iT邦幫忙

2023 iThome 鐵人賽

DAY 15
0
Security

資安這條路:系統化培養紫隊提升企業防禦能力系列 第 15

紫隊這條路 Day 15 端點安全策略與威脅檢測技術、EDR vs MDR vs XDR

  • 分享至 

  • xImage
  •  

端點

端點,網路中的任何設備,包含存取網路、資料出發地與目的地。

在網路的世界中,會有起點跟終點,比如說我們使用電腦連到網路之後並且打開網站。

我的電腦 = 端點,起點
網站伺服器 = 端點,終點

為什麼端點這麼重要

因為端點是駭客入侵常見的入口,因此保護端點也是企業需要注意的內容。

而且因為企業網路的越來越複雜和遠端工作越來越普及,端點的數量和多樣性也在一直增加。

  1. 第一道防線:端點往往是駭客試圖獲取系統存取權限的第一個目標,因為通常與外部網路直接相連,且使用者經常直接與其互動。

  2. 多樣化的威脅:從釣魚郵件、惡意連結到惡意下載,端點面臨著各種形式的攻擊。

  3. 遠端工作的挑戰:隨著遠端工作的普及,員工可能使用不夠安全的家用網路或公共Wi-Fi,這增加了端點受到攻擊的風險。

  4. 資料洩露的風險:端點往往儲存或處理敏感資料,如個人資訊、商業機密等,這使其成為駭客的主要目標。

  5. 複雜的IT環境:現今的企業可能使用各種操作系統、應用程式和硬體。這種多樣性使得端點的保護策略更加複雜。

因此,有效地保護端點不僅可以阻止駭客進入企業網路,還可以保護企業的重要資產,降低資料洩露的風險,確保公司可以正常營運。

端點的類型

  • 伺服器 Server
  • 個人電腦 PC
  • 主機 Host
  • 行動設備 Mobile Devices
    • 手機
    • 平板電腦
  • IoT 設備
    • 智慧冰箱
    • 智慧家居
  • 工作站 Workstations
  • 網路設備 Network Devices
    • 路由器
    • 交換器
    • 防火牆
  • 虛擬機 Virtual Machines

與端點相關的安全

  1. 安裝防毒軟體
  2. 安裝防火牆監控網路流量
  3. 安裝最新版本管理系統,確保軟體最新
    • 預防已知漏洞
  4. 加解密:保護資料儲存與傳輸過程中不會被攔截、竄改
  5. 設備控制與管理
    • 限制特定的設備連線或存取
  6. MDM 行動設備管理
    • 管理與保護企業當中的行動設備
  7. EDR
    • 即時監控端點
    • 如果發生事情的時候即時反應
  8. 多因素驗證
    • Google Authenticator
    • 微軟 Authenticator

目前企業的挑戰:雲端 vs 地端

端點安全從地端個人電腦上升到雲端的伺服器

在雲端上的端點安全,許多公有雲會提供相關的雲端防禦軟體,包含雲端的 WAF、雲端的偵測系統。

在雲端上面的伺服器也可以自行安裝防毒軟體或是選擇其他的解決方案。

端點是如何執行

這些主機可能會被廠商安裝 Agent ,Agent 在端點上的應用包括:資產管理、遠端診斷、自動化軟體更新等。

什麼是 Agent

Agent 在背景執行的軟體或服務,這個程式會負責執行某些特定的任務或在特定的情況下回應。

Agent 的原理

Agent 的工作原理是在目標系統上持續執行,通常會:

  1. 收集資料:例如,系統性能、應用程式的狀態或硬體的狀態。
  2. 接收指令:從中央伺服器或管理控制台接收指令或策略。
  3. 執行任務:基於接收到的指令或預定義的策略,例如,安裝更新、啟動或關閉服務等。
  4. 回報狀態:將執行結果或收集的資料回傳至中央伺服器或管理控制台。


如何部署 Agent

部署 Agent 的常見方法

  1. 遠端安裝:

    • 遠端安裝通常使用管理工具或指令腳本在遠端主機上部署和設定 Agent。此方法省去了到每台主機上進行單獨安裝的需要。
    • 優點:可大規模部署、少人工干預、可以在短時間內快速部署。
    • 缺點:需要有適當的遠端存取權限,某些環境下可能會遇到兼容性問題。
  2. 集中部署工具:

    • 有專門的集中式管理平台,用來發布、更新和管理遠端主機上的 Agent。
    • 優點:集中管理,易於更新和維護、通常提供日誌和監控功能。
    • 缺點:需要專業知識,且可能需要購買和維護集中式的管理平台。
  3. 手動安裝:

    • 這是最基本的安裝方法,通常涉及到在每台主機上單獨運行安裝程序。
    • 優點:對於小型網路或特定設備,這可能是最簡單的選擇。
    • 缺點:不適合大規模部署,需要大量的人工操作。
    • 需要精細調整或特定設定的情境下,可能會選擇此方法。
  • 部署過程中
    • 安全性
    • 兼容性
    • 網路的狀態
    • 目的:以確保 Agent 的順利部署和高效執行。

資安廠商推陳出新

  1. EDR (Endpoint Detection and Response)
  2. XDR (Extended Detection and Response)
  3. MDR (Managed Detection and Response)

