CrowdStrike到底能帮我们实现什么?
2024-9-23 13:25:48 Author: www.freebuf.com(查看原文) 阅读量:1 收藏

0X00 前言

没错,今天文章的主题就是7.19火到出圈的CrowdStrike工具。既然谈到CrowdStrike工具了,总免不得介绍下CrowdStrike是一家提供终端保护和威胁情报解决方案的网络安全公司。它的主要目标是提供终端安全和威胁检测服务,帮助组织保护其终端设备免受恶意软件和攻击的影响。

申明一点,本人不是给CrowdStrike打广告的,只是看到论坛上讲述CrowdStrike产品文章较少,和大家分享下接触到的这款工具。

今天的主题不是阐述它在众多安全工具中优秀的检测和防御能力,而是其强大的管理能力。限于文章篇幅有限(本人实际暂时只了解到这么多),和大家分享下CrowdStrike在以下领域的深度。

  • Deploy 
  • USB device control
  • Firewall
  • Response and Containment
  • Exposure management

下述仅作举例用途,企业或安全人员可根据实际情况调整。

0X01 Deploy

既然谈到了其Deploy的能力,不得不提下7月19日CrowdStrike因监测规则升级事故而导致大量Windows主机蓝屏事件的情况。针对这一事件,其后续采取了四项改进措施:

  1. 增强规则更新的透明性和可控性:此前用户只能控制版本更新,现在他们也可以配置规则更新了,用户通过新的细化控制功能可以选择何时何地部署新的规则内容。
  2. 加强规则的质量控制:8月初,CRWD正式推出了新的规则验证器和规则解释器。此前的安全事件与这两个组件未能正常工作有关。现在,这两个组件已经被重构,以防止错误内容的发布。
  3. 外部审查和验证:CRWD聘请了两家独立的第三方软件安全公司来审查Falcon终端传感器的代码和质量控制流程。该项工作将持续进行,旨在短期、中期和长期内提升安全性和弹性。
  4. 调整规则发布流程:与传感器版本的发布流程一致,新的规则发布流程包括样本测试、内部实验室测试等分阶段测试,最终部署将分批次进行,并遵循客户的策略设置。

虽说此次CrowdStrike改进幅度已然较大,但这块能力,对比国内EDR、NDR,简直是不能打。规则更新和管理模块更新的解耦,国内应该都是产品标配了吧。新版的改动如下:

1726644531_66ea8133c2ef7f773a491.png!small

作为用户的我们,实际上能控制的变量,更多是1、4改进措施。以下从变更管理角度阐述可以采取的措施,来大幅减少未来类似事故的影响范围和破坏程度。

①风险评估:在进行批量更新之前,进行风险评估是非常重要的。评估可能的影响和潜在的风险,包括系统稳定性、兼容性问题和数据丢失等。

②测试和验证:在进行批量更新之前,务必进行充分的测试和验证。使用测试环境或小规模更新进行验证,确保更新不会导致系统崩溃或出现其他问题。

③备份和恢复:在进行批量更新之前,确保对系统和数据进行备份。这样,如果更新导致问题,可以快速恢复到之前的状态。注:这里面的备份恢复,个人理解是因sensor更新导致的设备异常,进而对sensor端的系统和数据备份。因终端设备差异性较大且足够复杂,不得不忽略终端设备上的数据备份工作。所以在批量更新前,要做好充足的测试和验证工作。

④逐步更新:可以采取逐步更新的方法,而不是一次性更新所有终端。这样可以减少风险范围,如果出现问题,可以更容易地进行故障排除和恢复。

⑤监控和响应:在进行批量更新期间,保持对系统的监控,并准备好快速响应常见问题。及时发现和解决问题可以减少潜在的影响。

⑥紧急计划:制定紧急计划,以应对可能的问题和故障。这包括备用方案、紧急修复措施和恢复策略。注:比方说回退或者降级方案。

1、pilot test

  • 新建一个deploy策略

更新到指定版本,用于测试版本的稳定性。

1726647513_66ea8cd96f8d6f5df4d89.png!small?1726647514438

1726648784_66ea91d02b6e4b86758ce.png!small?1726648784354

  • 绑定特定的用户群体

限定范围内的针对性测试,方便观察机器的真实情况,以便更快了解策略变更带来的影响。

1726648818_66ea91f2cf7c91aa5ccee.png!small?1726648819068

策略启用生效。

1726650292_66ea97b46a6e11110eed3.png!small?1726650292642

2、批量更新

  • 正常更新                                                                                                                                                     

大范围进行软件更新和配置管理动作区别于pilot test,控制分配或者绑定的对象即可。其所面临的风险,尤其是当影响触及企业和关键基础设施的时候,任何细微的配置错误或更新故障,都可能导致严重的后果。着重对待每一次更新,不仅能避坑,关键时刻还能保命。

