freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

端点安全杂谈(六)端点资产
2022-12-29 14:38:22

写在前面

继续前一篇的内容,开始端点安全产品功能的胡乱白活。第一个先说端点资产。

兼容性

当前在多种端点安全防护产品的冲刷下,用户会更多考虑购买多功能合并的整体端点解决方案,用户只需要为自己的环境选择购买最为适合的解决方案即可。在用户考虑端点安全产品时除了考虑产品的功能、性能、可扩展性、稳定性、安全性等技术问题外,更迫切要了解的是这个产品是否能够部署在企业环境中的各个端点上,它是否会破坏端点本身的稳定和安全,想要行侠仗义连门都进不去还搞个屁啊。

想想第一篇中描述的端点都包括哪些,大概把端点安全产品所需要面对的兼容性问题做了罗列:

agent客户端程序

需要安装部署到操作系统上的客户端程序的运行表现直接影响产品整体感受。

1672281752_63acfe98441a21a84a401.png!small?1672281752994

微软认可的交叉证书已经过期,驱动软件面临无法签名的问题2021年4月之后现有的第三方代码签名证书对非内核驱动程序进行签名,可以用现有的证书对非内核驱动程序进行签名,使用这些证书签名的代码将只能在用户模式下运行,并且将不允许在内核中运行,除非它具有有效的 Microsoft 签名。在2021年7月1日之后,必须使用 WHQL 签名对内核模式驱动程序签名。受影响的系统:WINDOWS XP、WINDOWS 7、WINDOWS SERVER 2008及以下系统。(以上摘自安信实验室)微软也有一定的补救措施:

https://new.qq.com/omn/20191231/20191231A07HLQ00.html

目前国内行业客户还有相当数量的WIN7系统和一部分XP系统,win server2003 2008也是随时都能碰上,所以作为端点安全产品想要为用户提供整体解决方案覆盖操作系统这事是必须的就是体力活。想涉及生产制造、工控、物联网环境的实时操作系统必须要考虑;做电力、金融行业的凝思系统就要考虑,要是你的客户更关注小机安全那你还要考虑AIX、HP和solarris;各种主要的Linux发行版最好是都支持,但考虑投入产出比可以规定个下线比如kernel版本最低2.6以上再低兼容它产出比就不高了,毕竟那家都不会为了几台的个别机器花1-2个月开发适配;Mac OS有需求,比如滴滴啊,百度啊这种员工用苹果的情况,但我觉得人家端点安全不会外采,自己组织点人自己开发么想用什么功能自己攒就好了,那么多点采购的话一大笔钱呢(传说滴滴自己做了个DLP支持8W点的滴滴员工);移动设备(安卓、苹果)指掌易这类厂商是国内主流,不过近2年其他厂家也在考虑适配安卓了不知道市场是否肯花钱持续搞,要是安卓上能有个类似PC EDR功能的APP那就可以看看每个APP都干了啥,再控制下广告和偷偷摸摸的小动作岂不是挺好的。

管理端

1672294346_63ad2fcae66711f21de48.png!small?1672294347394

管理端看到过装在Windows server上的但是现在应该非常少了,基本都是基于Linux不过用哪个版本倒是各有各的理由。

端点资产

理论上讲端点安全产品是不能对未识别的资产做安全防护的,也不能对未识别的资产进行安全检测并作出后续的响应动作。产品必须识别所有资产,使所有资产具有可见性,以便对资产进行分类、配置和监控。

1、端点资产有什么?管理范围内使用的那些端点设备、操作系统、应用程序、服务等?包括检测漏洞和威胁时持续监测并改善这些资产的安全状态。

2、谁在使用?那些账户、凭证和人类实体访问和使用端点资产,包括进程、服务等使用数据资产所执行的自动操作。

3、端点上资产正在发生什么?需要深入了解资产间的访问模式和交互消息

4、数据资产如何受到保护?信息在存储、传输和使用中的保护策略是什么?

以资产为核心构建端点安全体系,从资产管理开始做好安全建设的基础。识别详细的资产清单是安全防护的基本前提,不可能保护未识别的资产。资产识别的范围和粒度决定着其他功能的检测、分析、响应、显示内容。资产的使用、变更状态是资产管理的基础功能。资产管理是整个系统的主要输入,也是用户识别端点产品能力的第一检查项。

列了觉得应该的功能list:

系统资产

硬件资产信息:自动收集网络中所有注册终端的硬件资产信息,包括设备提供商、型号、CPU、内存、硬盘(分区情况、大小)、主板、显卡、声卡、网卡

系统信息:自动收集网络中所有注册终端的系统信息,包括操作系统类型、版本、系统语言、MAC地址、IP地址、网关、终端名称等信息、系统安装日期、环境变量、内核模块

未注册终端发现:自动发现网络中未注册设备,可显示未知设备名称、IP、MAC地址及网卡厂商等信息,可标记为已知未注册主机通过备注标签管理

应用资产

应用程序、数据库、中间件、WEB服务

名称、版本、监听端口、端口与进程映射情况

容器

资产变更

针对主机关键资产(终端名称、操作系统(大版本升级)、语言、CPU、硬盘、内存、网络适配器、IP地址、MAC地址)的变更进行记录。

管理员可指定关键资产设置变更告警

针对主机账户信息(新增账户、删除账户、用户组变更)的变更进行记录

应用软件变更(增加、删除、修改)

实时信息

主机实时进程信息(进程名称、PID、PPID、开始时间、路径、CPU、内存、用户)可对指定进程进行查看详细信息和停止进程操作

资产分组

新增组、编辑组、移动组、删除组、过滤无主机组、关闭分组管理

IP自动分组:根据设置好的IP范围上线的主机自动归类的相应分组

网络访问

主机访问IP和端口记录(文件路径、分类、目的IP、目的端口、时间)

访问IP反查域名

在线轨迹

探针上线下线时间(要包括探针自身安全和状态检测机制,如主机正常运行,探针异常离线)

外设资产

USB外接设备、光驱、串口、并口、1394、红外、蓝牙、智能卡读卡器、PCMCIA;光驱、软驱、SD适配器、调制解调器、图像记录设备、红外设备、智能手机、厂商自定义设备、厂商安全U盘

进行外设的管控,能够监控使用时间和设备类型,设置外设的黑白名单并记录使用情况

MDM集成

查询移动设备管理系统以增加资产属性

补充

有两个参考内容:

1672299991_63ad45d771fc78e2b8ab2.png!small?1672299992478

本文作者:, 转载请注明来自FreeBuf.COM

# 终端安全 # 安全杂谈 # 端点安全 # 资产管理
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