Các thiết bị điểm cuối như máy tính để bàn, máy tính xách tay và điện thoại di động cho phép người dùng kết nối với mạng doanh nghiệp và sử dụng tài nguyên của họ cho công việc hàng ngày. Tuy nhiên, chúng cũng mở rộng bề mặt tấn công và khiến tổ chức dễ bị tấn công mạng độc hại và vi phạm dữ liệu.
Tại sao các tổ chức hiện đại cần EDR
Các giải pháp EDR cung cấp khả năng hiển thị theo thời gian thực vào các điểm cuối và phát hiện các mối đe dọa như phần mềm độc hại và ransomware. Bằng cách liên tục giám sát các điểm cuối, chúng cho phép các nhóm bảo mật phát hiện ra các hoạt động độc hại, điều tra các mối đe dọa và đưa ra các phản ứng thích hợp để bảo vệ tổ chức.
Các hạn chế của EDR
Mạng doanh nghiệp hiện đại là các mạng phức tạp gồm người dùng, thiết bị đầu cuối, ứng dụng và luồng dữ liệu được phân phối trên các môi trường tại chỗ và đa đám mây. Vì các giải pháp EDR chỉ cung cấp khả năng hiển thị vào các điểm cuối, nhiều lỗ hổng bảo mật và thách thức vẫn còn, làm tăng đáng kể nguy cơ tấn công mạng mà không được chú ý.
Phần mềm độc hại vô hiệu hóa / lạm dụng tác nhân EDR: Sự xuất hiện của các nhóm hacker tinh vi như Lapsus $ là một rủi ro khác mà các công cụ EDR không thể đối phó. Vào cuối năm 2021, Lapsus $ đã xâm nhập vào một số công ty lớn bằng cách xâm nhập các điểm cuối từ xa và tắt các công cụ EDR của họ. Do đó, họ có thể che giấu hành vi độc hại của mình trên các điểm cuối bị nhiễm và đạt được mục tiêu đánh cắp dữ liệu nhạy cảm của công ty. Một vấn đề khác là các tác nhân đe dọa có thể lạm dụng kỹ thuật “nối” mà EDR sử dụng để giám sát các quy trình đang chạy. Kỹ thuật này cho phép các công cụ EDR giám sát các chương trình, phát hiện các hoạt động đáng ngờ và thu thập dữ liệu để phân tích dựa trên hành vi. Tuy nhiên, quá trình tương tự này cho phép những kẻ tấn công truy cập vào một điểm cuối từ xa và nhập phần mềm độc hại.
THEO DÕI: Trong những năm gần đây, nhiều tổ chức đã chuyển sang mô hình làm việc từ xa cho phép nhân viên và người dùng bên thứ ba truy cập tài nguyên doanh nghiệp thông qua mạng từ xa và thiết bị di động không an toàn. Các thiết bị này nằm ngoài sự kiểm soát của các nhóm bảo mật và các công cụ EDR của họ. Do đó, các giải pháp bảo mật của họ không thể theo kịp tất cả các điểm cuối này, ít bảo vệ chúng hoặc mạng doanh nghiệp khỏi các cuộc tấn công độc hại.
Các thiết bị không được hỗ trợ: Ngoài ra, không phải mọi điểm cuối được kết nối đều có thể hỗ trợ tác nhân EDR. Điều này đúng với các thiết bị đầu cuối cũ như bộ định tuyến và thiết bị chuyển mạch, cũng như các thiết bị IoT mới hơn. Hơn nữa, với môi trường Kiểm soát Giám sát và Thu thập Dữ liệu (SCADA) và Hệ thống Kiểm soát Công nghiệp (ICS) được kết nối, một số điểm cuối có thể nằm ngoài sự kiểm soát của tổ chức và do đó nằm ngoài vòng bảo mật của EDR. Do đó, các điểm cuối và hệ thống này vẫn dễ bị tấn công bởi các mối đe dọa như phần mềm độc hại, các cuộc tấn công DDoS và khai thác tiền điện tử.
