freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

端点安全杂谈(五)一些想法
2022-12-27 16:52:51

写在前面

前面好多列表说了说产品和厂商,后面将说说一些想法,也是连摘带说。

一些思路

企业需要一个监控和报告系统用于提供企业资产的当前状态可行的数据,收集尽可能多的有关网络基础结构和通信状态的信息,并使用它来改善其安全状况,同样,企业也应该收集尽可能多的有关端点系统和资产状态的信息,并使用它来改善其安全状况。端点安全产品应始终像端点中存在攻击者一样工作。基于静态特征和行为分析的端点安全检测与响应系统,主要用于端点的风险威胁的识别、检测、防护和响应,为终端、服务器等端点系统上的操作系统、应用、服务、用户等端点资产提供安全防护能力,实现已知、未知威胁有效检测。

将安全防护、终端管理、运维管理、文档管理等功能统一起来,以提供更低的总体拥有成本。自动收集和关联来自多个专有安全组件的数据,提高风险分析和响应能力的同时,减少对终端的性能消耗。结合UES和XDR,将让终端负载更低,同时整体防护效果更好。

解决方案以一个统一信息、一次数据采集、一条数据总线、一个流程引擎、一个图形平台为基础,基本思路以分散控制、集中操作、分级管理、配置灵活以及组态方便为主。

一个统一信息:端点上部署的多种安全产品、管理产品无论是以独立方式部署还是以组件、模块方式都应具有统一的数据信息名称、格式和标识,便于后期的数据分析、处理。

一次数据采集:端点客户端首要的功能就是数据采集,对于通用的基本数据内容,如操作系统信息、主机信息、网络及应用信息等应杜绝各组件、模块的重复读取减小系统消耗。

一条数据总线:端点安全产品对采集的元数据加工过程应以流水线方式逐条通过策略进行加工处理,杜绝重复筛查、匹配等操作。

一个流程引擎:系统对元数据的处理、分析、告警,应通过统一的事件相应机制对事件类型、时间、主体、客体和事件详情等相应的功能、事件执行处理流程。

一个图形平台:所有端点数据、事件、告警等内容应在同一个图形界面中进行展示,管理员通过该图形平台对管理范围内的所有端点进行查看、处置操作。

目标目的

端点安全产品线以持续保证资产安全为目标,依托风险识别、安全防御、安全检测、安全响应、安全恢复等技术手段,将EPP\EDR\CWPP等等单一的控制台整合到统一平台下,提供更好的安全防护和更简单的管理。

  • 基础环境

端点安全产品会广泛部署到各种主机、设备中,需要兼容市场上主流的操作系统来满足用户对于端点统一管理的需求。

  • 核心技术能力

IoA使用户能够主动寻找可能发啥的攻击信号,IOC涵盖基本的安全需求,IOB用于满足更高的安全需求;基于 IOA 的方法,安全团队能够实时、准确地收集和分析网络上正在发生的行为,基于IOC的检测是业内常规,可以进行回溯分析,基于行为的IOB检测能够做到威胁追踪,具备发现潜在风险能力。

  • 基础能力

实现的各个基本功能,通过功能的耦合、组合等方式形成适应不同应用场景、环境的端点产品。

  • 可视化

识别、防护、检测、响应、处置,安全风险、事件需要以可视化的方式呈现,让用户能够直观感受、体验和操作,图形化显示和操作让用户能够直接对风险和安全事件进行各种操作,形成用户自己的知识积累。

  • 持续运营

通过端点安全运营让用户能够在使用产品的过程中持续提升企业端点安全防护能力,同时还能提升产品和服务在功能需求、设计、运行等方面的改进。

  • 联动对接

通过与SIEM、SOC、态感等平台集成,实现整体安全防护;通过UEBA、SOAR等技术来定义新的端点安全产品。

主要能力

1672127464_63aaa3e872a3fca35f9d6.png!small

  1. 端点安全解决方案可以不依赖每日更新的情况下抵御已知和未知的恶意软件,国内很多环境都是不能直接连接互联网的依靠定时连接更新库和规则的方式解决不了问题反而更麻烦。
  2. 可以根据进程的行为来检测恶意活动。
  3. 将IoC、IoA、IoB 数据存储在一个中心位置,以进行回顾性分析。
  4. 提供检测和阻止无文件攻击的能力。
  5. 能够在检测到恶意软件时自动删除,即删除/隔离文件/终止进程,国内用户很难允许系统自动删除恶意文件,这不仅是考虑误删除也可能是对产品本身不信任和删除后无法控制的后果。个别情况也有需要带毒运行的系统。
  6. 允许从管理控制台抑制、忽略误报,而不排除所有保护技术,例如抑制文件检测,但仍监控行为。各类事件上报的过滤和归并是产品必备技能,可信文件执行恶意行为应当被记录、报警。
  7. 管理中心支持使用由供应商操作、管理和维护的基于云的 SaaS 风格的多租户基础架构。多租户功能在现在应用环境中非常有必要,厂商和用户都值得拥有。
  8. 管理中心视图显示完整的流程树,以识别流程是如何产生的并进行可操作的根本原因分析。产品使用逻辑。
  9. 提供威胁搜寻,包括从管理中心跨多个端点搜索 IoC/IoA/IoB(例如,文件哈希、源/目标 IP、注册表项)的工具。
  10. 识别恶意软件所做的更改并提供建议的补救步骤或回滚功能。如果能够对文件、文件夹和配置文件进行回滚或者补救措施那确实是个很酷的能力。
  11. 提供将威胁情报、信誉服务集成到管理中心的选项,外部对接各类威胁情报,导入导出黑白名单。
  12. 针对常见的应用程序漏洞和内存利用技术实施保护。
  13. 当托管端点设备位于公司网络之外或离线状态,继续收集可疑事件数据,客户端应能够独立执行、记录。
  14. 能对文件夹、驱动器或设备(例如 USB 驱动器)执行静态的按需恶意软件检测扫描。
  15. 所有功能都在单个客户端程序中提供,或者直接集成到操作系统中。
  16. 针对操作系统中的已知漏洞和非操作系统应用程序实施虚拟补丁。
  17. 规定基于风险的漏洞报告和优先级,漏洞、补丁管理检测标准里也要求了。
  18. 实施可配置的默认黑名单。
  19. 支持使用运算符和阈值对数据库进行高级查询(即,“显示所有具有新的可移植可执行PE文件的机器不到一周,并且在不到 2% 的机器上或未知的机器上”)。
  20. 端点客户端程序包括旨在暴露攻击者的基于端点的诱饵功能。
  21. 提供应用程序隔离以将不受信任的应用程序与系统的其余部分(容器/沙盒或基于硬件的管理程序)分开。
  22. 报告应包括基于收集的情报的指导性分析和补救措施,遏制此威胁所需的下一步是什么?
  23. 提供报告攻击背后的归因信息和潜在动机的能力。
  24. 提供将来自多个来源的多个警报自动整合到单个事件中的能力。
  25. 具备将来自多个来源/传感器的多个弱事件/警报关联和丰富到强检测的能力。
  26. 允许跨多个安全产品协调响应,联动。

主要功能

1672130511_63aaafcfb23a5c71dbe8f.png!small

很像IPDRR,也不大一样,后续内容就是各自展开。

本文作者:, 转载请注明来自FreeBuf.COM

# 终端安全 # 安全杂谈 # 端点安全
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