很多人最终会提倡网络安全之战。这些设备受到完全保护，攻击者无法推动攻击。这种信念引发了新的兴趣，并专注于从端点保护（EPP）转向端点检测和响应（EDR）以及托管检测和响应（MDR）解决方案。
关于欺骗技术和EDR的四件事
威胁形势正在迅速变化，组织的防御需求也将发生变化。最新一代的复杂攻击者已经证明他们可以逃避反病毒解决方案并绕过传统的外围防御。鉴于他们能够定期妥协网络，“深度防御”战略中的分层包括预防，检测和响应变得比以往任何时候都更加重要。在许多情况下，预测措施也成为增加收集威胁情报需求的一个因素，这可能已被先前的预防方法所抛弃。
与端点保护解决方案不同，EDR不仅仅是单个产品或简单的工具集。该术语涵盖了一系列功能，这些功能将监控，分析，报告，响应和取证结合到一组旨在响应高技能攻击者的防御中。通过在端点上放置传感器和响应功能，这些系统可以在攻击者行动时识别并阻止他们。许多EDR解决方案中的取证功能还有助于捕获威胁情报并分析攻击，以识别其现有防御中的弱点。
尽管在EDR中发现了许多丰富的内容，但完整的纵深防御战略需要更多。来自Carbon Black，Cisco，CrowdStrike，Cybereason，FireEye，Symantec，Tanium等主要供应商的EDR解决方案仍然存在与检测网络内信息共享，端点资产和库存发现，安全控制以及过程相关的差距。最小化响应时间。互补技术可以弥补许多这些差距。
使用EDR平台部署的欺骗技术可以在弥补这些风险方面发挥重要作用。大多数人认为欺骗是早期发现威胁的有效手段，也是减少攻击者停留时间的重要手段。但是，借助先进的分布式欺骗平台（DDP），组织还可以获得可见性，自动化资产发现和信息共享。
以下是欺诈性技术如何在使用EDR平台进行深度防御时为所谓的“自适应防御”增加重要价值的四个方面。网内检测和可见性
欺骗技术通过快速检测网络中的水平移动，凭证盗窃以及其他形式的复杂攻击（如中介）的威胁来增强EDR防御。基于巧妙制作的诱饵创建合成攻击面，该诱饵旨在镜像生产资产并创建一个攻击者无法区分欺骗和真实设备的环境。这不仅使他们远离合法目标，而且还积极地诱使他们参与欺骗性环境，从而增加他们的实时警报。
检测策略包括以伪造凭证，文件共享，模仿服务和诱饵数据的形式将面包屑放置在端点上，这些数据可以迅速诱使攻击者进入欺骗环境，在这种情况下，他们可能会在不知不觉中记录并研究他们的行为。
端点发现和跟踪
为了准备，部署和操纵欺骗，现代DDP使用机器自学习来了解网络上和网络外的新设备及其配置文件和属性。该信息最初旨在创建真实性，还为安全团队提供了有关网络添加和更改的强大知识。事实证明，这对于检测未经授权的个人设备，物联网和其他不太安全的网络设备或具有恶意意图的设备非常有用。除了设备可见性之外，该平台还能够对暴露的凭证攻击路径发出警报。暴露和孤立凭证以及系统错误配置通常是攻击者需要立足的开放性。
信息共享
通过使用高交互诱饵，安全团队可以收集攻击者的详细取证分析。在初步检测之后，欺骗技术可以安全地收集并自动关联攻击者TTP，IOC和反间谍软件，以深入了解攻击者的能力，目标和他们想要披露的信息。 IOC信息可以自动共享并与EDR解决方案一起使用，加速事件处理，威胁搜索和修复。
自动事件响应
DDP解决方案现在还可以自动化事件响应，这对于高严重性警报至关重要。通过本机集成，安全团队可以设置一个欺骗平台，自动触发端点隔离，阻止和威胁搜索，从而节省可以防止攻击蔓延的关键时间和可能的损坏。一些解决方案还将与EDR管理工具集成，以进一步简化威胁的查看和响应。
与端点上的传统边界防御和EDR相结合，欺骗平台补充并增强了纵深防御策略，使攻击者的工作更加困难并且经常威慑，促使他们追求更轻松的目标。

• 上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
  下一篇: 如何修复Windows 10橙色死亡屏幕

• 分享到：