前不久,某终端安全运营交流会,两位老同事就EDR选型聊了起来。
事情是这样的。
由于在真实环境批量部署测试过于繁琐,强子只在实验室做了竞测。
然而测试数据出众的EDR,第一天就被IT团队diss八百回说有同事投诉太卡,安全团队自己也嫌弃各种毛病不断,搞得强子都想退货了。
后来他总说:“在真实环境测试麻烦吗?当然,但不做不行,实验室数据和真实环境表现完全不一样。否则就像我,继续用吧,难受;不用吧,前期投入全白费了。”
不在真实环境批量测试会踩哪些坑
某些捆绑软件修改注册表、创建启动项,运维团队调用Powershell指令,一些正常的DNS请求等等,都会被错误地标记为攻击,远不如宣传的那样准确。
这是因为,误报率只能在真实环境中测试。
实验环境下,测试样本主要使用黑样本,反映的是EDR检出情况;
BAS倒是模拟了部分危险行为,但和真实环境相去甚远。
本来,性能占用是重点关注指标。压力测试的结果显示,各项性能指标都很健康。
然而公司内部几万台机器,型号、配置迥异,EDR性能占用表现相差非常大,某些机器上还会出现一些未知的兼容性问题。
即使差不多的配置,硬件损耗、软件使用习惯等差异,都会导致性能占用情况不同。
IT团队反馈,大部分系统卡顿的投诉,都是因为安装EDR后内存或CPU占用过高。尤其是在一些老旧机器上扫描内存,都卡成PPT了。
一到业务高峰期,EDR数据传输就会出现明显延迟,OA、CRM等业务系统有时也无法正常访问。
网络排查发现,几万点EDR同时传输数据,占用了过量的带宽。
而在此前的实验环境测试,根本无法还原真实环境的复杂网络,既没有业务高峰期,也没有几万点EDR同时向服务端传输数据。
如何进行批量部署测试
核心原则是采购EDR之前,一定要在真实环境中进行大量部署,对功能、性能、兼容性、检测和处置能力进行一定时间(如一个月以上)的全面评估。
在测试时,确定以下三个事项。
测试前,确定供应商可以提供静默安装包、静默运行和一键全网卸载功能,使用集权平台(杀软、桌管、AD域控等)统一静默安装、静默运行,减少对员工的打扰;阶段测试完成后,如EDR不满足需求,可使用一键卸载将其彻底删除,确保终端恢复原状。
测试时机选择攻防演练备战或遭遇黑产攻击期间,这样才能准确评估在面对最新的黑产或者红队样本时,EDR的检出率、误报率、处置能力、兼容性、带宽占用,以及功能全开下的性能占用情况等。
测试区域选择中招重灾区或薄弱环节,例如在态势感知、NDR或者防火墙等设备上,已经发现有反连、失陷的区域部署,没问题后再逐步接入公司其他区域。
有了这些作为基础,才能选出满足自身需求的EDR。虽然看起来很麻烦,但是踩坑后带来的沉默成本岂不是更麻烦?
推荐阅读
无文件攻击,如何被EDR在1分钟内自动检出?
当红队已获得靶标,为何你的杀软依旧静悄悄
什么勒索专杀,就是马后炮
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...