  • 失败恢复                                                                                                                                                   

如果因更新导致的设备异常,将设备sensor版本回退或降级至更新前的版本。

0X02 USB device control

主要通过允许特定的USB设备连接到受保护的终端,进而防止未经授权的USB设备访问,用以避免恶意软件传播感染和数据泄露的风险。CrowdStrike提供的USB设备的审计和监控功能,记录USB设备的连接和使用情况,可以帮助企业跟踪USB设备的使用情况,并及时发现异常活动或潜在的安全威胁。

1、pilot test

  • 新建一个USB device control策略

指定特定的USB设备可以连接到受保护的终端,设定相关的read、write、execute权限。

1726652081_66ea9eb10c7b50be1c55c.png!small?1726652081123

1726652359_66ea9fc7663401205c98a.png!small?1726652359785

  • 绑定特定的用户群体                                                                                                                                   

限定范围内的针对性测试,方便观察机器的真实情况,以便更快了解更新带来的影响。1726652812_66eaa18c34ed04f76cd1d.png!small?1726652812530

2、批量更新

其他类似Deploy,这里不做章节阐述。

0X03 Firewall

Secure your hosts from network threats by allowing or blocking network traffic in accordance with your organization’s policies.

看起来和正常理解的Windows defender防火墙类似,根据企业的策略,通过允许或阻止网络流量来保护设备免受网络威胁。

1、pilot test

  • 新建一个firewall策略

指定Enforcement and monitoring设置,针对Inbound traffic和Outbound traffic做相关动作设定。

Enforce policy:启用策略规则,将会覆盖指定主机的防火墙设置和禁用防火墙本地的规则。

Monitor mode:覆盖策略中所有的阻断规则,并开启监控模式。允许所有流量通过,并将阻止事件显示为“将被阻止”。

Local Logging:在主机的本地驱动器上保存所有防火墙规则事件的记录,以便troubleshooting。1726728661_66ebc9d5bae74a8631620.png!small?1726728662207

1726727192_66ebc418f20ca11893333.png!small?1726727193459

  • 绑定特定的用户群体

限定范围内的针对性测试,方便观察机器的真实情况,以便更快了解策略带来的影响。

1726728959_66ebcaff30198259060de.png!small?1726728959562

策略启用生效。

1726729027_66ebcb43934bd999c9a8f.png!small?1726729027953

  • 2、批量更新

其他类似Deploy,这里不做章节阐述。

0X04 Response and Containment

Response

实时响应功能可以直接从控制台在主机上运行命令,实时响应提供了比仅限于网络隔离更复杂的事件响应手段,并且可以立即从任何位置连接到在线主机。

1、pilot test

  • 新建一个response策略

Real Time Response:实时响应分为3种角色,Read Only Analyst、Active Responder和Administrator共3种。3者角色的功能权限有较为细分的区别,篇幅较大,在此不做展开。

memdump:当进行进程内存转储时,只会捕获和保存与该进程相关的内存内容。

xmemdump:当进行完整内存转储时,会捕获和保存整个系统的内存快照,包括操作系统、所有运行的进程以及系统内核等。这种转储通常用于系统崩溃分析、恶意软件分析、取证等需要全面了解系统状态的场景。

1727057266_66f0cd72e19decbf04f33.png!small?1727057267222

1727057780_66f0cf743717f331723c8.png!small?1727057780485

策略启用生效。

1727058828_66f0d38c327dee0c764ad.png!small?1727058828404

批量更新

其他类似Deploy,这里不做章节阐述。

Containment

如果主机遭到入侵,可以对其进行网络隔离,将其与所有网络活动隔离开来。

这里以对其中一台主机进行网络隔离举例。

1727061570_66f0de4222a0d9abedb64.png!small?1727061570364

1727061795_66f0df23d00f3774d43f7.png!small?1727061796204

0X05 Exposure management

暴露管理可以获取对资产的可见性,发现漏洞,并评估安全配置。提供的过滤器、交互式可视化和灵活的报告工具,能够高效监控暴露管理周期的各个方面。

1726735603_66ebe4f35d865eff0e87d.png!small?1726735603842

官方文档描述的功能模块非常之多,在此仅挑选Assets、Accounts、Applications共3个模块着重阐述。

1726735280_66ebe3b0dd189371cf5d4.png!small?1726735282364

1、Assets

从资产的视角分为managed assets、unmanaged assets和unsupported assets。

  • Managed asset:An asset that has the Falcon sensor installed; also called a host.

