目前,全球安装了307.3亿台物联网(IoT)设备,预计到2025年这一数字将达到755.4亿台。网络犯罪分子一直在寻找突破终端设备的新方法。这使得物联网的安全性成为所有网络、系统和连接设备持续健康的一个关键方面。
本文综述了物联网存在的安全挑战,并提出了通过EDR安全技术解决这些问题的建议。
什么是EDR?
EDR是Gartner在2013年定义的一种安全技术和实践。EDR代表:
端点—端点是指移动电话、笔记本电脑、用户工作站或服务器等设备。
检测-EDR检测威胁并阻止对终端设备的攻击,并提供对有助于安全团队调查攻击的信息的访问。
响应-EDR工具可以通过阻止恶意进程和隔离端点来自动响应攻击。
EDR系统的主要目标是通知安全团队终端上的恶意活动,并调查攻击的范围和根本原因。EDR的主要职能包括:
数据收集——收集关于端点事件的数据,比如用户登录、流程执行和通信。
威胁检测-执行行为分析以发现正常终端活动中的异常。此分析用于确定哪些异常表示恶意活动。
报告-安全团队将收到包含终端安全事件实时数据的报告。这些报告用于事件的实时调查、遏制和缓解。
EDR安全工具只是终端保护策略的一部分。其他终端安全技术包括下一代防病毒(NGAV)、用户行为分析(UBA)和设备防火墙。
EDR可以检测到哪些类型的攻击?
EDR解决方案可以提供端点可见性。这种可见性有助于您检测其他安全措施可能遗漏的威胁,包括:
内部威胁外部攻击者或恶意内部人员可以使用现有用户帐户造成损害。EDR解决方案可以确定用户是否通过分析活动的行为来判断活动是合法的还是恶意的。
恶意软件-攻击者不断开发新的恶意软件,可以避开传统的反病毒软件。这包括高级威胁,如无文件攻击。EDR可以虽然不能完全阻止无文件攻击,但它可以检测攻击并帮助安全团队调查和缓解攻击。
慢速攻击和慢速攻击-涉及速度非常慢的合法流量。因此,它往往不为人所知。无论流量如何,EDR都会持续分析来自终端的数据,以检测可疑的个人活动。
物联网安全挑战
虽然EDR旨在保护端点(如物联网设备),但保护物联网设备的安全可能面临各种挑战。
缺乏人身安全
物联网设备有时会长期放置在偏远地区。因此,黑客可以对这些设备进行物理篡改。例如,一个USB驱动器感染了恶意软件。
你必须保护物联网设备免受外部威胁,因为它们通常在没有任何用户干预的情况下自动运行。物联网制造商负责确保设备的物理安全。然而,为低成本设备添加安全传感器和发射器对制造商来说是一个真正的挑战。
僵尸网络攻击
很多物联网设备不是为安全而设计的,可能不具备更新软件或固件解决安全漏洞的能力。因此,攻击者可以轻松破坏物联网设备,在其上安装恶意软件,然后将其变成大型僵尸网络。基于物联网设备的僵尸网络已被用于创建互联网上一些最大的分布式拒绝服务(DDoS)攻击。研究人员发现,有超过80万个活跃的DDoS武器使用WD-Discover协议,该协议几乎专门用于物联网设备。
偷听
物联网设备在健康设备、可穿戴设备、智能玩具等记录用户信息。黑客可以接管这些监控设备,对工业公司和私人用户进行监控和入侵。这可能会导致试图窃取敏感数据,并要求赎金来取回数据。在工业层面,黑客可以通过收集公司的大数据来泄露敏感的商业信息。
EDR如何保护物联网设备
物联网设备通常会传输大量数据。您必须持续控制和监控您的设备,以避免数据丢失并实时识别攻击:
实时可见性和警报功能-使您能够快速检测和遏制恶意活动。
自动事件响应-缩短响应时间,使您能够在事件出现第一个迹象时就阻止恶意活动。
情报-收集和分析安全数据。这些数据使您能够了解网络威胁的动机,并检测各种攻击。如果与物联网制造商分享这些信息,就可以帮助他们提高设备的基本安全性,并从一开始就将漏洞降至最低。
网络分段-网络分段允许您限制对服务和端点数据点的访问。分段降低了数据丢失的风险和成功攻击的损失。
防火墙-EDR提供可能与当前事件相关的网络活动的实时数据。
沙盒-恶意软件被隔离到物联网设备上的隔离位置,以检查它是否是恶意软件。
补丁管理—物联网软件应定期打补丁。通过将补丁管理解决方案与EDR集成,您可以接收关于此物联网设备的最新补丁和当前漏洞的信息。
信息和事件管理(SIEM) -EDR警报应该流入您的SIEM,以便实现与整个企业中其他安全数据的关联。
结论
EDR是一种网络安全方法,它可以收集、存储和记录来自端点的大量数据。这些数据通过提供对终端活动的可见性,使安全专业人员能够检测、调查和缓解高级网络威胁。EDR可以通过快速识别和阻止恶意活动来帮助您应对保护物联网设备的挑战。
标签:设备物联网数据