Cybersec Wednesday|EDR真的能百分百保障企业的网络安全吗?
EDR(Endpoint Detection and Response)是一种安全解决方案,专门用于检测和回应在端点设备(例如桌上电脑、手提电脑、手机等)上的安全事件,能检测多种攻击方式,例如恶意软件、漏洞利用、内部威胁以及其他可疑活动。透过EDR的软件代理程序或代理应用程序,收集和分析端点数据,快速检测和识别威胁,以便安全团队可以迅速采取行动。
具体来说,EDR 通常具有以下功能:
实时监控:实时监控端点设备上的活动,并识别可疑的行为。
威胁检测:通过机器学习和其他高级技术来检测和识别威胁。
威胁回应:自动对可疑活动进行回应,例如封锁攻击者访问,隔离受感染的设备等。
警报和报告:生成警报和报告,以提供关于威胁和事件的详细信息,帮助安全团队更好地理解和应对安全事件。
尽管EDR能发挥一系列的保安功能,但它是否完美的安全解决方案?看看以下的例子就会知道:
- DLL(Dynamic-Link Library)侧载攻击
近年,有很多黑客倾向使用 DLL(Dynamic-Link Library)侧载攻击,原因不外乎这些被利用的 DLL 动态连结程式库具备可执行特性,因此只要将恶意 DLL 程式库,取代原应用程式中所需使用的 Windows DLL 程式库,就可在用家执行该应用程式时被载入,达到攻击的效果。不过,这些技术必须调用 Windows APIs 和各种系统创建进程,因此在执行时仍有可能被安全工具发现而进行干预。
有见及此,个别黑客开发了一些高阶的进程注入攻击,同样利用 DLL的技术,但手法就完全不同。其中一个著名的例子就是Mockingjay。
Mockingjay 与其他进程注入攻击的不同之处,在于它不会使用经常被滥用的 Windows API,执行过程亦毋须提升权限,不会要求分配记忆体及创建新进程,因此逃避侦测的能力非常高。其中一个攻击例子是 它可以使用 Visual Studio 2022 内的 DLL msys-2.0.dll,因其默认 RWX 记忆空间为 16KB,黑客便将恶意编码注入其中,在执行时便会被安全工具视为合法作业。
Mockingjay 的攻击手法开发出两种注入方式,一种用于自我注入,一种则利用远程进程注入。在第一种情况下,一个自定义的应用程序会将存在漏洞的 DLL 加载到自家的储存空间中,由于该 DLL 进程已被分配储存空间及拥有读写及执行权限,因此在执行注入的恶意编码时不会响起警号。而第二种方法是利用 msys-2.0.dll 的 RWX 空间,将恶意编码遥距载入另一个已执行的子进程如 ssh.exe,再利用它逆向与攻击者的电脑设备建立连结,同样可达到感染电脑的目标。
上述两种方法都不会使用经常被 EDR 工具监测的 API,因此不太可能引起警报,令EDR发挥不了保护的作用。
由此可见,即使EDR解决方案可以帮助企业检测和回应安全事件,但企业也不应该仅仅依赖EDR。
为了更全面地保护企业的资产和数据,企业需要采用整体安全方法,包括但不限于:
1. 实施网络安全控制:部署防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)等网络安全控制措施,以防止未经授权的访问和攻击。
2. 加强身份验证和授权管理:实施强身份验证和授权管理,确保只有经过授权的用户才能访问敏感资料和系统。
3. 定期更新和升级系统:定期更新和升级其系统和应用程序,以填补已知漏洞和弱点。
4. 建立安全文化:建立安全文化,培养员工对安全的意识和责任感,并定期进行培训和测试,以确保员工能够识别和应对安全事件。
总括而言,企业需要采用多层次的安全措施、不应该依赖个别方案、仔细分析数据记录还有及时检测和回应可疑的活动,才能更好地保护企业的资产和数据。
网络安全在很多方面还需要注意,如有任何疑问欢迎加入我们的 Cybersec Infohub 计划,让行业里的网络安全专家为您解决,如果您怀疑自己或公司的电脑被骇或有可疑的行为,亦请尽快联络网络安全专家求助。
关于 Cybersec Wednesday
每逢星期三,HKIRC网络安全团队都会挑选一个网络安全主题,以文章、贴士或最佳实践的形式与大家分享。 请留意每周三的更新,定时掌握最新鲜的网络安全资讯。
