端点安全不足以防止高级威胁

通常来说，末端安全是防御的第一关，但是攻击者可以使用复杂的技术绕过它。端点检测和响应(EDR)是被动的，这意味着它只能在威胁到达端点后才检测到威胁。这是一个缺点，因为它让攻击者有更多时间造成伤害。Cato Networks的高级安全策略总监Etay Maor解释了为什么组织需要一个分层的安全方法，包括EDR以及其他安全措施，如防火墙和入侵检测系统。单通道云引擎可以将所有这些措施集成到一个平台中。

1.终端安全通常是第一个被规避的

根据美国网络安全和基础设施局(cisaa)的说法，为了获得初始访问权限，威胁行为者通常会利用配置错误的系统、糟糕的员工操作(弱密码、不安全的互联网活动和浏览行为等)和薄弱的安全控制(未打补丁的软件、开放的RDP端口等)。

2.EDR易受特权升级攻击

EDR策略通常依赖于在端点上运行流程或服务来收集数据、检测威胁和响应事件。获得对端点的管理访问权限的攻击者可以禁用这些进程，从而使已有的EDR系统发生失效。

3.EDR可能通过供应链受到损害

大多数EDR要求软件由供应商签名，否则它们将被标记为不受信任;在某些情况下，如果应用程序没有签名，它们的执行将被完全阻止。如果攻击者以某种方式破坏了这个代码签名证书，安全产品将盲目地信任应用程序，甚至允许被破坏的软件在没有任何检查的情况下运行。

4.EDR很难管理和监控

要使EDR发挥最佳性能，需要大量的资源。平均一个EDR会产生大约11,000个安全警报，每天打开一个新的窗口，需要分析师花费令人头疼的数小时从海量数据中筛选，其中许多是误报。该公司表示，这项技术可以帮助企业减少这方面的工作量，因为它可以自动识别和跟踪潜在威胁，并将其转化为有价值的信息。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!