《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > EDR市場迎來大爆發(fā)!美國政府宣布將全面部署EDR

EDR市場迎來大爆發(fā)!美國政府宣布將全面部署EDR

2021-10-20
來源:互聯網安全內參
關鍵詞: EDR

  全力推動建設聯邦政府EDR安全平臺,提高美國政府網絡安全漏洞和威脅的可見性與檢測,將網絡防御從被動姿態(tài)轉向主動姿態(tài)。

  2021年10月8日,美國白宮管理與預算辦公室(OMB)發(fā)布備忘錄(M-22-01),通過部署端點檢測與響應(EDR)改進聯邦政府系統(tǒng)的網絡安全漏洞和事件檢測。

  在遭受SolarWinds等事件后,美國總統(tǒng)拜登發(fā)布第14028號行政令,要求聯邦機構部署EDR解決方案,支撐主動檢測聯邦政府基礎設施內的網絡安全事件,并進行網絡狩獵、遏制、補救以及事件響應。根據該要求,管理與預算辦公室發(fā)布了M-22-01備忘錄。

  本備忘錄將為各聯邦機構提供指引,加快推動部署EDR解決方案。具體而言,將通過集體努力實現第14028號行政令提到的三大目標:

  提高機構對其網絡上網絡安全事件的早期檢測、響應和補救能力;

  實現機構內部跨部門/局/子機構的企業(yè)級可見性;

  通過CISA部署的集中式EDR實現整個聯邦政府信息系統(tǒng)的主機級可見性、歸因和響應。

  管理與預算辦公室認為,EDR將端點數據實時連續(xù)監(jiān)控和收集、基于規(guī)則的自動響應與分析能力相結合,相比傳統(tǒng)解決方案,在應對高級網絡威脅上提供了更高的可見性,并是過渡到零信任體系的重要組成部分。

  管理與預算辦公室要求,在90天內,聯邦機構必須向CISA提供已部署EDR的訪問權,或商議確定未來的方案。當聯邦機構處于部署和完善EDR解決方案階段時,需要在120天內與CISA商議分析,確定現有EDR部署的差距,評估當前能力狀況并進行改進,確保最終與CISA技術參考架構一致,能從最廣泛的終端收集到必要數據。

  相應的在監(jiān)管側,管理與預算辦公室也對CISA提出了要求。在90天內,CISA需要制定一個持續(xù)性能監(jiān)測流程,幫助各聯邦機構確保EDR的部署和運行能夠檢測和應對常見威脅;CISA需要向管理與預算辦公室提交進一步加快推動全體聯邦政府EDR部署工作的建議;CISA需要發(fā)布EDR技術參考架構和成熟度模型。在180天內,CISA需要與聯邦CIO委員會協(xié)調,制定EDR解決方案部署最佳實踐手冊。

  按照備忘錄要求,最終各聯邦機構將部署符合CISA技術參考架構的EDR解決方案,為EDR提供適當的經費和人員支持,并向CISA提供訪問權,實現主動威脅狩獵能力與對高級威脅的協(xié)調響應。

  集中式EDR與EINSTEIN、CDM的關系

  這份備忘錄分為兩部分,一部分是各聯邦機構部署和完善符合要求的EDR解決方案,另一部分則是CISA部署集中式EDR,通過收集各聯邦機構EDR的數據,從而實現聯邦級別的主機級可見性、歸因和響應。

  從上文描述來看,備忘錄中提到由CISA部署的集中式EDR,和CISA目前正在運營的愛因斯坦(EINSTEIN)項目、連續(xù)診斷與緩解(CDM)項目似乎功能類似,都是針對聯邦機構收集安全數據,提供態(tài)勢感知、分析處置等防護能力。

  其實不然,集中式EDR與愛因斯坦、連續(xù)診斷與緩解項目互為補充。愛因斯坦、連續(xù)診斷與緩解是傳統(tǒng)的被動防御產品,只能應付已知安全威脅(比如安全廠商更新了攔截規(guī)則),難以應付從未披露過/高隱蔽性的攻擊事件。而集中式EDR通過收集全量終端安全數據,提供了更高級別的可見性,令分析師更有機會發(fā)現高級威脅攻擊。

  具體來說,愛因斯坦項目在網絡層攔截已知惡意攻擊(不太兼容云環(huán)境);連續(xù)診斷與緩解項目是被動防御體系,提供資產管理、身份和訪問管理、網絡流量管理、敏感數據保護四個方面的防護能力;集中式EDR在終端層識別和攔截攻擊,補全了網絡內部的視角。

  解讀:

  美國聯邦政府網絡防御將邁入主動姿態(tài)

  目前,備忘錄只是提出了聯邦機構全面部署EDR解決方案的階段性目標,但部署并不能有效應對高級威脅,還需要高水平的安全專家持續(xù)進行運營。

  從CDM項目的經驗來看,這可能還是一場長期攻堅戰(zhàn)。2020年8月,美國政府問責局(GAO)對聯邦機構CDM項目實踐進行審查,發(fā)現竟沒有一家聯邦機構滿足CDM運行的關鍵要求,多方面的缺陷導致收集數據質量變差,使得機構的CDM控制面板和網絡安全評分的作用大幅降低。

  盡管如此,這也是一次安全能力上的躍遷。通過全面部署EDR,將大幅提高美國政府網絡安全漏洞和威脅的可見性與檢測,將網絡防御從被動姿態(tài)轉向主動姿態(tài)。

  參考資料

  OMB M-22-01

  https://www.whitehouse.gov/wp-content/uploads/2021/10/M-22-01.pdf

  美國總統(tǒng)拜登《關于改善國家網絡安全的行政令》全文翻譯

  https://www.secrss.com/articles/31267

  如何提高SOC事件響應能力?美國白宮提出明確要求

  https://www.secrss.com/articles/34075

  美國聯邦政府態(tài)勢感知項目 (CDM) 實踐的不足與改進

  

https://www.secrss.com/articles/25538



電子技術圖片.png


本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯系電話:010-82306118;郵箱:aet@chinaaet.com。