目前，全球安裝了307.3億個(gè)物聯(lián)網(wǎng)（IoT）設(shè)備，預(yù)計(jì)到2025年，這一數(shù)字將達(dá)到755.4億。網(wǎng)絡(luò)犯罪分子一直在尋找突破端點(diǎn)設(shè)備的新方法。這使物聯(lián)網(wǎng)安全成為所有網(wǎng)絡(luò)，系統(tǒng)和連接設(shè)備持續(xù)健康的關(guān)鍵方面。

本文回顧了現(xiàn)有的物聯(lián)網(wǎng)安全挑戰(zhàn)，并提出了通過(guò)EDR安全技術(shù)解決這些問(wèn)題的建議。

什么是EDR？

EDR是Gartner在2013年定義的一種安全技術(shù)和實(shí)踐。EDR代表：

端點(diǎn) —端點(diǎn)是諸如手機(jī)，筆記本電腦，用戶工作站或服務(wù)器之類的設(shè)備。

檢測(cè) -EDR檢測(cè)威脅并阻止對(duì)端點(diǎn)設(shè)備的攻擊，并提供對(duì)可幫助安全團(tuán)隊(duì)調(diào)查攻擊的信息的訪問(wèn)。

響應(yīng) -EDR工具可以通過(guò)執(zhí)行阻止惡意進(jìn)程和隔離端點(diǎn)的操作來(lái)自動(dòng)響應(yīng)攻擊。

EDR系統(tǒng)的主要目標(biāo)是通知安全團(tuán)隊(duì)有關(guān)端點(diǎn)上的惡意活動(dòng)，并調(diào)查攻擊的范圍和根本原因。EDR的主要功能包括：

數(shù)據(jù)收集 -收集有關(guān)端點(diǎn)事件的數(shù)據(jù)，例如用戶登錄，流程執(zhí)行和通信。

威脅檢測(cè) -執(zhí)行行為分析以發(fā)現(xiàn)正常端點(diǎn)活動(dòng)中的異常。該分析用于確定哪些異常代表惡意活動(dòng)。

報(bào)告 -安全團(tuán)隊(duì)會(huì)收到包含有關(guān)端點(diǎn)安全事件的實(shí)時(shí)數(shù)據(jù)的報(bào)告。這些報(bào)告用于實(shí)時(shí)調(diào)查，遏制和緩解事件。

EDR安全工具只是端點(diǎn)保護(hù)策略的一部分。其他端點(diǎn)安全技術(shù)包括下一代防病毒（NGAV），用戶行為分析（UBA）和設(shè)備防火墻。

EDR可檢測(cè)到哪些類型的攻擊？

EDR解決方案可提供對(duì)端點(diǎn)的可見(jiàn)性。這種可見(jiàn)性可以幫助您檢測(cè)其他安全實(shí)踐可能遺漏的威脅，包括：

內(nèi)部威脅 –外部攻擊者或惡意內(nèi)部人員可以利用現(xiàn)有的用戶帳戶造成損害。EDR解決方案可以通過(guò)分析其行為來(lái)確定用戶活動(dòng)是合法的還是惡意的。

惡意軟件 -攻擊者正在不斷開(kāi)發(fā)可以逃避傳統(tǒng)防病毒軟件的新型惡意軟件。這包括高級(jí)威脅，如無(wú)文件攻擊。EDR無(wú)法完全阻止無(wú)文件攻擊，但是它可以檢測(cè)到發(fā)生了攻擊，并可以幫助安全團(tuán)隊(duì)調(diào)查和緩解攻擊。

低速攻擊和慢速攻擊 -以非常慢的速度涉及合法的流量。結(jié)果，它經(jīng)常在雷達(dá)之下。EDR連續(xù)分析來(lái)自端點(diǎn)的數(shù)據(jù)，以檢測(cè)可疑的單個(gè)活動(dòng)，而與流量無(wú)關(guān)。

物聯(lián)網(wǎng)安全挑戰(zhàn)

盡管EDR旨在保護(hù)端點(diǎn)（如IoT設(shè)備），但保護(hù)IoT設(shè)備的安全可能會(huì)面臨各種挑戰(zhàn)。

缺乏人身安全

物聯(lián)網(wǎng)設(shè)備有時(shí)會(huì)長(zhǎng)時(shí)間放置在偏遠(yuǎn)地區(qū)。結(jié)果，黑客可以物理上篡改這些設(shè)備。例如，用惡意軟件感染USB驅(qū)動(dòng)器。

您必須保護(hù)IoT設(shè)備免受外部威脅，因?yàn)樗鼈兺ǔＴ跊](méi)有任何用戶干預(yù)的情況下自主運(yùn)行。物聯(lián)網(wǎng)制造商負(fù)責(zé)確保設(shè)備的物理安全性。但是，在低成本設(shè)備中添加安全傳感器和變送器對(duì)制造商來(lái)說(shuō)是真正的挑戰(zhàn)。

