EDR市场迎来大爆发!美国政府宣布将全面部署EDR

在遭受SolarWinds等事件后,美国总统拜登发布第14028号行政令,要求联邦机构部署EDR解决方案,支撑主动检测联邦政府基础设施内的网络安全事件,并进行网络狩猎、遏制、补救以及事件响应。根据该要求,管理与预算办公室发布了M-22-01备忘录。

EDR市场迎来大爆发!美国政府宣布将全面部署EDR

2021年10月8日,美国白宫管理与预算办公室(OMB)发布备忘录(M-22-01),通过部署端点检测与响应(EDR)改进联邦政府系统的网络安全漏洞和事件检测

在遭受SolarWinds等事件后,美国总统拜登发布第14028号行政令,要求联邦机构部署EDR解决方案,支撑主动检测联邦政府基础设施内的网络安全事件,并进行网络狩猎、遏制、补救以及事件响应。根据该要求,管理与预算办公室发布了M-22-01备忘录

EDR市场迎来大爆发!美国政府宣布将全面部署EDR

本备忘录将为各联邦机构提供指引,加快推动部署EDR解决方案。具体而言,将通过集体努力实现第14028号行政令提到的三大目标:

  • 提高机构对其网络上网络安全事件的早期检测、响应和补救能力
  • 实现机构内部跨部门/局/子机构的企业级可见性
  • 通过CISA部署的集中式EDR实现整个联邦政府信息系统的主机级可见性、归因和响应

管理与预算办公室认为,EDR将端点数据实时连续监控和收集、基于规则的自动响应与分析能力相结合,相比传统解决方案,在应对高级网络威胁上提供了更高的可见性,并是过渡到零信任体系的重要组成部分

管理与预算办公室要求,在90天内,联邦机构必须向CISA提供已部署EDR的访问权,或商议确定未来的方案。当联邦机构处于部署和完善EDR解决方案阶段时,需要在120天内与CISA商议分析,确定现有EDR部署的差距,评估当前能力状况并进行改进,确保最终与CISA技术参考架构一致,能从最广泛的终端收集到必要数据。

相应的在监管侧,管理与预算办公室也对CISA提出了要求。在90天内,CISA需要制定一个持续性能监测流程,帮助各联邦机构确保EDR的部署和运行能够检测和应对常见威胁;CISA需要向管理与预算办公室提交进一步加快推动全体联邦政府EDR部署工作的建议;CISA需要发布EDR技术参考架构和成熟度模型。在180天内,CISA需要与联邦CIO委员会协调,制定EDR解决方案部署最佳实践手册。

按照备忘录要求,最终各联邦机构将部署符合CISA技术参考架构的EDR解决方案,为EDR提供适当的经费和人员支持,并向CISA提供访问权,实现主动威胁狩猎能力与对高级威胁的协调响应。

集中式EDR与EINSTEIN、CDM的关系

这份备忘录分为两部分,一部分是各联邦机构部署和完善符合要求的EDR解决方案,另一部分则是CISA部署集中式EDR,通过收集各联邦机构EDR的数据,从而实现联邦级别的主机级可见性、归因和响应。

从上文描述来看,备忘录中提到由CISA部署的集中式EDR,和CISA目前正在运营的爱因斯坦(EINSTEIN)项目连续诊断与缓解(CDM)项目似乎功能类似,都是针对联邦机构收集安全数据,提供态势感知、分析处置等防护能力。

其实不然,集中式EDR与爱因斯坦、连续诊断与缓解项目互为补充。爱因斯坦、连续诊断与缓解是传统的被动防御产品,只能应付已知安全威胁(比如安全厂商更新了拦截规则),难以应付从未披露过/高隐蔽性的攻击事件。而集中式EDR通过收集全量终端安全数据,提供了更高级别的可见性,令分析师更有机会发现高级威胁攻击。

具体来说,爱因斯坦项目在网络层拦截已知恶意攻击(不太兼容云环境);连续诊断与缓解项目是被动防御体系,提供资产管理、身份和访问管理、网络流量管理、敏感数据保护四个方面的防护能力;集中式EDR在终端层识别和拦截攻击,补全了网络内部的视角

解读:美国联邦政府网络防御将迈入主动姿态

目前,备忘录只是提出了联邦机构全面部署EDR解决方案的阶段性目标,但部署并不能有效应对高级威胁,还需要高水平的安全专家持续进行运营

从CDM项目的经验来看,这可能还是一场长期攻坚战。2020年8月,美国政府问责局(GAO)对联邦机构CDM项目实践进行审查,发现竟没有一家联邦机构满足 CDM运行的关键要求,多方面的缺陷导致收集数据质量变差,使得机构的CDM控制面板和网络安全评分的作用大幅降低。

尽管如此,这也是一次安全能力上的跃迁。通过全面部署EDR,将大幅提高美国政府网络安全漏洞和威胁的可见性与检测,将网络防御从被动姿态转向主动姿态

参考资料

OMB M-22-01

https://www.whitehouse.gov/wp-content/uploads/2021/10/M-22-01.pdf

美国总统拜登《关于改善国家网络安全的行政令》全文翻译

https://www.secrss.com/articles/31267

如何提高SOC事件响应能力?美国白宫提出明确要求

https://www.secrss.com/articles/34075

美国联邦政府态势感知项目 (CDM) 实践的不足与改进

https://www.secrss.com/articles/25538

本文来自互联网安全内参,版权归作者所有。


版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/13098.html

发表评论

登录后才能评论