目前,全球裝置了307.3億個物聯(lián)網(wǎng)(IoT)設備�����,估計到2025年����,這一數(shù)字將到達755.4億��。網(wǎng)絡立功分子不斷在尋覓打破端點設備的新辦法�����。這使物聯(lián)網(wǎng)安全成為一切網(wǎng)絡�����,系統(tǒng)和銜接設備持續(xù)安康的關鍵方面����。
本文回憶了現(xiàn)有的物聯(lián)網(wǎng)安全應戰(zhàn)�����,并提出了經(jīng)過EDR安全技術處理這些問題的倡議�。
什么是EDR?
EDR是Gartner在2013年定義的一種安全技術和理論����。EDR代表:
端點 —端點是諸如手機,筆記本電腦���,用戶工作站或效勞器之類的設備����。
檢測 -EDR檢測要挾并阻止對端點設備的攻擊,并提供對可協(xié)助安全團隊調查攻擊的信息的訪問����。
響應 -EDR工具能夠經(jīng)過執(zhí)行阻止歹意進程和隔離端點的操作來自動響應攻擊。
EDR系統(tǒng)的主要目的是通知安全團隊有關端點上的歹意活動��,并調查攻擊的范圍和基本緣由�。EDR的主要功用包括:
數(shù)據(jù)搜集 -搜集有關端點事情的數(shù)據(jù)�,例如用戶登錄,流程執(zhí)行和通訊�����。
要挾檢測 -執(zhí)行行為剖析以發(fā)現(xiàn)正常端點活動中的異常����。該剖析用于肯定哪些異常代表歹意活動。
報告 -安全團隊會收到包含有關端點安全事情的實時數(shù)據(jù)的報告����。這些報告用于實時調查,遏制弛緩解事情���。
EDR安全工具只是端點維護戰(zhàn)略的一局部���。其他端點安全技術包括下一代防病毒(NGAV)�����,用戶行為剖析(UBA)和設備防火墻�����。
EDR可檢測到哪些類型的攻擊�����?
EDR處理計劃可提供對端點的可見性���。這種可見性能夠協(xié)助您檢測其他安全理論可能遺漏的要挾,包括:
內部要挾 –外部攻擊者或歹意內部人員能夠應用現(xiàn)有的用戶帳戶形成損傷��。EDR處理計劃能夠經(jīng)過剖析其行為來肯定用戶活動是合法的還是歹意的�����。
歹意軟件 -攻擊者正在不時開發(fā)能夠逃避傳統(tǒng)防病毒軟件的新型歹意軟件。這包括高級要挾���,如無文件攻擊���。EDR無法完整阻止無文件攻擊,但是它能夠檢測到發(fā)作了攻擊�,并能夠協(xié)助安全團隊調查弛緩解攻擊。
低速攻擊和慢速攻擊 -以十分慢的速度觸及合法的流量�����。結果���,它經(jīng)常在雷達之下。EDR連續(xù)剖析來自端點的數(shù)據(jù)�����,以檢測可疑的單個活動�����,而與流量無關��。
物聯(lián)網(wǎng)安全應戰(zhàn)
雖然EDR旨在維護端點(如IoT設備)�,但維護IoT設備的安全可能會面臨各種應戰(zhàn)�。
缺乏人身安全
物聯(lián)網(wǎng)設備有時會長時間放置在偏僻地域���。結果�,黑客能夠物理上竄改這些設備��。例如��,用歹意軟件感染USB驅動器����。
您必需維護IoT設備免受外部要挾,由于它們通常在沒有任何用戶干預的狀況下自主運轉��。物聯(lián)網(wǎng)制造商擔任確保設備的物理安全性���。但是�,在低本錢設備中添加安全傳感器和變送器對制造商來說是真正的應戰(zhàn)�����。
僵尸網(wǎng)絡攻擊
