恶意活动。
