CrowdStrike到底能帮我们实现什么?

2024-09-26 62 0

0X00 前言

没错,今天文章的主题就是7.19火到出圈的CrowdStrike工具。既然谈到CrowdStrike工具了,总免不得介绍下CrowdStrike是一家提供终端保护和威胁情报解决方案的网络安全公司。它的主要目标是提供终端安全和威胁检测服务,帮助组织保护其终端设备免受恶意软件和攻击的影响。

申明一点,本人不是给CrowdStrike打广告的,只是看到论坛上讲述CrowdStrike产品文章较少,和大家分享下接触到的这款工具。

今天的主题不是阐述它在众多安全工具中优秀的检测和防御能力,而是其强大的管理能力。限于文章篇幅有限(本人实际暂时只了解到这么多),和大家分享下CrowdStrike在以下领域的深度。

  • Deploy 
  • USB device control
  • Firewall
  • Response and Containment
  • Exposure management

下述仅作举例用途,企业或安全人员可根据实际情况调整。

0X01 Deploy

既然谈到了其Deploy的能力,不得不提下7月19日CrowdStrike因监测规则升级事故而导致大量Windows主机蓝屏事件的情况。针对这一事件,其后续采取了四项改进措施:

  1. 增强规则更新的透明性和可控性:此前用户只能控制版本更新,现在他们也可以配置规则更新了,用户通过新的细化控制功能可以选择何时何地部署新的规则内容。
  2. 加强规则的质量控制:8月初,CRWD正式推出了新的规则验证器和规则解释器。此前的安全事件与这两个组件未能正常工作有关。现在,这两个组件已经被重构,以防止错误内容的发布。
  3. 外部审查和验证:CRWD聘请了两家独立的第三方软件安全公司来审查Falcon终端传感器的代码和质量控制流程。该项工作将持续进行,旨在短期、中期和长期内提升安全性和弹性。
  4. 调整规则发布流程:与传感器版本的发布流程一致,新的规则发布流程包括样本测试、内部实验室测试等分阶段测试,最终部署将分批次进行,并遵循客户的策略设置。

虽说此次CrowdStrike改进幅度已然较大,但这块能力,对比国内EDR、NDR,简直是不能打。规则更新和管理模块更新的解耦,国内应该都是产品标配了吧。新版的改动如下:

CrowdStrike到底能帮我们实现什么?插图1

作为用户的我们,实际上能控制的变量,更多是1、4改进措施。以下从变更管理角度阐述可以采取的措施,来大幅减少未来类似事故的影响范围和破坏程度。

①风险评估:在进行批量更新之前,进行风险评估是非常重要的。评估可能的影响和潜在的风险,包括系统稳定性、兼容性问题和数据丢失等。

②测试和验证:在进行批量更新之前,务必进行充分的测试和验证。使用测试环境或小规模更新进行验证,确保更新不会导致系统崩溃或出现其他问题。

③备份和恢复:在进行批量更新之前,确保对系统和数据进行备份。这样,如果更新导致问题,可以快速恢复到之前的状态。注:这里面的备份恢复,个人理解是因sensor更新导致的设备异常,进而对sensor端的系统和数据备份。因终端设备差异性较大且足够复杂,不得不忽略终端设备上的数据备份工作。所以在批量更新前,要做好充足的测试和验证工作。

④逐步更新:可以采取逐步更新的方法,而不是一次性更新所有终端。这样可以减少风险范围,如果出现问题,可以更容易地进行故障排除和恢复。

⑤监控和响应:在进行批量更新期间,保持对系统的监控,并准备好快速响应常见问题。及时发现和解决问题可以减少潜在的影响。

⑥紧急计划:制定紧急计划,以应对可能的问题和故障。这包括备用方案、紧急修复措施和恢复策略。注:比方说回退或者降级方案。

1、pilot test

  • 新建一个deploy策略

更新到指定版本,用于测试版本的稳定性。

CrowdStrike到底能帮我们实现什么?插图2

CrowdStrike到底能帮我们实现什么?插图3

  • 绑定特定的用户群体

限定范围内的针对性测试,方便观察机器的真实情况,以便更快了解策略变更带来的影响。

CrowdStrike到底能帮我们实现什么?插图4

策略启用生效。

CrowdStrike到底能帮我们实现什么?插图5

2、批量更新

  • 正常更新                                                                                                                                                     

大范围进行软件更新和配置管理动作区别于pilot test,控制分配或者绑定的对象即可。其所面临的风险,尤其是当影响触及企业和关键基础设施的时候,任何细微的配置错误或更新故障,都可能导致严重的后果。着重对待每一次更新,不仅能避坑,关键时刻还能保命。