許多物聯(lián)網(wǎng)設備不是為安全性而設計的�,并且可能沒有才能更新軟件或固件來處理安全破綻。因而,攻擊者能夠輕松毀壞IoT設備�,在其上裝置歹意軟件,然后將其轉變?yōu)榇笮徒┦W(wǎng)絡����。基于IoT設備的僵尸網(wǎng)絡已被用來創(chuàng)立Internet上一些最大的散布式回絕效勞(DDoS)攻擊�����。研討人員發(fā)現(xiàn)����,運用WD-Discover協(xié)議的主動式DDoS武器超越800,000種,而WD-Discover協(xié)議簡直特地用于IoT設備����。
竊聽
物聯(lián)網(wǎng)設備將用戶信息記載在安康設備����,可穿戴設備,智能玩具等中���。黑客能夠接收這些監(jiān)視設備��,以監(jiān)視和侵入工業(yè)公司和私人用戶��。這可能會招致嘗試竊取敏感數(shù)據(jù)并請求支付贖金以將其取回��。在工業(yè)層面上����,黑客能夠經(jīng)過搜集公司的大數(shù)據(jù)來公開敏感的業(yè)務信息。
EDR如何維護物聯(lián)網(wǎng)設備
物聯(lián)網(wǎng)設備通常流式傳輸大量數(shù)據(jù)�����。您必需不時控制和監(jiān)視設備�����,以防止數(shù)據(jù)喪失并實時辨認攻擊:
實時可見性和警報功用 -使您可以快速檢測并遏制歹意活動�。
自動事情響應 -減少響應時間,使您可以在事情的第一個跡象時阻止歹意活動����。
要挾情報 —是安全數(shù)據(jù)的搜集和剖析。這些數(shù)據(jù)使您可以理解網(wǎng)絡要挾的動機�����,并可以檢測各種攻擊。假如您與物聯(lián)網(wǎng)制造商共享此信息���,則能夠協(xié)助他們進步設備的根本安全性��,從一開端就將破綻最小化���。
網(wǎng)絡分段 -網(wǎng)絡分段使您能夠限制對效勞和對端點的數(shù)據(jù)點的訪問。分段減少了數(shù)據(jù)喪失的風險�����,并減少了勝利攻擊的損失����。
防火墻 -EDR提供有關可能與當前事情有關的網(wǎng)絡活動的實時數(shù)據(jù)。
沙箱 -歹意軟件被隔離到IoT設備上的隔離位置���,以檢查其能否為歹意軟件�。
補丁程序管理 — IoT軟件應定期停止補丁程序��。經(jīng)過將補丁程序管理處理計劃與EDR 集成�,您能夠接納有關此IoT設備的最新補丁程序以及當前存在的破綻的信息�����。
安全信息和事情管理(SIEM) -EDR警報應流入您的SIEM,從而完成與整個企業(yè)中其他安全數(shù)據(jù)的關聯(lián)��。
結論
EDR是一種網(wǎng)絡安全辦法���,可從端點搜集�,存儲和記載大量數(shù)據(jù)����。該數(shù)據(jù)使安全專業(yè)人員能夠經(jīng)過提供對端點活動的可見性來檢測,調查弛緩解高級網(wǎng)絡要挾��。EDR可經(jīng)過快速辨認和阻止歹意活動來協(xié)助您應對維護IoT設備的應戰(zhàn)�。
鄭州博觀電子科技有限公司是一家提供科技類物聯(lián)網(wǎng)開發(fā)軟硬件定制化方案服務商、也是中原地區(qū)領先的物聯(lián)網(wǎng)終端設備解決方案提供商����。致力共享換電柜、智能充電樁����、共享洗車機、物聯(lián)網(wǎng)軟硬件等服務平臺的方案開發(fā)與運維���??偛课挥诤幽鲜∴嵵菔懈咝聟^(qū),已取得國家高新技術企業(yè)認證證書�����。經(jīng)過10多年的業(yè)務開拓�,公司已經(jīng)形成了以中原地區(qū)為中心、業(yè)務遍布全國的經(jīng)營格局��。
