目前，全球裝置了307.3億個物聯(lián)網(wǎng)（IoT）設(shè)備，估計到2025年，這一數(shù)字將到達(dá)755.4億。網(wǎng)絡(luò)立功分子不斷在尋覓打破端點設(shè)備的新辦法。這使物聯(lián)網(wǎng)安全成為一切網(wǎng)絡(luò)，系統(tǒng)和銜接設(shè)備持續(xù)安康的關(guān)鍵方面。

　　本文回憶了現(xiàn)有的物聯(lián)網(wǎng)安全應(yīng)戰(zhàn)，并提出了經(jīng)過EDR安全技術(shù)處理這些問題的倡議。

　　什么是EDR？

　　EDR是Gartner在2013年定義的一種安全技術(shù)和理論。EDR代表：

　　端點 —端點是諸如手機(jī)，筆記本電腦，用戶工作站或效勞器之類的設(shè)備。

　　檢測 -EDR檢測要挾并阻止對端點設(shè)備的攻擊，并提供對可協(xié)助安全團(tuán)隊調(diào)查攻擊的信息的訪問。

　　響應(yīng) -EDR工具能夠經(jīng)過執(zhí)行阻止歹意進(jìn)程和隔離端點的操作來自動響應(yīng)攻擊。

　　EDR系統(tǒng)的主要目的是通知安全團(tuán)隊有關(guān)端點上的歹意活動，并調(diào)查攻擊的范圍和基本緣由。EDR的主要功用包括：

　　數(shù)據(jù)搜集 -搜集有關(guān)端點事情的數(shù)據(jù)，例如用戶登錄，流程執(zhí)行和通訊。

　　要挾檢測 -執(zhí)行行為剖析以發(fā)現(xiàn)正常端點活動中的異常。該剖析用于肯定哪些異常代表歹意活動。

　　報告 -安全團(tuán)隊會收到包含有關(guān)端點安全事情的實時數(shù)據(jù)的報告。這些報告用于實時調(diào)查，遏制弛緩解事情。

　　EDR安全工具只是端點維護(hù)戰(zhàn)略的一局部。其他端點安全技術(shù)包括下一代防病毒（NGAV），用戶行為剖析（UBA）和設(shè)備防火墻。

　　EDR可檢測到哪些類型的攻擊？

　　EDR處理計劃可提供對端點的可見性。這種可見性能夠協(xié)助您檢測其他安全理論可能遺漏的要挾，包括：

　　內(nèi)部要挾 –外部攻擊者或歹意內(nèi)部人員能夠應(yīng)用現(xiàn)有的用戶帳戶形成損傷。EDR處理計劃能夠經(jīng)過剖析其行為來肯定用戶活動是合法的還是歹意的。

　　歹意軟件 -攻擊者正在不時開發(fā)能夠逃避傳統(tǒng)防病毒軟件的新型歹意軟件。這包括高級要挾，如無文件攻擊。EDR無法完整阻止無文件攻擊，但是它能夠檢測到發(fā)作了攻擊，并能夠協(xié)助安全團(tuán)隊調(diào)查弛緩解攻擊。

　　低速攻擊和慢速攻擊 -以十分慢的速度觸及合法的流量。結(jié)果，它經(jīng)常在雷達(dá)之下。EDR連續(xù)剖析來自端點的數(shù)據(jù)，以檢測可疑的單個活動，而與流量無關(guān)。

　　物聯(lián)網(wǎng)安全應(yīng)戰(zhàn)

　　雖然EDR旨在維護(hù)端點（如IoT設(shè)備），但維護(hù)IoT設(shè)備的安全可能會面臨各種應(yīng)戰(zhàn)。

　　缺乏人身安全

　　物聯(lián)網(wǎng)設(shè)備有時會長時間放置在偏僻地域。結(jié)果，黑客能夠物理上竄改這些設(shè)備。例如，用歹意軟件感染USB驅(qū)動器。

　　您必需維護(hù)IoT設(shè)備免受外部要挾，由于它們通常在沒有任何用戶干預(yù)的狀況下自主運轉(zhuǎn)。物聯(lián)網(wǎng)制造商擔(dān)任確保設(shè)備的物理安全性。但是，在低本錢設(shè)備中添加安全傳感器和變送器對制造商來說是真正的應(yīng)戰(zhàn)。