  • 失败恢复                                                                                                                                                   

如果因更新导致的设备异常,将设备sensor版本回退或降级至更新前的版本。

0X02 USB device control

主要通过允许特定的USB设备连接到受保护的终端,进而防止未经授权的USB设备访问,用以避免恶意软件传播感染和数据泄露的风险。CrowdStrike提供的USB设备的审计和监控功能,记录USB设备的连接和使用情况,可以帮助企业跟踪USB设备的使用情况,并及时发现异常活动或潜在的安全威胁。

1、pilot test

  • 新建一个USB device control策略

指定特定的USB设备可以连接到受保护的终端,设定相关的read、write、execute权限。

CrowdStrike到底能帮我们实现什么?插图6

CrowdStrike到底能帮我们实现什么?插图7

  • 绑定特定的用户群体                                                                                                                                   

限定范围内的针对性测试,方便观察机器的真实情况,以便更快了解更新带来的影响。CrowdStrike到底能帮我们实现什么?插图8

2、批量更新

其他类似Deploy,这里不做章节阐述。

0X03 Firewall

Secure your hosts from network threats by allowing or blocking network traffic in accordance with your organization’s policies.

看起来和正常理解的Windows defender防火墙类似,根据企业的策略,通过允许或阻止网络流量来保护设备免受网络威胁。

1、pilot test

  • 新建一个firewall策略

指定Enforcement and monitoring设置,针对Inbound traffic和Outbound traffic做相关动作设定。

Enforce policy:启用策略规则,将会覆盖指定主机的防火墙设置和禁用防火墙本地的规则。

Monitor mode:覆盖策略中所有的阻断规则,并开启监控模式。允许所有流量通过,并将阻止事件显示为“将被阻止”。

Local Logging:在主机的本地驱动器上保存所有防火墙规则事件的记录,以便troubleshooting。CrowdStrike到底能帮我们实现什么?插图9

CrowdStrike到底能帮我们实现什么?插图10

  • 绑定特定的用户群体

限定范围内的针对性测试,方便观察机器的真实情况,以便更快了解策略带来的影响。

CrowdStrike到底能帮我们实现什么?插图11

策略启用生效。

CrowdStrike到底能帮我们实现什么?插图12

  • 2、批量更新

其他类似Deploy,这里不做章节阐述。

0X04 Response and Containment

Response

实时响应功能可以直接从控制台在主机上运行命令,实时响应提供了比仅限于网络隔离更复杂的事件响应手段,并且可以立即从任何位置连接到在线主机。

1、pilot test

  • 新建一个response策略

Real Time Response:实时响应分为3种角色,Read Only Analyst、Active Responder和Administrator共3种。3者角色的功能权限有较为细分的区别,篇幅较大,在此不做展开。

memdump:当进行进程内存转储时,只会捕获和保存与该进程相关的内存内容。

xmemdump:当进行完整内存转储时,会捕获和保存整个系统的内存快照,包括操作系统、所有运行的进程以及系统内核等。这种转储通常用于系统崩溃分析、恶意软件分析、取证等需要全面了解系统状态的场景。

CrowdStrike到底能帮我们实现什么?插图13

CrowdStrike到底能帮我们实现什么?插图14

策略启用生效。

CrowdStrike到底能帮我们实现什么?插图15

批量更新

其他类似Deploy,这里不做章节阐述。

Containment

如果主机遭到入侵,可以对其进行网络隔离,将其与所有网络活动隔离开来。

这里以对其中一台主机进行网络隔离举例。

CrowdStrike到底能帮我们实现什么?插图16

CrowdStrike到底能帮我们实现什么?插图17

0X05 Exposure management

暴露管理可以获取对资产的可见性,发现漏洞,并评估安全配置。提供的过滤器、交互式可视化和灵活的报告工具,能够高效监控暴露管理周期的各个方面。

CrowdStrike到底能帮我们实现什么?插图18

官方文档描述的功能模块非常之多,在此仅挑选Assets、Accounts、Applications共3个模块着重阐述。

CrowdStrike到底能帮我们实现什么?插图19

1、Assets

从资产的视角分为managed assets、unmanaged assets和unsupported assets。

  • Managed asset:An asset that has the Falcon sensor installed; also called a host.

安装了sensor的主机为受管理的资产

  • Unmanaged asset: An asset that can have the Falcon sensor installed but does not

可以安装然而没有安装sensor的主机为不受管理的资产

  • Unsupported asset: An asset that can't have a Falcon sensor installed

无法安装sensor的主机为不支持管理的资产

好家伙,Unmanaged和Unsupported我刚开始都没弄懂区分这2者的意义,后来想想Unmanaged应该是说后续还可以尝试努力提升的点,Unsupported应该是说放弃治疗的点吧。

CrowdStrike到底能帮我们实现什么?插图20

领导1问:我们有多少资产,你抽空给我个清单?

