關(guān)于欺騙技術(shù)和EDR的4件事

鄭偉

許多人提倡網(wǎng)絡(luò)安全之戰(zhàn)在終點進行。完全保護這些設(shè)備，攻擊者無法推進攻擊。這種信念引發(fā)了新的興趣，并專注于從端點保護（EPP）轉(zhuǎn)向端點檢測和響應(yīng)解決方案（EDR）以及托管檢測和響應(yīng)（MDR）解決方案。

威脅形勢正在迅速變化，組織的防御也需要隨之改變。最新一代的復(fù)雜攻擊者已經(jīng)證明他們可以逃避反病毒解決方案并繞過傳統(tǒng)的外圍防御。鑒于他們能夠定期妥協(xié)網(wǎng)絡(luò)，因此在“深度防御”戰(zhàn)略中進行分層包括預(yù)防、檢測和響應(yīng)變得比以往任何時候都更加重要。在許多情況下，預(yù)測措施也成為一個因素，增加了收集威脅情報的需要，這可能已經(jīng)被先前的預(yù)防方法所拋棄。

與端點保護解決方案不同，EDR不僅僅是單一產(chǎn)品或簡單的工具集。該術(shù)語涵蓋了一系列功能，將監(jiān)控、分析、報告、響應(yīng)和取證功能結(jié)合到一套旨在響應(yīng)高技能攻擊者的防御中。通過在端點上放置傳感器和響應(yīng)功能，這些系統(tǒng)可以在攻擊發(fā)揮作用時識別并阻止攻擊者。許多EDR解決方案中的取證功能還有助于捕獲威脅情報并分析攻擊以識別其現(xiàn)有防御中的弱點。

盡管在EDR中發(fā)現(xiàn)了許多豐富內(nèi)容，但完整的縱深防御戰(zhàn)略需要更多。來自Carbon Black，Cisco，CrowdStrike，Cybereason，F(xiàn)ireEye，Symantec，Tanium等主要供應(yīng)商的EDR解決方案仍然存在與檢測網(wǎng)絡(luò)內(nèi)威脅，端點資產(chǎn)的發(fā)現(xiàn)和庫存，安全控制之間的信息共享相關(guān)的差距，以及最小化響應(yīng)時間的過程。補充技術(shù)可以彌補許多這些差距。

欺騙技術(shù)與EDR平臺部署可以在關(guān)閉這些風(fēng)險中發(fā)揮重要作用。大多數(shù)人會認(rèn)為欺騙是早期準(zhǔn)確檢測威脅及其在減少攻擊者停留時間方面的作用的有效手段。但是，借助先進的分布式欺騙平臺（DDP），組織還可以獲得可見性、資產(chǎn)發(fā)現(xiàn)和信息共享自動化。

以下是欺騙技術(shù)在使用EDR平臺進行深度防御時，所稱的“自適應(yīng)防御”時增加顯著價值的4個方面。

網(wǎng)內(nèi)檢測和可見性

欺騙技術(shù)通過快速檢測網(wǎng)絡(luò)中橫向移動的威脅，憑證盜竊以及其他形式的復(fù)雜攻擊（如中間人妥協(xié)）來增強EDR防御。通過巧妙制作的誘餌創(chuàng)建合成攻擊面，該誘餌旨在鏡像生產(chǎn)資產(chǎn)，組織創(chuàng)建一個攻擊者無法區(qū)分欺騙和真實設(shè)備的環(huán)境。這不僅會使他們遠(yuǎn)離合法目標(biāo)，還會誘使他們參與欺騙環(huán)境，從而提高他們存在的實時警報。

檢測策略包括以偽造憑證、文件共享、模仿服務(wù)和誘餌數(shù)據(jù)的形式將面包屑放置在端點上，這些數(shù)據(jù)可以快速誘使攻擊者進入欺騙環(huán)境，在他們不知情的情況下記錄和研究他們的行為。

端點的發(fā)現(xiàn)和跟蹤

為了準(zhǔn)備、部署和操作欺騙，現(xiàn)代DDP使用機器自學(xué)習(xí)來了解網(wǎng)絡(luò)上和網(wǎng)絡(luò)外的新設(shè)備及其配置文件和屬性。該信息最初是為創(chuàng)建真實性而設(shè)計的，它還為安全團隊提供對網(wǎng)絡(luò)添加和更改的強大知識。事實證明，這對于檢測未經(jīng)授權(quán)的個人設(shè)備，物聯(lián)網(wǎng)和其他安全性較低的網(wǎng)絡(luò)設(shè)備或添加了惡意意圖的設(shè)備非常有用。除了設(shè)備可見性外，平臺還具有對暴露的憑證攻擊路徑發(fā)出警報的能力。暴露和孤立憑證以及系統(tǒng)錯誤配置通常是攻擊者獲得立足點所需的開放。

信息共享

通過使用高交互誘餌，安全團隊可以收集攻擊者的詳細(xì)取證分析。在初步檢測之后，欺騙技術(shù)可以安全地收集并自動關(guān)聯(lián)攻擊者TTP、IOC和反間諜，以深入了解攻擊者的能力、目標(biāo)以及他們想要泄露的信息。信息可以自動與EDR解決方案共享和使用，加快事故處理、威脅狩獵和補救。

自動事件響應(yīng)

DDP解決方案現(xiàn)在還將促進事件響應(yīng)的自動化，這對于高嚴(yán)重性的警報至關(guān)重要。通過本機集成，安全團隊可以設(shè)置欺騙平臺，以自動觸發(fā)端點隔離，阻止和威脅搜尋，從而阻止攻擊蔓延的關(guān)鍵時間及其可能造成的傷害。一些解決方案還將與EDR管理工具集成，進一步簡化了對威脅的查看和響應(yīng)。

與傳統(tǒng)的邊界防御和端點上的EDR相結(jié)合，欺騙平臺補充并增強了縱深防御策略，使攻擊者的工作更加困難，并且起到威懾作用，驅(qū)使他們追求更容易的目標(biāo)。