端點,網路中的任何設備,包含存取網路、資料出發地與目的地。
在網路的世界中,會有起點跟終點,比如說我們使用電腦連到網路之後並且打開網站。
我的電腦 = 端點,起點
網站伺服器 = 端點,終點
因為端點是駭客入侵常見的入口,因此保護端點也是企業需要注意的內容。
而且因為企業網路的越來越複雜和遠端工作越來越普及,端點的數量和多樣性也在一直增加。
第一道防線:端點往往是駭客試圖獲取系統存取權限的第一個目標,因為通常與外部網路直接相連,且使用者經常直接與其互動。
多樣化的威脅:從釣魚郵件、惡意連結到惡意下載,端點面臨著各種形式的攻擊。
遠端工作的挑戰:隨著遠端工作的普及,員工可能使用不夠安全的家用網路或公共Wi-Fi,這增加了端點受到攻擊的風險。
資料洩露的風險:端點往往儲存或處理敏感資料,如個人資訊、商業機密等,這使其成為駭客的主要目標。
複雜的IT環境:現今的企業可能使用各種操作系統、應用程式和硬體。這種多樣性使得端點的保護策略更加複雜。
因此,有效地保護端點不僅可以阻止駭客進入企業網路,還可以保護企業的重要資產,降低資料洩露的風險,確保公司可以正常營運。
端點安全從地端個人電腦上升到雲端的伺服器
在雲端上的端點安全,許多公有雲會提供相關的雲端防禦軟體,包含雲端的 WAF、雲端的偵測系統。
在雲端上面的伺服器也可以自行安裝防毒軟體或是選擇其他的解決方案。
這些主機可能會被廠商安裝 Agent ,Agent 在端點上的應用包括:資產管理、遠端診斷、自動化軟體更新等。
Agent 在背景執行的軟體或服務,這個程式會負責執行某些特定的任務或在特定的情況下回應。
Agent 的工作原理是在目標系統上持續執行,通常會:
部署 Agent 的常見方法
遠端安裝:
集中部署工具:
手動安裝:
不同的廠商可能會提供具有不同功能和特性的 EDR、XDR和MDR 解決方案
功能/屬性 | EDR | XDR | MDR |
---|---|---|---|
定義 | 專注於端點的檢測和回應技術。 | 跨多種產品和平台的檢測和回應技術。 | 提供的檢測和回應服務由第三方安全專家管理。 |
覆蓋範圍 | 主要是端點(例如:電腦、伺服器) | 跨端點、網路、雲、郵件等所有層面 | 通常包括EDR或XDR加上其他安全服務。 |
自動化 | 有限的自動回應能力 | 更進階的自動化和整合功能 | 取決於廠商,但通常具有高度的自動化 |
人工介入 | 通常需要組織內部IT或安全團隊的介入 | 可能需要但比EDR少 | 由廠商的專家團隊提供 |
資料來源 | 來自端點的資料 | 來自多種來源(端點、網路、雲等)的資料 | 取決於具體的解決方案,但可能包括多種來源 |
整合 | 通常與其他安全解決方案分開 | 設計為與多種安全產品和解決方案整合 | 可以是自帶的,也可以是與其他解決方案整合 |
目的 | 提供端點的視覺化和檢測威脅 | 提供全面的威脅檢測和回應 | 提供外包的檢測和回應服務 |
APT 攻擊 (Advanced Persistent Threats): 這是一種長期而有目的性的攻擊。駭客通常會悄悄地進入網路,並在裡面進行活動,可能數月甚至數年都不被發現。他們的目的可能是偷取資料或監控使用者行為,而不是立刻造成損壞。
與檔案無關的惡意軟體/惡意執行程式 (Fileless Malware): 傳統的惡意軟體通常需要安裝或下載到目標系統上,但與檔案無關的惡意軟體則不需要。它使用正常的系統工具進行攻擊,這使得它更難被檢測。
供應鏈攻擊 (Supply Chain Attacks): 這種攻擊是指駭客通過攻擊組織的供應鏈來進行攻擊。這可能包括感染軟體更新或操縱硬體設備。一個著名的例子是 SolarWinds 攻擊。
2014 年
Sony Pictures Entertainment
駭客組織 Guardians of Peace
事件說明:他們不僅突破了Sony的網路防禦,還竊取了大量的敏感資料,包括未發布的電影、劇本、員工個人資訊、內部電子郵件以及其他業務文件。
如何在端點上進行的:
初始入侵:駭客透過釣魚郵件進行初始入侵,利用員工的誤點或不小心下載了帶有惡意軟體的附件。
橫向移動:一旦駭客成功入侵某一端點,他們會利用該端點上的權限或工具來在內部網路中進行橫向移動,尋找更多的目標或資訊。
資料探勘:駭客會搜尋和收集對他們有價值的資料,如電影、劇本、內部通訊等。
資料外洩:在找到所需的資訊後,駭客開始將大量資料外洩至公開網路,這對Sony Pictures造成了巨大的財務和聲譽損失。
威脅和破壞:駭客還發送了威脅信,要求Sony停止發布一部涉及北韓領導人的喜劇電影,並對Sony的IT基礎設施進行了破壞性攻擊,使其部分系統陷入癱瘓。
日期 | 事件描述 |
---|---|
2020年12月9日 | FireEye紅隊測試工具外流 |
2020年12月13日 | CISA針對SolarWinds Orion發布緊急指令,FireEye揭露發現Sunburst惡意程式 |
2020年12月13-14日 | 路透社與華爾街日報披露美國財政部與商務部遭供應鏈攻擊 |
2020年12月15-18日 | 第二支惡意程式Supernova被揭露 |
2020年12月17日 | 微軟、FireEye與GoDaddy聯手打造該攻擊的銷毀開關 |
2020年12月17日 | 微軟揭露潛在受害者 |
2020年12月31日 | 微軟證實SolarWinds駭客存取其原始碼 |
2021年1月5日 | 美國CISA、DNI與NSA調查報告猜測攻擊者來自俄羅斯 |
2021年1月6日 | 美國司法部證實遭駭 |
2021年1月11日 | SolarWinds調查報告公布指出攻擊源頭為Sunspot |
2021年1月13日 | CISA指出繞過雲端服務多因素驗證的攻擊案例 |
2021年1月19日 | FireEye釋出針對Microsoft 365補救措施 |
2021年1月19日 | Malwarebytes表示自己也遭駭 |
2021年1月22日 | 微軟揭露攻擊者在第二階段所採取的攻擊行動 |
2021年2月18日 | 微軟內部調查最後更新揭露 |
2021年3月4日 | FireEye、微軟揭露新發現的惡意程式Sunshuttle後門 |
不安全的設定:雲端設定的複雜性可能導致安全疏忽,如公開的儲存桶或不當的權限設定。