top of page
作家相片Alisha Smith

5個EDR的最佳實踐案例

當資安防護措施失效時,這五個關鍵行動可以拯救您

攻擊者變得越來越隱蔽,他們的方法不斷發展,以至於他們的攻擊可以逃避更先進的預防性網路安全防禦。本篇文章提供了端點偵測和回應 (EDR) 可以幫助您識別和阻止複雜攻擊的應用範例。


什麼是端點檢測和響應 (EDR)?

端點偵測和回應 (EDR) 是一種整合的端點安全解決方案,它將端點資料的即時連續監控和收集與基於規則的自動回應和分析功能相結合。


EDR 提供了繼傳統防毒甚至下一代防毒 (NGAV) 保護之後的第二道防線,隨著攻擊者使用先進技術規避第一道防線,人們越來越需要第二道防線。 EDR 使安全團隊能夠快速偵測和回應進階攻擊,找出攻擊者如何滲透環境,並且(與 NGAV 和其他一些解決方案一起部署時)可以設定策略以防止將來發生類似攻擊。


端點受到攻擊的部分原因是人們所在的地方,而人們很容易受到社會工程、網路釣魚和其他利用忙碌、分心的用戶的攻擊。 (事實上,人為因素 在 74% 的違規行為中發揮了作用。)端點本身的漏洞(包括過時的軟體和作業系統)進一步使組織容易受到攻擊。


EDR 透過充當安全網來防禦所有這些威脅,幫助您捕捉繞過端點保護的威脅,並使您能夠迅速、有效率地做出回應。


EDR 實踐範例:安全團隊的進階操作

EDR 解決方案使安全團隊能夠參與進階偵測和回應活動,如果沒有 EDR 的幫助,這些活動將變得困難、耗時且隨意。 EDR 範例以及 EDR 支援的進階功能包括事件回應、遠端修復、警報分類/視覺化、威脅搜尋和取證調查。


事件回應

能否對偵測到的網路安全事件做出快速且充滿信心的回應,可以區分對業務的最小幹擾和災難性損害。正確的事件響應 (IR) 策略和戰術對於限制攻擊的爆炸半徑至關重要。根據 2023 年資料外洩成本報告,更快識別和回應外洩的最有效的 IR 策略是組建一個 IR 團隊並在實施之前測試您的 IR 計劃。報告稱,這樣做可以將識別違規行為所需的時間縮短 54 天。 雖然有效的 IR 計劃和程序至關重要,但擁有正確的資訊來採取行動也很重要,這意味著您的安全堆疊中擁有正確的組件。這就是 EDR 解決方案的用武之地。這將為您的 IR 團隊提供端點活動記錄系統,以追蹤已識別威脅的證據並偵測行為模式。高級 EDR 提供 IR 團隊有效完成工作所需的可見性和上下文 - 傳統防毒甚至許多端點保護解決方案根本無法提供的可操作的見解。 EDR 供應商應透過一系列模型提供 EDR 保護,從本地部署到混合環境和託管服務。


遠端修復

我們之前指出,一旦偵測到威脅,迅速果斷地採取行動是多麼重要。在安全和 SOC 團隊成員在多個地點(包括家庭辦公室)工作的時代,這可能具有挑戰性。詢問 EDR 供應商,他們的解決方案是否允許您的團隊從世界任何地點安全、快速地執行全面調查和修復。


例如,先進的解決方案將利用雲端原生架構,為管理員提供一個遠端 shell,直接提供整個企業每個端點的可見性——當團隊需要盡快回應受感染的主機時,這是一項關鍵功能。


警報分類/可視化

詢問任何 SOC 團隊成員,他們都會確認:警報疲勞確實存在。對抗警報疲勞最重要的功能之一是視覺化,使分析師能夠對警報進行分類。借助正確的工具,分析人員可以快速輕鬆地了解和消化攻擊序列期間發生的情況。這有助於制定策略以防止類似的攻擊再次發生。


