Cybersec Wednesday|EDR真的能百分百保障企業的網絡安全嗎?
EDR(Endpoint Detection and Response)是一種安全解決方案,專門用於檢測和回應在端點設備(例如桌上電腦、手提電腦、手機等)上的安全事件,能檢測多種攻擊方式,例如惡意軟件、漏洞利用、內部威脅以及其他可疑活動。透過EDR的軟件代理程序或代理應用程序,收集和分析端點數據,快速檢測和識別威脅,以便安全團隊可以迅速採取行動。
具體來說,EDR 通常具有以下功能:
實時監控:實時監控端點設備上的活動,並識別可疑的行為。
威脅檢測:通過機器學習和其他高級技術來檢測和識別威脅。
威脅回應:自動對可疑活動進行回應,例如封鎖攻擊者訪問,隔離受感染的設備等。
警報和報告:生成警報和報告,以提供關於威脅和事件的詳細信息,幫助安全團隊更好地理解和應對安全事件。
儘管EDR能發揮一系列的保安功能,但它是否完美的安全解決方案?看看以下的例子就會知道:
- DLL(Dynamic-Link Library)側載攻擊
近年,有很多黑客傾向使用 DLL(Dynamic-Link Library)側載攻擊,原因不外乎這些被利用的 DLL 動態連結程式庫具備可執行特性,因此只要將惡意 DLL 程式庫,取代原應用程式中所需使用的 Windows DLL 程式庫,就可在用家執行該應用程式時被載入,達到攻擊的效果。不過,這些技術必須調用 Windows APIs 和各種系統創建進程,因此在執行時仍有可能被安全工具發現而進行干預。
有見及此,個別黑客開發了一些高階的進程注入攻擊,同樣利用 DLL的技術,但手法就完全不同。其中一個著名的例子就是Mockingjay。
Mockingjay 與其他進程注入攻擊的不同之處,在於它不會使用經常被濫用的 Windows API,執行過程亦毋須提升權限,不會要求分配記憶體及創建新進程,因此逃避偵測的能力非常高。其中一個攻擊例子是 它可以使用 Visual Studio 2022 內的 DLL msys-2.0.dll,因其默認 RWX 記憶空間為 16KB,黑客便將惡意編碼注入其中,在執行時便會被安全工具視為合法作業。
Mockingjay 的攻擊手法開發出兩種注入方式,一種用於自我注入,一種則利用遠程進程注入。在第一種情況下,一個自定義的應用程序會將存在漏洞的 DLL 加載到自家的儲存空間中,由於該 DLL 進程已被分配儲存空間及擁有讀寫及執行權限,因此在執行注入的惡意編碼時不會響起警號。而第二種方法是利用 msys-2.0.dll 的 RWX 空間,將惡意編碼遙距載入另一個已執行的子進程如 ssh.exe,再利用它逆向與攻擊者的電腦設備建立連結,同樣可達到感染電腦的目標。
上述兩種方法都不會使用經常被 EDR 工具監測的 API,因此不太可能引起警報,令EDR發揮不了保護的作用。
由此可見,即使EDR解決方案可以幫助企業檢測和回應安全事件,但企業也不應該僅僅依賴EDR。
為了更全面地保護企業的資產和數據,企業需要採用整體安全方法,包括但不限於:
1. 實施網絡安全控制:部署防火牆、入侵檢測系統(IDS)和入侵防禦系統(IPS)等網絡安全控制措施,以防止未經授權的訪問和攻擊。
2. 加強身份驗證和授權管理:實施強身份驗證和授權管理,確保只有經過授權的用戶才能訪問敏感資料和系統。
3. 定期更新和升級系統:定期更新和升級其系統和應用程序,以填補已知漏洞和弱點。
4. 建立安全文化:建立安全文化,培養員工對安全的意識和責任感,並定期進行培訓和測試,以確保員工能夠識別和應對安全事件。
總括而言,企業需要採用多層次的安全措施、不應該依賴個別方案、仔細分析數據記錄還有及時檢測和回應可疑的活動,才能更好地保護企業的資產和數據。
網絡安全在很多方面還需要注意,如有任何疑問歡迎加入我們的 Cybersec Infohub 計劃,讓行業裏的網絡安全專家為您解決,如果您懷疑自己或公司的電腦被駭或有可疑的行為,亦請盡快聯絡網絡安全專家求助。
關於 Cybersec Wednesday
每逢星期三,HKIRC網絡安全團隊都會挑選一個網絡安全主題,以文章、貼士或最佳實踐的形式與大家分享。 請留意每週三的更新,定時掌握最新鮮的網絡安全資訊。