僵尸網(wǎng)絡(luò)攻擊

許多物聯(lián)網(wǎng)設(shè)備不是為安全性而設(shè)計(jì)的，并且可能沒(méi)有能力更新軟件或固件來(lái)解決安全漏洞。因此，攻擊者可以輕松破壞IoT設(shè)備，在其上安裝惡意軟件，然后將其轉(zhuǎn)變?yōu)榇笮徒┦W(wǎng)絡(luò)。基于IoT設(shè)備的僵尸網(wǎng)絡(luò)已被用來(lái)創(chuàng)建Internet上一些最大的分布式拒絕服務(wù)（DDoS）攻擊。研究人員發(fā)現(xiàn)，使用WD-Discover協(xié)議的主動(dòng)式DDoS武器超過(guò)800，000種，而WD-Discover協(xié)議幾乎專門用于IoT設(shè)備。

竊聽(tīng)

物聯(lián)網(wǎng)設(shè)備將用戶信息記錄在健康設(shè)備，可穿戴設(shè)備，智能玩具等中。黑客可以接管這些監(jiān)視設(shè)備，以監(jiān)視和侵入工業(yè)公司和私人用戶。這可能會(huì)導(dǎo)致嘗試竊取敏感數(shù)據(jù)并要求支付贖金以將其取回。在工業(yè)層面上，黑客可以通過(guò)收集公司的大數(shù)據(jù)來(lái)公開(kāi)敏感的業(yè)務(wù)信息。

EDR如何保護(hù)物聯(lián)網(wǎng)設(shè)備

物聯(lián)網(wǎng)設(shè)備通常流式傳輸大量數(shù)據(jù)。您必須不斷控制和監(jiān)視設(shè)備，以避免數(shù)據(jù)丟失并實(shí)時(shí)識(shí)別攻擊：

實(shí)時(shí)可見(jiàn)性和警報(bào)功能 -使您能夠快速檢測(cè)并遏制惡意活動(dòng)。

自動(dòng)事件響應(yīng) -減少響應(yīng)時(shí)間，使您能夠在事件的第一個(gè)跡象時(shí)阻止惡意活動(dòng)。

威脅情報(bào) —是安全數(shù)據(jù)的收集和分析。這些數(shù)據(jù)使您能夠了解網(wǎng)絡(luò)威脅的動(dòng)機(jī)，并能夠檢測(cè)各種攻擊。如果您與物聯(lián)網(wǎng)制造商共享此信息，則可以幫助他們提高設(shè)備的基本安全性，從一開(kāi)始就將漏洞最小化。

網(wǎng)絡(luò)分段 -網(wǎng)絡(luò)分段使您可以限制對(duì)服務(wù)和對(duì)端點(diǎn)的數(shù)據(jù)點(diǎn)的訪問(wèn)。分段減少了數(shù)據(jù)丟失的風(fēng)險(xiǎn)，并減少了成功攻擊的損失。

防火墻 -EDR提供有關(guān)可能與當(dāng)前事件有關(guān)的網(wǎng)絡(luò)活動(dòng)的實(shí)時(shí)數(shù)據(jù)。

沙箱 -惡意軟件被隔離到IoT設(shè)備上的隔離位置，以檢查其是否為惡意軟件。

補(bǔ)丁程序管理 — IoT軟件應(yīng)定期進(jìn)行補(bǔ)丁程序。通過(guò)將補(bǔ)丁程序管理解決方案與EDR 集成，您可以接收有關(guān)此IoT設(shè)備的最新補(bǔ)丁程序以及當(dāng)前存在的漏洞的信息。

安全信息和事件管理（SIEM） -EDR警報(bào)應(yīng)流入您的SIEM，從而實(shí)現(xiàn)與整個(gè)企業(yè)中其他安全數(shù)據(jù)的關(guān)聯(lián)。

結(jié)論

EDR是一種網(wǎng)絡(luò)安全方法，可從端點(diǎn)收集，存儲(chǔ)和記錄大量數(shù)據(jù)。該數(shù)據(jù)使安全專業(yè)人員可以通過(guò)提供對(duì)端點(diǎn)活動(dòng)的可見(jiàn)性來(lái)檢測(cè)，調(diào)查和緩解高級(jí)網(wǎng)絡(luò)威脅。EDR可通過(guò)快速識(shí)別和阻止惡意活動(dòng)來(lái)幫助您應(yīng)對(duì)保護(hù)IoT設(shè)備的挑戰(zhàn)。
責(zé)任編輯：YYX