探索每個 EDR 供應商提供的警報視覺化功能是個好主意。尋找能夠直觀地表示與警報相關的所有事件的解決方案。您應該能夠選擇單一流程或事件來查看聲譽、TTP(策略、技術和程序)、使用的命令列和其他資訊。視覺化應提供有關警報期間發生的事件的可操作信息,包括應用預防的位置、來源以及攻擊者可能正在嘗試的內容。你應該滿足於一切。


威脅狩獵

威脅追蹤對產業來說並不新鮮,但對於許多安全團隊來說,尤其是那些剛接觸 EDR 的團隊來說,這絕對是一個新概念。威脅狩獵是對公有和私有雲伺服器、端點和網路內的妥協指標 (IOC) 的追求。這些 IOC 可以發出妥協、入侵或資料外洩的訊號。


威脅搜尋與事件回應不同,因為威脅搜尋是 主動的,而事件回應是 被動的。然而,這兩個角色是齊頭並進的。事實上,許多安全團隊都會指派員工來執行威脅搜尋的任務。通常,這些人都是成功的事件回應者,他們的經驗可以幫助他們準確地確定攻擊者的行為方式以及下一步可能會做什麼。


為了簡化威脅搜尋並確保其有效性,請尋找能夠收集全面資料和廣泛威脅情報的解決方案,為您提供主動搜尋威脅、發現可疑行為、中斷正在進行的攻擊、快速修復損壞、管理漏洞和解決問題所需的所有資訊。卓越的解決方案可讓您搜尋原始的未經過濾的端點數據,即使端點處於離線狀態。透過建立自動監視列表,您應該能夠在大型企業中擴展搜尋範圍,並且永遠不會兩次搜尋相同的威脅。


鑑識調查

找出入侵是如何發生的,包括識別 TTP 和了解攻擊者所採取的路徑,對於防止未來發生類似攻擊至關重要。這就是廣泛的可見性發揮作用的地方:取證調查人員訪問的數據越多,他們的分析就越徹底。


您的 EDR 解決方案應該能夠視覺化整個攻擊鏈。這使得更容易確定事件的根本原因。分析師還應該能夠快速跳過攻擊的每個階段,以深入了解攻擊者的行為,縮小安全漏洞,並從每種新穎的攻擊技術中學習。

攻擊視覺化範例,是 Carbon Black EDR 支援的取證調查案例的一部分。
攻擊視覺化範例, Carbon Black EDR 支援的取證調查案例的一部分。

Carbon Black EDR:進階威脅需要進階防禦

威脅演變得如此之快,您可能會考慮部署 EDR——如果不是現在,也會很快。上述範例都構成了在 EDR 平台中做出策略選擇的論點。對於越來越多的組織來說,選擇的是 Carbon Black 廣受好評的 EDR 解決方案,它是 EDR 的先驅,現在是 Broadcom 企業安全組解決方案組合的一部分


Carbon Black EDR 透過為安全團隊提供全面、整合的方法來偵測和回應進階攻擊。您將立即獲得最完整的攻擊情況,將冗長的調查從幾天縮短到幾分鐘——當分秒必爭時,這是一個至關重要的優勢。安全團隊可以主動尋找威脅、發現可疑行為、破壞主動攻擊並搶在攻擊者之前解決防禦漏洞。 Carbon Black EDR 強有力地支援這裡討論的每個範例用例——從事件回應、遠端修復和警報視覺化到威脅追蹤和取證調查。事實上,Carbon Black EDR 可提供所有端點可見性、上下文資訊(包括歸因、威脅參與者的詳細資訊以及其他攻擊資訊),以快速回應以限制損害並阻止橫向移動。 Carbon Black EDR 使命為追蹤攻擊者並使他們無處可藏。


親自了解 Carbon Black EDR 如何為您提供下一道防線。 請立即聯絡我們

Comments

Couldn’t Load Comments
It looks like there was a technical problem. Try reconnecting or refreshing the page.
bottom of page