目前，全球安裝了307.3億個物聯網（IoT）設備，預計到2025年，這一數字將達到755.4億。網絡犯罪分子一直在尋找突破端點設備的新方法。這使物聯網安全成為所有網絡，系統和連接設備持續健康的關鍵方面。

本文回顧了現有的物聯網安全挑戰，并提出了通過EDR安全技術解決這些問題的建議。

什么是EDR？

EDR是Gartner在2013年定義的一種安全技術和實踐。EDR代表：

端點 —端點是諸如手機，筆記本電腦，用戶工作站或服務器之類的設備。

檢測 -EDR檢測威脅并阻止對端點設備的攻擊，并提供對可幫助安全團隊調查攻擊的信息的訪問。

響應 -EDR工具可以通過執行阻止惡意進程和隔離端點的操作來自動響應攻擊。

EDR系統的主要目標是通知安全團隊有關端點上的惡意活動，并調查攻擊的范圍和根本原因。EDR的主要功能包括：

數據收集 -收集有關端點事件的數據，例如用戶登錄，流程執行和通信。

威脅檢測 -執行行為分析以發現正常端點活動中的異常。該分析用于確定哪些異常代表惡意活動。

報告 -安全團隊會收到包含有關端點安全事件的實時數據的報告。這些報告用于實時調查，遏制和緩解事件。

EDR安全工具只是端點保護策略的一部分。其他端點安全技術包括下一代防病毒（NGAV），用戶行為分析（UBA）和設備防火墻。

EDR可檢測到哪些類型的攻擊？

EDR解決方案可提供對端點的可見性。這種可見性可以幫助您檢測其他安全實踐可能遺漏的威脅，包括：

內部威脅 –外部攻擊者或惡意內部人員可以利用現有的用戶帳戶造成損害。EDR解決方案可以通過分析其行為來確定用戶活動是合法的還是惡意的。

惡意軟件 -攻擊者正在不斷開發可以逃避傳統防病毒軟件的新型惡意軟件。這包括高級威脅，如無文件攻擊。EDR無法完全阻止無文件攻擊，但是它可以檢測到發生了攻擊，并可以幫助安全團隊調查和緩解攻擊。

低速攻擊和慢速攻擊 -以非常慢的速度涉及合法的流量。結果，它經常在雷達之下。EDR連續分析來自端點的數據，以檢測可疑的單個活動，而與流量無關。

物聯網安全挑戰

盡管EDR旨在保護端點（如IoT設備），但保護IoT設備的安全可能會面臨各種挑戰。

缺乏人身安全

物聯網設備有時會長時間放置在偏遠地區。結果，黑客可以物理上篡改這些設備。例如，用惡意軟件感染USB驅動器。

您必須保護IoT設備免受外部威脅，因為它們通常在沒有任何用戶干預的情況下自主運行。物聯網制造商負責確保設備的物理安全性。但是，在低成本設備中添加安全傳感器和變送器對制造商來說是真正的挑戰。

僵尸網絡攻擊

許多物聯網設備不是為安全性而設計的，并且可能沒有能力更新軟件或固件來解決安全漏洞。因此，攻擊者可以輕松破壞IoT設備，在其上安裝惡意軟件，然后將其轉變為大型僵尸網絡。基于IoT設備的僵尸網絡已被用來創建Internet上一些最大的分布式拒絕服務（DDoS）攻擊。研究人員發現，使用WD-Discover協議的主動式DDoS武器超過800，000種，而WD-Discover協議幾乎專門用于IoT設備。

竊聽

物聯網設備將用戶信息記錄在健康設備，可穿戴設備，智能玩具等中。黑客可以接管這些監視設備，以監視和侵入工業公司和私人用戶。這可能會導致嘗試竊取敏感數據并要求支付贖金以將其取回。在工業層面上，黑客可以通過收集公司的大數據來公開敏感的業務信息。

EDR如何保護物聯網設備

物聯網設備通常流式傳輸大量數據。您必須不斷控制和監視設備，以避免數據丟失并實時識別攻擊：

實時可見性和警報功能 -使您能夠快速檢測并遏制惡意活動。

自動事件響應 -減少響應時間，使您能夠在事件的第一個跡象時阻止惡意活動。

威脅情報 —是安全數據的收集和分析。這些數據使您能夠了解網絡威脅的動機，并能夠檢測各種攻擊。如果您與物聯網制造商共享此信息，則可以幫助他們提高設備的基本安全性，從一開始就將漏洞最小化。

網絡分段 -網絡分段使您可以限制對服務和對端點的數據點的訪問。分段減少了數據丟失的風險，并減少了成功攻擊的損失。

防火墻 -EDR提供有關可能與當前事件有關的網絡活動的實時數據。

沙箱 -惡意軟件被隔離到IoT設備上的隔離位置，以檢查其是否為惡意軟件。

補丁程序管理 — IoT軟件應定期進行補丁程序。通過將補丁程序管理解決方案與EDR 集成，您可以接收有關此IoT設備的最新補丁程序以及當前存在的漏洞的信息。

安全信息和事件管理（SIEM） -EDR警報應流入您的SIEM，從而實現與整個企業中其他安全數據的關聯。

結論

EDR是一種網絡安全方法，可從端點收集，存儲和記錄大量數據。該數據使安全專業人員可以通過提供對端點活動的可見性來檢測，調查和緩解高級網絡威脅。EDR可通過快速識別和阻止惡意活動來幫助您應對保護IoT設備的挑戰。
責任編輯：YYX