Duy trì / triển khai EDR: Cuối cùng, với các sản phẩm EDR dựa trên tác nhân, có thể là một gánh nặng lớn đối với các nhóm bảo mật khi cài đặt và duy trì các tác nhân trên mọi điểm cuối trên môi trường mạng doanh nghiệp.
Đóng các Khoảng trống bảo mật của EDR với Khả năng hiển thị mạng và NDR
Một trong những cách hiệu quả nhất để thu hẹp các lỗ hổng bảo mật nêu trên là bằng cách thêm Phát hiện và Phản hồi Mạng (NDR) vào ngăn xếp an ninh mạng của doanh nghiệp vì những lý do sau:
Không thể tắt NDR: Vì NDR dựa trên dữ liệu nhật ký, chẳng hạn như ExeonTrace thu thập dữ liệu từ nhiều nguồn dữ liệu khác nhau trong mạng (và không dựa trên các thiết bị cụ thể), các thuật toán phát hiện không thể bị phá vỡ. Do đó, ngay cả khi EDR bị vô hiệu hóa bởi phần mềm độc hại, NDR sẽ phát hiện ra nó.
Nhận dạng CNTT bóng: Một giải pháp NDR không chỉ cho phép giám sát lưu lượng mạng giữa các thiết bị mạng đã biết mà còn xác định và giám sát các thiết bị và mạng chưa biết. Và tất nhiên, các điểm cuối không có tác nhân EDR cũng được đưa vào phân tích mạng (chẳng hạn như BYOD).
Tường lửa và cổng bị định cấu hình sai: Tường lửa và cổng không được định cấu hình có thể là cửa xâm nhập cho những kẻ tấn công – một NDR cho phép phát hiện trước khi khai thác.
Thu thập dữ liệu chống giả mạo: Thu thập dữ liệu dựa trên mạng chống giả mạo tốt hơn dữ liệu dựa trên tác nhân; lý tưởng cho pháp y kỹ thuật số theo yêu cầu của các cơ quan quản lý.
Toàn bộ khả năng hiển thị của toàn bộ mạng: Vì không cần tác nhân, giải pháp NDR như ExeonTrace cho phép hiển thị đầy đủ tất cả các kết nối mạng và luồng dữ liệu. Do đó, nó cung cấp khả năng hiển thị tốt hơn trên toàn bộ mạng doanh nghiệp và bất kỳ mối đe dọa tiềm ẩn nào trên đó.
Sự kết luận
Khi các tổ chức ngày càng trở nên phức tạp và thêm nhiều thiết bị người dùng cuối vào mạng của họ, họ yêu cầu một giải pháp giám sát đáng tin cậy để bảo vệ thiết bị đầu cuối của họ khỏi các mối đe dọa tiềm ẩn. Tuy nhiên, Phát hiện và Phản hồi Điểm cuối (EDR) chỉ cung cấp khả năng bảo vệ điểm cuối như vậy ở một mức độ nhất định. Có rất nhiều nhược điểm của EDR cho phép tội phạm mạng tinh vi vượt qua vòng bảo mật của chúng và khai thác các lỗ hổng mạng.
Nền tảng ExeonTrace: Ảnh chụp màn hình của Bảng điều khiển
Để lấp đầy những lỗ hổng bảo mật do các giải pháp EDR để lại, các tổ chức phải củng cố hệ thống phòng thủ an ninh của mình. Các giải pháp phát hiện và phản hồi mạng (NDR) như ExeonTrace là một cách đáng tin cậy và đã được chứng minh để giám sát lưu lượng mạng và do đó hoàn thiện các ngăn xếp an ninh mạng của doanh nghiệp. Vì các giải pháp EDR và NDR bổ sung cho nhau, khả năng phát hiện kết hợp của chúng có thể bảo vệ hiệu quả các tổ chức khỏi các cuộc tấn công mạng tinh vi.
Đặt trước một bản demo miễn phí để khám phá cách ExeonTrace có thể giúp giải quyết các thách thức bảo mật của bạn và làm cho tổ chức của bạn linh hoạt hơn trên không gian mạng.