其他人:这个我去问下infra和helpdesk,回头给你个清单。

有了CrowdStrike的我:服务器、终端有多少,版本分布情况,都一清二楚,分分钟拿捏。

CrowdStrike到底能帮我们实现什么?插图21

领导2问:服务器、终端EOS清单,你抽空给我整理下,我下午要。

其他人:这个我去问下infra和helpdesk,回头给你个清单。

有了CrowdStrike的我:领导这个我去问问看,尽快给你答复。实际内心OS,是不是我整的太快了,卧槽这都是CrowdStrike的基础能力范围啊,有没有infra和helpdesk都一样啊(纯玩笑话哈,不要当真)。

CrowdStrike到底能帮我们实现什么?插图22

领导3问:业务部门时不时拿部署EDR设备卡顿说事,你有没有办法帮我了解下最近真实情况。

其他人:就这些PM、BP喜欢拿安全说事,给我没事找事,想换电脑成天拿安全“背锅”。

有了CrowdStrike的我:领导,这个问题,我想办法去问问看。不行的话,后续版本更新、策略下发前,对于设备性能的影响我着重测试下。实际内心OS,卧槽这还是CrowdStrike的基础能力范围,原来安全也能“理直气壮、据理力争”啊。

CrowdStrike到底能帮我们实现什么?插图23

2、Accounts

Dashboard可以查看资产的帐户活动情况,跟踪资产的账号登录和密码历史修改记录,查看是否有帐户的行为超出正常操作范围,并调查可疑的登录。

CrowdStrike到底能帮我们实现什么?插图24

领导4问:公司员工域账号密码超过90天需要强制改密,你作为安全人员,知道哪些是例外嘛?

其他人:这个我去问下infra的同事,让他们那边拉取下数据看看。

有了CrowdStrike的我:实际内心OS,还是CrowdStrike的基础能力范围,还有谁?

CrowdStrike到底能帮我们实现什么?插图25

领导5问:业务系统管理账号90天强制改密、业务账号超过365天需要强制改密,你知道哪些不在策略范围吗?

其他人:这个我记得我们当下有改密的策略要求,具体有没有落地?落地的情况如何我可能需要点时间去了解下。

有了CrowdStrike的我:依然还是CrowdStrike的基础能力范围。。。

CrowdStrike到底能帮我们实现什么?插图26

3、Applications

Dashboard可以监控sensor上的应用程序分布情况,确保所需的应用程序在合理的位置安装和使用,确保白名单应用都得以安装以及未使用未经授权的应用程序。通过将安装与使用情况进行比较,还可以适当优化license成本。

CrowdStrike到底能帮我们实现什么?插图27

领导6问:最近法务的同事跟我反馈,有外部反馈我们使用未授权secure crt工具。如果继续使用,会面临诉讼和侵权指控之类的。这个你能去了解下实际情况吗?

其他人:这个我去找infra看下,看那边有没有办法帮忙拉取下相关数据。

有了CrowdStrike的我:依然还是CrowdStrike的基础能力范围,赢麻了。公司目前很少人使用,跟领导说下是否有必要继续使用或者使用其他开源工具,又给公司省了一大笔费用,在降本增效的路上越走越深。

CrowdStrike到底能帮我们实现什么?插图28

0X06 Host management

此处可以查看主机所有适应或匹配到的策略,是不是和防火墙、IPS、WAF策略有很大的相似度?

CrowdStrike到底能帮我们实现什么?插图29

groups也可查看所有适应或匹配到的策略。

CrowdStrike到底能帮我们实现什么?插图30

领导7问:现在有哪些比较好的EDR工具,抽空帮我列下清单?我之前的一些关注点,看哪些厂商能实现。

其他人:听说CrowdStrike的EDR工具比较出众,之前的一些需求,它都能实现;而且data protection、SOAR能力也越来越出众。缺点就是比较贵。

有了CrowdStrike的我:内心OS,领导,我们用CrowdStrike快2年了,你都不知道嘛。

0X07 总结

文章篇幅有限,其中的一些表述仅根据当前数据判断,存在视野盲区现象不在讨论范围;部分内容错误、表述不清、未覆盖到的地方,也请大佬帮忙指正。

另该文章仅代表个人学习过程中的一些发现或总结,可能也会随着时间的变化而变化,欢迎交流意见,轻喷!


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

办事处网络安全监控与事件响应;国外员工终端安全性怎么保障 | FB甲方群话题讨论
拿不下总统之位,那就用热加载拿下验证码识别与爆破好了!
Sooty:一款SoC分析一体化与自动化CLI工具
shiro CVE-2016-6802 路径绕过(越权)
Apache Solr 身份验证绕过漏洞(CVE-2024-45216)详解
llama_index的CVE-2024-4181漏洞根因分析

发布评论