關于欺騙技術和EDR的4件事

鄭偉

許多人提倡網絡安全之戰在終點進行。完全保護這些設備，攻擊者無法推進攻擊。這種信念引發了新的興趣，并專注于從端點保護（EPP）轉向端點檢測和響應解決方案（EDR）以及托管檢測和響應（MDR）解決方案。

威脅形勢正在迅速變化，組織的防御也需要隨之改變。最新一代的復雜攻擊者已經證明他們可以逃避反病毒解決方案并繞過傳統的外圍防御。鑒于他們能夠定期妥協網絡，因此在“深度防御”戰略中進行分層包括預防、檢測和響應變得比以往任何時候都更加重要。在許多情況下，預測措施也成為一個因素，增加了收集威脅情報的需要，這可能已經被先前的預防方法所拋棄。

與端點保護解決方案不同，EDR不僅僅是單一產品或簡單的工具集。該術語涵蓋了一系列功能，將監控、分析、報告、響應和取證功能結合到一套旨在響應高技能攻擊者的防御中。通過在端點上放置傳感器和響應功能，這些系統可以在攻擊發揮作用時識別并阻止攻擊者。許多EDR解決方案中的取證功能還有助于捕獲威脅情報并分析攻擊以識別其現有防御中的弱點。

盡管在EDR中發現了許多豐富內容，但完整的縱深防御戰略需要更多。來自Carbon Black，Cisco，CrowdStrike，Cybereason，FireEye，Symantec，Tanium等主要供應商的EDR解決方案仍然存在與檢測網絡內威脅，端點資產的發現和庫存，安全控制之間的信息共享相關的差距，以及最小化響應時間的過程。補充技術可以彌補許多這些差距。

欺騙技術與EDR平臺部署可以在關閉這些風險中發揮重要作用。大多數人會認為欺騙是早期準確檢測威脅及其在減少攻擊者停留時間方面的作用的有效手段。但是，借助先進的分布式欺騙平臺（DDP），組織還可以獲得可見性、資產發現和信息共享自動化。

以下是欺騙技術在使用EDR平臺進行深度防御時，所稱的“自適應防御”時增加顯著價值的4個方面。

網內檢測和可見性

欺騙技術通過快速檢測網絡中橫向移動的威脅，憑證盜竊以及其他形式的復雜攻擊（如中間人妥協）來增強EDR防御。通過巧妙制作的誘餌創建合成攻擊面，該誘餌旨在鏡像生產資產，組織創建一個攻擊者無法區分欺騙和真實設備的環境。這不僅會使他們遠離合法目標，還會誘使他們參與欺騙環境，從而提高他們存在的實時警報。

檢測策略包括以偽造憑證、文件共享、模仿服務和誘餌數據的形式將面包屑放置在端點上，這些數據可以快速誘使攻擊者進入欺騙環境，在他們不知情的情況下記錄和研究他們的行為。

端點的發現和跟蹤

為了準備、部署和操作欺騙，現代DDP使用機器自學習來了解網絡上和網絡外的新設備及其配置文件和屬性。該信息最初是為創建真實性而設計的，它還為安全團隊提供對網絡添加和更改的強大知識。事實證明，這對于檢測未經授權的個人設備，物聯網和其他安全性較低的網絡設備或添加了惡意意圖的設備非常有用。除了設備可見性外，平臺還具有對暴露的憑證攻擊路徑發出警報的能力。暴露和孤立憑證以及系統錯誤配置通常是攻擊者獲得立足點所需的開放。

信息共享

通過使用高交互誘餌，安全團隊可以收集攻擊者的詳細取證分析。在初步檢測之后，欺騙技術可以安全地收集并自動關聯攻擊者TTP、IOC和反間諜，以深入了解攻擊者的能力、目標以及他們想要泄露的信息。信息可以自動與EDR解決方案共享和使用，加快事故處理、威脅狩獵和補救。

自動事件響應

DDP解決方案現在還將促進事件響應的自動化，這對于高嚴重性的警報至關重要。通過本機集成，安全團隊可以設置欺騙平臺，以自動觸發端點隔離，阻止和威脅搜尋，從而阻止攻擊蔓延的關鍵時間及其可能造成的傷害。一些解決方案還將與EDR管理工具集成，進一步簡化了對威脅的查看和響應。

與傳統的邊界防御和端點上的EDR相結合，欺騙平臺補充并增強了縱深防御策略，使攻擊者的工作更加困難，并且起到威懾作用，驅使他們追求更容易的目標。