通过EDR技术来解决物联网安全的安全问题

目前，全球安装了307.3亿个物联网（IoT）设备，预计到2025年，这一数字将达到755.4亿。网络犯罪分子一直在寻找突破端点设备的新方法。这使物联网安全成为所有网络，系统和连接设备持续健康的关键方面。

本文回顾了现有的物联网安全挑战，并提出了通过EDR安全技术解决这些问题的建议。

什么是EDR？

EDR是Gartner在2013年定义的一种安全技术和实践。EDR代表：

端点 —端点是诸如手机，笔记本电脑，用户工作站或服务器之类的设备。

检测 -EDR检测威胁并阻止对端点设备的攻击，并提供对可帮助安全团队调查攻击的信息的访问。

响应 -EDR工具可以通过执行阻止恶意进程和隔离端点的操作来自动响应攻击。

EDR系统的主要目标是通知安全团队有关端点上的恶意活动，并调查攻击的范围和根本原因。EDR的主要功能包括：

数据收集 -收集有关端点事件的数据，例如用户登录，流程执行和通信。

威胁检测 -执行行为分析以发现正常端点活动中的异常。该分析用于确定哪些异常代表恶意活动。

报告 -安全团队会收到包含有关端点安全事件的实时数据的报告。这些报告用于实时调查，遏制和缓解事件。

EDR安全工具只是端点保护策略的一部分。其他端点安全技术包括下一代防病毒（NGAV），用户行为分析（UBA）和设备防火墙。

EDR可检测到哪些类型的攻击？

EDR解决方案可提供对端点的可见性。这种可见性可以帮助您检测其他安全实践可能遗漏的威胁，包括：

内部威胁 –外部攻击者或恶意内部人员可以利用现有的用户帐户造成损害。EDR解决方案可以通过分析其行为来确定用户活动是合法的还是恶意的。

恶意软件 -攻击者正在不断开发可以逃避传统防病毒软件的新型恶意软件。这包括高级威胁，如无文件攻击。EDR无法完全阻止无文件攻击，但是它可以检测到发生了攻击，并可以帮助安全团队调查和缓解攻击。

低速攻击和慢速攻击 -以非常慢的速度涉及合法的流量。结果，它经常在雷达之下。EDR连续分析来自端点的数据，以检测可疑的单个活动，而与流量无关。

物联网安全挑战

尽管EDR旨在保护端点（如IoT设备），但保护IoT设备的安全可能会面临各种挑战。

缺乏人身安全

物联网设备有时会长时间放置在偏远地区。结果，黑客可以物理上篡改这些设备。例如，用恶意软件感染USB驱动器。

您必须保护IoT设备免受外部威胁，因为它们通常在没有任何用户干预的情况下自主运行。物联网制造商负责确保设备的物理安全性。但是，在低成本设备中添加安全传感器和变送器对制造商来说是真正的挑战。

僵尸网络攻击

许多物联网设备不是为安全性而设计的，并且可能没有能力更新软件或固件来解决安全漏洞。因此，攻击者可以轻松破坏IoT设备，在其上安装恶意软件，然后将其转变为大型僵尸网络。基于IoT设备的僵尸网络已被用来创建Internet上一些最大的分布式拒绝服务（DDoS）攻击。研究人员发现，使用WD-Discover协议的主动式DDoS武器超过800，000种，而WD-Discover协议几乎专门用于IoT设备。

窃听

物联网设备将用户信息记录在健康设备，可穿戴设备，智能玩具等中。黑客可以接管这些监视设备，以监视和侵入工业公司和私人用户。这可能会导致尝试窃取敏感数据并要求支付赎金以将其取回。在工业层面上，黑客可以通过收集公司的大数据来公开敏感的业务信息。

EDR如何保护物联网设备

物联网设备通常流式传输大量数据。您必须不断控制和监视设备，以避免数据丢失并实时识别攻击：

实时可见性和警报功能 -使您能够快速检测并遏制恶意活动。

自动事件响应 -减少响应时间，使您能够在事件的第一个迹象时阻止恶意活动。

威胁情报 —是安全数据的收集和分析。这些数据使您能够了解网络威胁的动机，并能够检测各种攻击。如果您与物联网制造商共享此信息，则可以帮助他们提高设备的基本安全性，从一开始就将漏洞最小化。

网络分段 -网络分段使您可以限制对服务和对端点的数据点的访问。分段减少了数据丢失的风险，并减少了成功攻击的损失。

防火墙 -EDR提供有关可能与当前事件有关的网络活动的实时数据。

沙箱 -恶意软件被隔离到IoT设备上的隔离位置，以检查其是否为恶意软件。

补丁程序管理 — IoT软件应定期进行补丁程序。通过将补丁程序管理解决方案与EDR 集成，您可以接收有关此IoT设备的最新补丁程序以及当前存在的漏洞的信息。

安全信息和事件管理（SIEM） -EDR警报应流入您的SIEM，从而实现与整个企业中其他安全数据的关联。

结论

EDR是一种网络安全方法，可从端点收集，存储和记录大量数据。该数据使安全专业人员可以通过提供对端点活动的可见性来检测，调查和缓解高级网络威胁。EDR可通过快速识别和阻止恶意活动来帮助您应对保护IoT设备的挑战。
责任编辑：YYX