端點檢測和響應 (EDR) 在保護端點方面展示了明顯的價值,并在許多方面提供了對本地流程的獨特可見性。然而,客戶和潛在客戶告訴我們,他們在端點上的 EDR 覆蓋率在 60-70% 之間。換句話說,40-30% 的設備是他們無法控制的。
失控設備分為幾個不同的類別:
【資料圖】
我們不僅對當前連接到我們網絡的許多設備和每天添加的新設備視而不見,而且對這些設備正在做什么視而不見。許多組織都有指定行為的治理實踐和策略。因此,我們通常最終會在我們認為正在發生的事情和實際發生的事情之間存在可見性差距,最重要的是,我們無法輕松了解該行為是否正常或是否存在需要立即關注的潛在惡意行為。
在陰影區域投光
我們生活在一個充斥著惡意軟件故事的世界中,惡意軟件在被捕獲之前已經存在于組織的基礎設施中數月之久。與此同時,數據已被泄露,因為惡意活動發生在網絡的陰影中,攻擊者可以隱藏在這些陰影中并在大多數情況下不被發現地開展工作。
因此,控制失控設備的第一步是了解網絡上發生的事情。然而,在當今分散、短暫、加密和多樣化(DEED) 的環境中,陰影區域無處不在,因此依靠傳統工具很難獲得網絡可見性。與其找到一個點來監控和捕獲數據包,不如找到幾十個(如果不是數百個)點。深度數據包捕獲 (DPI) 的管理變得極其復雜,并且成本很高。這就是元數據數據的用武之地,讓您可以照亮無法忽視的陰影區域。流數據形式的元數據提供了一種被動和無代理的方法來跨多云、本地和混合環境(包括每個 IP 地址和每個設備)實現網絡流量可見性。
接下來是上下文
我們還需要將可見性與治理上下文相結合的功能,因為即使您可以看到網絡上發生的事情,您仍然需要上下文來理解該流量的含義。例如,您可能會在您的平臺上看到一臺主機在掃描您的網絡。您如何輕松區分正常運行的滲透測試平臺與受到威脅的流氓主機之間的區別?如果您所關注的只是網絡流量,這將引發警報。
但是,當您可以使用來自其他來源(例如 EDR 系統、配置管理數據庫 (CMDB) 和云安全態勢管理 (CSPM))的信息來豐富流數據時,您將獲得網絡流量中不一定存在的額外含義數據。你可以理解who和what。如果事實證明是你的滲透測試平臺在掃描,那你就不用擔心了。但是,如果結果證明是銷售代表的 Mac OS 筆記本電腦應該制定了限制用戶訪問網絡和應用程序特定部分的策略,那么您可能會遇到問題,需要進一步調查。
運營治理:終結游戲
歸根結底,控制失控設備是關于運營治理。因此,最后一部分是圍繞治理策略構建檢測,以識別異常行為并發出警報。實際上,彌合了可見性部分和調查部分之間的差距。
失控設備的范圍從已知到未知,從良性到惡意,而您劃定界限的地方因您的組織而異。對于擁有處理車間設備所有自動化的 OT 平臺的大型制造商來說,失控的情況與金融服務公司的定義大不相同,可能需要不同的控制措施。即使在同一家公司內,失控的定義也會有所不同,無論您指的是 OT 網絡還是筆記本電腦、服務器和打印機所在的 IT 網絡。甚至在設備層面,云端和數據中心失控的情況也不同。幸運的是,豐富了上下文并覆蓋了治理策略的元數據提供了定義和檢測真正失控的內容并對其進行控制所需的靈活性。
標簽:
