其他
EDR市场迎来大爆发!美国政府宣布将全面部署EDR
关注我们
带你读懂网络安全
全力推动建设联邦政府EDR安全平台,提高美国政府网络安全漏洞和威胁的可见性与检测,将网络防御从被动姿态转向主动姿态。
2021年10月8日,美国白宫管理与预算办公室(OMB)发布备忘录(M-22-01),通过部署端点检测与响应(EDR)改进联邦政府系统的网络安全漏洞和事件检测。
在遭受SolarWinds等事件后,美国总统拜登发布第14028号行政令,要求联邦机构部署EDR解决方案,支撑主动检测联邦政府基础设施内的网络安全事件,并进行网络狩猎、遏制、补救以及事件响应。根据该要求,管理与预算办公室发布了M-22-01备忘录。
提高机构对其网络上网络安全事件的早期检测、响应和补救能力;
实现机构内部跨部门/局/子机构的企业级可见性;
通过CISA部署的集中式EDR实现整个联邦政府信息系统的主机级可见性、归因和响应。
集中式EDR与EINSTEIN、CDM的关系
这份备忘录分为两部分,一部分是各联邦机构部署和完善符合要求的EDR解决方案,另一部分则是CISA部署集中式EDR,通过收集各联邦机构EDR的数据,从而实现联邦级别的主机级可见性、归因和响应。从上文描述来看,备忘录中提到由CISA部署的集中式EDR,和CISA目前正在运营的爱因斯坦(EINSTEIN)项目、连续诊断与缓解(CDM)项目似乎功能类似,都是针对联邦机构收集安全数据,提供态势感知、分析处置等防护能力。其实不然,集中式EDR与爱因斯坦、连续诊断与缓解项目互为补充。爱因斯坦、连续诊断与缓解是传统的被动防御产品,只能应付已知安全威胁(比如安全厂商更新了拦截规则),难以应付从未披露过/高隐蔽性的攻击事件。而集中式EDR通过收集全量终端安全数据,提供了更高级别的可见性,令分析师更有机会发现高级威胁攻击。具体来说,爱因斯坦项目在网络层拦截已知恶意攻击(不太兼容云环境);连续诊断与缓解项目是被动防御体系,提供资产管理、身份和访问管理、网络流量管理、敏感数据保护四个方面的防护能力;集中式EDR在终端层识别和拦截攻击,补全了网络内部的视角。
解读:
美国联邦政府网络防御将迈入主动姿态
目前,备忘录只是提出了联邦机构全面部署EDR解决方案的阶段性目标,但部署并不能有效应对高级威胁,还需要高水平的安全专家持续进行运营。从CDM项目的经验来看,这可能还是一场长期攻坚战。2020年8月,美国政府问责局(GAO)对联邦机构CDM项目实践进行审查,发现竟没有一家联邦机构满足CDM运行的关键要求,多方面的缺陷导致收集数据质量变差,使得机构的CDM控制面板和网络安全评分的作用大幅降低。尽管如此,这也是一次安全能力上的跃迁。通过全面部署EDR,将大幅提高美国政府网络安全漏洞和威胁的可见性与检测,将网络防御从被动姿态转向主动姿态。参考资料OMB M-22-01
https://www.whitehouse.gov/wp-content/uploads/2021/10/M-22-01.pdf美国总统拜登《关于改善国家网络安全的行政令》全文翻译
https://www.secrss.com/articles/31267如何提高SOC事件响应能力?美国白宫提出明确要求
https://www.secrss.com/articles/34075美国联邦政府态势感知项目 (CDM) 实践的不足与改进
https://www.secrss.com/articles/25538
文章来源:安全内参
点击下方卡片关注我们,带你一起读懂网络安全 ↓