《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > EDR市场迎来大爆发!美国政府宣布将全面部署EDR

EDR市场迎来大爆发!美国政府宣布将全面部署EDR

2021-10-20
来源:互联网安全内参
关键词: EDR

  全力推动建设联邦政府EDR安全平台,提高美国政府网络安全漏洞和威胁的可见性与检测,将网络防御从被动姿态转向主动姿态。

  2021年10月8日,美国白宫管理与预算办公室(OMB)发布备忘录(M-22-01),通过部署端点检测与响应(EDR)改进联邦政府系统的网络安全漏洞和事件检测。

  在遭受SolarWinds等事件后,美国总统拜登发布第14028号行政令,要求联邦机构部署EDR解决方案,支撑主动检测联邦政府基础设施内的网络安全事件,并进行网络狩猎、遏制、补救以及事件响应。根据该要求,管理与预算办公室发布了M-22-01备忘录。

  本备忘录将为各联邦机构提供指引,加快推动部署EDR解决方案。具体而言,将通过集体努力实现第14028号行政令提到的三大目标:

  提高机构对其网络上网络安全事件的早期检测、响应和补救能力;

  实现机构内部跨部门/局/子机构的企业级可见性;

  通过CISA部署的集中式EDR实现整个联邦政府信息系统的主机级可见性、归因和响应。

  管理与预算办公室认为,EDR将端点数据实时连续监控和收集、基于规则的自动响应与分析能力相结合,相比传统解决方案,在应对高级网络威胁上提供了更高的可见性,并是过渡到零信任体系的重要组成部分。

  管理与预算办公室要求,在90天内,联邦机构必须向CISA提供已部署EDR的访问权,或商议确定未来的方案。当联邦机构处于部署和完善EDR解决方案阶段时,需要在120天内与CISA商议分析,确定现有EDR部署的差距,评估当前能力状况并进行改进,确保最终与CISA技术参考架构一致,能从最广泛的终端收集到必要数据。

  相应的在监管侧,管理与预算办公室也对CISA提出了要求。在90天内,CISA需要制定一个持续性能监测流程,帮助各联邦机构确保EDR的部署和运行能够检测和应对常见威胁;CISA需要向管理与预算办公室提交进一步加快推动全体联邦政府EDR部署工作的建议;CISA需要发布EDR技术参考架构和成熟度模型。在180天内,CISA需要与联邦CIO委员会协调,制定EDR解决方案部署最佳实践手册。

  按照备忘录要求,最终各联邦机构将部署符合CISA技术参考架构的EDR解决方案,为EDR提供适当的经费和人员支持,并向CISA提供访问权,实现主动威胁狩猎能力与对高级威胁的协调响应。

  集中式EDR与EINSTEIN、CDM的关系

  这份备忘录分为两部分,一部分是各联邦机构部署和完善符合要求的EDR解决方案,另一部分则是CISA部署集中式EDR,通过收集各联邦机构EDR的数据,从而实现联邦级别的主机级可见性、归因和响应。

  从上文描述来看,备忘录中提到由CISA部署的集中式EDR,和CISA目前正在运营的爱因斯坦(EINSTEIN)项目、连续诊断与缓解(CDM)项目似乎功能类似,都是针对联邦机构收集安全数据,提供态势感知、分析处置等防护能力。

  其实不然,集中式EDR与爱因斯坦、连续诊断与缓解项目互为补充。爱因斯坦、连续诊断与缓解是传统的被动防御产品,只能应付已知安全威胁(比如安全厂商更新了拦截规则),难以应付从未披露过/高隐蔽性的攻击事件。而集中式EDR通过收集全量终端安全数据,提供了更高级别的可见性,令分析师更有机会发现高级威胁攻击。

  具体来说,爱因斯坦项目在网络层拦截已知恶意攻击(不太兼容云环境);连续诊断与缓解项目是被动防御体系,提供资产管理、身份和访问管理、网络流量管理、敏感数据保护四个方面的防护能力;集中式EDR在终端层识别和拦截攻击,补全了网络内部的视角。

  解读:

  美国联邦政府网络防御将迈入主动姿态

  目前,备忘录只是提出了联邦机构全面部署EDR解决方案的阶段性目标,但部署并不能有效应对高级威胁,还需要高水平的安全专家持续进行运营。

  从CDM项目的经验来看,这可能还是一场长期攻坚战。2020年8月,美国政府问责局(GAO)对联邦机构CDM项目实践进行审查,发现竟没有一家联邦机构满足CDM运行的关键要求,多方面的缺陷导致收集数据质量变差,使得机构的CDM控制面板和网络安全评分的作用大幅降低。

  尽管如此,这也是一次安全能力上的跃迁。通过全面部署EDR,将大幅提高美国政府网络安全漏洞和威胁的可见性与检测,将网络防御从被动姿态转向主动姿态。

  参考资料

  OMB M-22-01

  https://www.whitehouse.gov/wp-content/uploads/2021/10/M-22-01.pdf

  美国总统拜登《关于改善国家网络安全的行政令》全文翻译

  https://www.secrss.com/articles/31267

  如何提高SOC事件响应能力?美国白宫提出明确要求

  https://www.secrss.com/articles/34075

  美国联邦政府态势感知项目 (CDM) 实践的不足与改进

  

https://www.secrss.com/articles/25538



电子技术图片.png


本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。

相关内容