很多人最终会主张争取网络安全。这些设备受到完全保护,攻击者无法推动攻击。这种信念唤醒了人们的新兴趣,并专注于从端点保护(EPP)转向端点检测和响应(EDR)以及托管检测和响应(MDR)解决方案。
关于作弊技术和EDR的四件事
威胁形势正在迅速变化,组织的防御需求也将发生变化。最新一代的复杂攻击者已经证明它可以逃避防病毒解决方案并绕过传统的外围防御。鉴于其定期参与网络的能力,“深度防御”战略的分层包括预防,检测和响应比以往任何时候都更加重要。在许多情况下,预测措施也成为增加收集威胁信息的需要的一个因素,这些信息可能已被先前的预防方法所放弃。
与端点保护解决方案不同,EDR不仅仅是一个简单的产品或一套简单的工具。该术语涵盖了一系列功能,这些功能将监控,分析,报告,响应和取证分析结合在一套旨在应对高技能攻击者的防御中。通过在端点处放置传感器和响应功能,这些系统可以在攻击者行动时识别并阻止他们。许多EDR解决方案中的取证功能还有助于捕获威胁情报并分析攻击,以识别其现有防御中的弱点。
尽管EDR中有许多丰富的内容,但完整的纵深防御战略需要更多。 EDR解决方案的主要供应商,如炭黑,思科,CrowdStrike,Cybereason,FireEye的,赛门铁克,Tanium等,仍然在网络中的空探测相关的信息交换,资产和库存的发现端点,安全控制和最小化响应时间的过程。互补技术可以弥补许多这些差距。
使用EDR平台部署的欺骗技术可以在弥补这些风险方面发挥重要作用。大多数人认为欺骗是检测早期威胁的有效手段,以及它们在减少攻击者停留时间方面的作用。但是,通过高级分布式模拟平台(DDP),组织还可以获得可见性,自动发现资产和交换信息。
以下是欺诈性技术如何在深入使用EDR平台时为所谓的“自适应防御”增加重要价值的四个方面。
网络内的检测和可见性。
身份盗窃技术通过快速检测网络中的水平移动,凭证被盗以及其他形式的复杂攻击(如中介)的威胁来改善EDR的防御。基于巧妙设计的诱饵创建合成攻击面,该诱饵旨在反映生产资产并创建一个攻击者无法区分身份盗用和真实设备的环境。这不仅使他们远离合法目标,而且还鼓励他们参与欺骗性环境,从而实时增加警报。检测策略包括将面包屑在伪造证件,文件共享服务,模仿和数据诱饵,能够迅速吸引攻击者的网络钓鱼的环境形式的终端,在这种情况下,他们可以,不知道它。记录并研究他们的行为。
发现和跟踪端点
为了准备,实施和操纵身份盗用,现代DDP使用自动自学习来了解网络内外的新设备及其配置文件和属性。该信息最初旨在创建真实性,还为安全团队提供了有关网络添加和更改的强大知识。事实证明,这对于检测未经授权的个人设备,物联网和其他不太安全的网络设备或具有恶意意图的设备非常有用。除了设备的可见性之外,平台还能够在暴露凭证的攻击路径上发出警报。暴露和孤立的凭据以及系统的错误配置通常是攻击者需要建立自己的开放性。
交换信息
通过使用高交互诱饵,安全团队可以收集攻击者的详细取证分析。初步检测后,网络钓鱼技术可以收集和安全相关TTP,国际奥委会和反间谍软件的攻击,以获取有关谁愿意透露的能力,目标和信息攻击者的信息。 IOC信息可以与EDR解决方案自动共享和使用,加速事件管理,威胁狩猎和补救。
自动响应事件。
DDP解决方案现在还可以自动响应事件,这对于高严重性警报至关重要。随着本地集成,安全团队可以建立一个平台,模拟自动激活端点,拦截和搜索威胁隔离,节省了关键时刻,并能防止攻击的传播可能造成的损坏。一些解决方案还将与EDR管理工具集成,以进一步简化威胁的查看和响应。
与边框和端点上,该平台模拟补充EDR的传统防御相结合,提高了深度防御的策略,阻碍了攻击者的工作,并经常阻止他们,是什么驱使他们追求更轻松的目标。
上海IT外包服务网 链接:http://www.linemore.com
中文
电话咨询
微信咨询
公众号
