最近两年,越来越多人开始讨论EDR和终端安全运营了。因为大家发现:
办公网入侵,普遍占比达50%以上;
靠杀软,最多只能干掉20%免杀不行的;
靠流量封堵,约60%是域前置加密,没法封。
而攻防演练期间,终端防守难度更是指数级上升。于是蓝队出身的大黄找到了老板,说…...
而大黄也拍了胸脯:“一年之内,把日常和攻防演练期间的EDR运营策略都摸个清楚。”
严格的EDR运营策略
经过近一年的探索,EDR运营效果还真不错。从银狐到勒索,通通斩落马下。
趁着阶段性建设成果总结,大黄决定在今年攻防演练期间,继续对EDR加温。
精细防护
攻防演练期间,内存扫描等检测功能均需“满血运行”,保障检测的及时性和全面性;
平时则根据性能消耗情况进行灵活调整;
此外,对于安全意识较弱、需频繁对外沟通以及拥有高权限的同事,例如人力、销售、IT、客服等,进行重点监测。
远控优先
攻防演练期间优先处置远控类攻击,重点防范红队定向入侵;
平时在攻击不密集情况下,则各类安全事件一视同仁,发现一起处置一起。
快速响应
攻防演练期间的事件处置,需在15分钟内隔离失陷机器;2小时内完成溯源,清理文件、进程和驻留项;半天堵住安全短板,防止同类事件再次发生。
平时则可分别放宽到1小时、1天和3天。
主动狩猎
攻防演练期间需增加威胁狩猎频次,主动发现日志中是否有攻击痕迹;
平时可在有余力的情况下,酌情进行威胁狩猎。
7x24小时MDR
综合成本、服务质量等因素,考虑使用MDR取代部分线下驻场。
攻防演练期间配置7x24小时服务,重点盯防红队各类远控;
平时则以5x8小时为主,主要盯防银狐、勒索、挖矿等各类黑灰产。
发现攻击后,云端可一键下发任务,快速完成事件处置。
此外,行业视角的威胁情报和攻击事件总结,也能够为防守策略调整和威胁狩猎提供依据。
管控手段也需更加严格
“非常好。”领导听完连连点头,
“但有一点,不能只把EDR作为唯一的防线,在终端安全上,怎么建立纵深防御手段?”
大黄似乎早就知道领导会有此一问,因此成竹在胸。
攻击面收敛
对常用的IM应用,在平时禁止接收可执行文件的基础上,追加压缩文件,进一步收敛工队钓鱼攻击面。这部分动作一般依靠桌管实现,但一部分EDR也有类似能力。
软件管控
针对攻防演练期间新出现的特定漏洞,禁止运行相关软件,防止被用于钓鱼;
在攻防演练期间禁止安装、使用远控软件,防止红队滥用合法远控工具。
除此之外,还需要更新一下现有的网络安全制度:攻防演练期间,下班后必须关机或断网,防止电脑被红队用“零交互”攻击手段持续控制。
这一套组合拳下来,红队休想再欺负办公网是软柿子。
推荐阅读
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...