　　僵尸網(wǎng)絡(luò)攻擊

　　許多物聯(lián)網(wǎng)設(shè)備不是為安全性而設(shè)計的，并且可能沒有才能更新軟件或固件來處理安全破綻。因而，攻擊者能夠輕松毀壞IoT設(shè)備，在其上裝置歹意軟件，然后將其轉(zhuǎn)變?yōu)榇笮徒┦W(wǎng)絡(luò)。基于IoT設(shè)備的僵尸網(wǎng)絡(luò)已被用來創(chuàng)立Internet上一些最大的散布式回絕效勞（DDoS）攻擊。研討人員發(fā)現(xiàn)，運用WD-Discover協(xié)議的主動式DDoS武器超越800,000種，而WD-Discover協(xié)議簡直特地用于IoT設(shè)備。

　　竊聽

　　物聯(lián)網(wǎng)設(shè)備將用戶信息記載在安康設(shè)備，可穿戴設(shè)備，智能玩具等中。黑客能夠接收這些監(jiān)視設(shè)備，以監(jiān)視和侵入工業(yè)公司和私人用戶。這可能會招致嘗試竊取敏感數(shù)據(jù)并請求支付贖金以將其取回。在工業(yè)層面上，黑客能夠經(jīng)過搜集公司的大數(shù)據(jù)來公開敏感的業(yè)務(wù)信息。

　　EDR如何維護(hù)物聯(lián)網(wǎng)設(shè)備

　　物聯(lián)網(wǎng)設(shè)備通常流式傳輸大量數(shù)據(jù)。您必需不時控制和監(jiān)視設(shè)備，以防止數(shù)據(jù)喪失并實時辨認(rèn)攻擊：

　　實時可見性和警報功用 -使您可以快速檢測并遏制歹意活動。

　　自動事情響應(yīng) -減少響應(yīng)時間，使您可以在事情的第一個跡象時阻止歹意活動。

　　要挾情報 —是安全數(shù)據(jù)的搜集和剖析。這些數(shù)據(jù)使您可以理解網(wǎng)絡(luò)要挾的動機(jī)，并可以檢測各種攻擊。假如您與物聯(lián)網(wǎng)制造商共享此信息，則能夠協(xié)助他們進(jìn)步設(shè)備的根本安全性，從一開端就將破綻最小化。

　　網(wǎng)絡(luò)分段 -網(wǎng)絡(luò)分段使您能夠限制對效勞和對端點的數(shù)據(jù)點的訪問。分段減少了數(shù)據(jù)喪失的風(fēng)險，并減少了勝利攻擊的損失。

　　防火墻 -EDR提供有關(guān)可能與當(dāng)前事情有關(guān)的網(wǎng)絡(luò)活動的實時數(shù)據(jù)。

　　沙箱 -歹意軟件被隔離到IoT設(shè)備上的隔離位置，以檢查其能否為歹意軟件。

　　補丁程序管理 — IoT軟件應(yīng)定期停止補丁程序。經(jīng)過將補丁程序管理處理計劃與EDR 集成，您能夠接納有關(guān)此IoT設(shè)備的最新補丁程序以及當(dāng)前存在的破綻的信息。

　　安全信息和事情管理（SIEM） -EDR警報應(yīng)流入您的SIEM，從而完成與整個企業(yè)中其他安全數(shù)據(jù)的關(guān)聯(lián)。

　　結(jié)論

　　EDR是一種網(wǎng)絡(luò)安全辦法，可從端點搜集，存儲和記載大量數(shù)據(jù)。該數(shù)據(jù)使安全專業(yè)人員能夠經(jīng)過提供對端點活動的可見性來檢測，調(diào)查弛緩解高級網(wǎng)絡(luò)要挾。EDR可經(jīng)過快速辨認(rèn)和阻止歹意活動來協(xié)助您應(yīng)對維護(hù)IoT設(shè)備的應(yīng)戰(zhàn)。

　　鄭州博觀電子科技有限公司是一家提供科技類物聯(lián)網(wǎng)開發(fā)軟硬件定制化方案服務(wù)商、也是中原地區(qū)領(lǐng)先的物聯(lián)網(wǎng)終端設(shè)備解決方案提供商。致力共享換電柜、智能充電樁、共享洗車機(jī)、物聯(lián)網(wǎng)軟硬件等服務(wù)平臺的方案開發(fā)與運維。總部位于河南省鄭州市高新區(qū)，已取得國家高新技術(shù)企業(yè)認(rèn)證證書。經(jīng)過10多年的業(yè)務(wù)開拓，公司已經(jīng)形成了以中原地區(qū)為中心、業(yè)務(wù)遍布全國的經(jīng)營格局。