不同的廠商可能會提供具有不同功能和特性的 EDR、XDR和MDR 解決方案

功能/屬性 EDR XDR MDR
定義 專注於端點的檢測和回應技術。 跨多種產品和平台的檢測和回應技術。 提供的檢測和回應服務由第三方安全專家管理。
覆蓋範圍 主要是端點(例如:電腦、伺服器) 跨端點、網路、雲、郵件等所有層面 通常包括EDR或XDR加上其他安全服務。
自動化 有限的自動回應能力 更進階的自動化和整合功能 取決於廠商,但通常具有高度的自動化
人工介入 通常需要組織內部IT或安全團隊的介入 可能需要但比EDR少 由廠商的專家團隊提供
資料來源 來自端點的資料 來自多種來源(端點、網路、雲等)的資料 取決於具體的解決方案,但可能包括多種來源
整合 通常與其他安全解決方案分開 設計為與多種安全產品和解決方案整合 可以是自帶的,也可以是與其他解決方案整合
目的 提供端點的視覺化和檢測威脅 提供全面的威脅檢測和回應 提供外包的檢測和回應服務

端點威脅的新型挑戰

  1. APT 攻擊 (Advanced Persistent Threats): 這是一種長期而有目的性的攻擊。駭客通常會悄悄地進入網路,並在裡面進行活動,可能數月甚至數年都不被發現。他們的目的可能是偷取資料或監控使用者行為,而不是立刻造成損壞。

  2. 與檔案無關的惡意軟體/惡意執行程式 (Fileless Malware): 傳統的惡意軟體通常需要安裝或下載到目標系統上,但與檔案無關的惡意軟體則不需要。它使用正常的系統工具進行攻擊,這使得它更難被檢測。

  3. 供應鏈攻擊 (Supply Chain Attacks): 這種攻擊是指駭客通過攻擊組織的供應鏈來進行攻擊。這可能包括感染軟體更新或操縱硬體設備。一個著名的例子是 SolarWinds 攻擊。

APT 攻擊:Sony Pictures Entertainment (2014)

  • 來源 ATT&CK Lazarus Group

  • 2014 年

  • Sony Pictures Entertainment

  • 駭客組織 Guardians of Peace

    • 被認為與北韓有關
  • 事件說明:他們不僅突破了Sony的網路防禦,還竊取了大量的敏感資料,包括未發布的電影、劇本、員工個人資訊、內部電子郵件以及其他業務文件。

如何在端點上進行的:

  1. 初始入侵:駭客透過釣魚郵件進行初始入侵,利用員工的誤點或不小心下載了帶有惡意軟體的附件。

  2. 橫向移動:一旦駭客成功入侵某一端點,他們會利用該端點上的權限或工具來在內部網路中進行橫向移動,尋找更多的目標或資訊。

  3. 資料探勘:駭客會搜尋和收集對他們有價值的資料,如電影、劇本、內部通訊等。

  4. 資料外洩:在找到所需的資訊後,駭客開始將大量資料外洩至公開網路,這對Sony Pictures造成了巨大的財務和聲譽損失。

  5. 威脅和破壞:駭客還發送了威脅信,要求Sony停止發布一部涉及北韓領導人的喜劇電影,並對Sony的IT基礎設施進行了破壞性攻擊,使其部分系統陷入癱瘓。

SolarWinds

日期 事件描述
2020年12月9日 FireEye紅隊測試工具外流
2020年12月13日 CISA針對SolarWinds Orion發布緊急指令,FireEye揭露發現Sunburst惡意程式
2020年12月13-14日 路透社與華爾街日報披露美國財政部與商務部遭供應鏈攻擊
2020年12月15-18日 第二支惡意程式Supernova被揭露
2020年12月17日 微軟、FireEye與GoDaddy聯手打造該攻擊的銷毀開關
2020年12月17日 微軟揭露潛在受害者
2020年12月31日 微軟證實SolarWinds駭客存取其原始碼
2021年1月5日 美國CISA、DNI與NSA調查報告猜測攻擊者來自俄羅斯
2021年1月6日 美國司法部證實遭駭
2021年1月11日 SolarWinds調查報告公布指出攻擊源頭為Sunspot
2021年1月13日 CISA指出繞過雲端服務多因素驗證的攻擊案例
2021年1月19日 FireEye釋出針對Microsoft 365補救措施
2021年1月19日 Malwarebytes表示自己也遭駭
2021年1月22日 微軟揭露攻擊者在第二階段所採取的攻擊行動
2021年2月18日 微軟內部調查最後更新揭露
2021年3月4日 FireEye、微軟揭露新發現的惡意程式Sunshuttle後門

雲端安全

  • 不安全的設定:雲端設定的複雜性可能導致安全疏忽,如公開的儲存桶或不當的權限設定。

    • 有些企業未正確設定他們的Amazon S3 bucket,結果造成了資料洩露。
    • 另一個常見的問題是權限過大,允許駭客從僅受限制的資源存取整個雲端環境,造成很大的問題(挖礦)。

新技術的加入:AI

  • AI於端點安全的運用:通過機器學習,AI能夠學習和識別威脅行為,即使是以前從未見過的。例如,資安廠商可能使用AI來分析大量的系統日誌,以識別不尋常的或可疑的模式。這有助於快速識別和回應新的、先前未知的威脅。

上一篇
紫隊這條路 Day 14 SSDLC Secure Software Development Life Cycle 安全軟體開發生命週期
下一篇
紫隊這條路 Day 16 資安 baseline 基準:確保企業最低安全標準的重要性和範例
系列文
資安這條路:系統化培養紫隊提升企業防禦能力30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言