安装了sensor的主机为受管理的资产

  • Unmanaged asset: An asset that can have the Falcon sensor installed but does not

可以安装然而没有安装sensor的主机为不受管理的资产

  • Unsupported asset: An asset that can't have a Falcon sensor installed

无法安装sensor的主机为不支持管理的资产

好家伙,Unmanaged和Unsupported我刚开始都没弄懂区分这2者的意义,后来想想Unmanaged应该是说后续还可以尝试努力提升的点,Unsupported应该是说放弃治疗的点吧。

1726736173_66ebe72d1fef2745d0434.png!small?1726736173664

领导1问:我们有多少资产,你抽空给我个清单?

其他人:这个我去问下infra和helpdesk,回头给你个清单。

有了CrowdStrike的我:服务器、终端有多少,版本分布情况,都一清二楚,分分钟拿捏。

1726819608_66ed2d18038462123a42d.png!small?1726819608257

领导2问:服务器、终端EOS清单,你抽空给我整理下,我下午要。

其他人:这个我去问下infra和helpdesk,回头给你个清单。

有了CrowdStrike的我:领导这个我去问问看,尽快给你答复。实际内心OS,是不是我整的太快了,卧槽这都是CrowdStrike的基础能力范围啊,有没有infra和helpdesk都一样啊(纯玩笑话哈,不要当真)。

1726813653_66ed15d590fd58c877967.png!small?1726813653410

领导3问:业务部门时不时拿部署EDR设备卡顿说事,你有没有办法帮我了解下最近真实情况。

其他人:就这些PM、BP喜欢拿安全说事,给我没事找事,想换电脑成天拿安全“背锅”。

有了CrowdStrike的我:领导,这个问题,我想办法去问问看。不行的话,后续版本更新、策略下发前,对于设备性能的影响我着重测试下。实际内心OS,卧槽这还是CrowdStrike的基础能力范围,原来安全也能“理直气壮、据理力争”啊。

1726813941_66ed16f57d06e0c361b68.png!small?1726813940995

2、Accounts

Dashboard可以查看资产的帐户活动情况,跟踪资产的账号登录和密码历史修改记录,查看是否有帐户的行为超出正常操作范围,并调查可疑的登录。

1726816104_66ed1f685d12c64f120f8.png!small?1726816105869

领导4问:公司员工域账号密码超过90天需要强制改密,你作为安全人员,知道哪些是例外嘛?

其他人:这个我去问下infra的同事,让他们那边拉取下数据看看。

有了CrowdStrike的我:实际内心OS,还是CrowdStrike的基础能力范围,还有谁?

1726821637_66ed35054635f77637bf6.png!small?1726821636746

领导5问:业务系统管理账号90天强制改密、业务账号超过365天需要强制改密,你知道哪些不在策略范围吗?

其他人:这个我记得我们当下有改密的策略要求,具体有没有落地?落地的情况如何我可能需要点时间去了解下。

有了CrowdStrike的我:依然还是CrowdStrike的基础能力范围。。。

1726823311_66ed3b8f0b1d09637b23c.png!small?1726823310633

3、Applications

Dashboard可以监控sensor上的应用程序分布情况,确保所需的应用程序在合理的位置安装和使用,确保白名单应用都得以安装以及未使用未经授权的应用程序。通过将安装与使用情况进行比较,还可以适当优化license成本。

1726823538_66ed3c72413be83d430f0.png!small?1726823537927

领导6问:最近法务的同事跟我反馈,有外部反馈我们使用未授权secure crt工具。如果继续使用,会面临诉讼和侵权指控之类的。这个你能去了解下实际情况吗?

其他人:这个我去找infra看下,看那边有没有办法帮忙拉取下相关数据。

有了CrowdStrike的我:依然还是CrowdStrike的基础能力范围,赢麻了。公司目前很少人使用,跟领导说下是否有必要继续使用或者使用其他开源工具,又给公司省了一大笔费用,在降本增效的路上越走越深。

1726824007_66ed3e4745a11ba7e6d15.png!small?1726824006751

0X06 Host management

此处可以查看主机所有适应或匹配到的策略,是不是和防火墙、IPS、WAF策略有很大的相似度?

1726732022_66ebd6f67988d85463750.png!small?1726732023023

groups也可查看所有适应或匹配到的策略。

1726732219_66ebd7bb43517561068ce.png!small?1726732219637

领导7问:现在有哪些比较好的EDR工具,抽空帮我列下清单?我之前的一些关注点,看哪些厂商能实现。

其他人:听说CrowdStrike的EDR工具比较出众,之前的一些需求,它都能实现;而且data protection、SOAR能力也越来越出众。缺点就是比较贵。

有了CrowdStrike的我:内心OS,领导,我们用CrowdStrike快2年了,你都不知道嘛。

0X07 总结

文章篇幅有限,其中的一些表述仅根据当前数据判断,存在视野盲区现象不在讨论范围;部分内容错误、表述不清、未覆盖到的地方,也请大佬帮忙指正。

另该文章仅代表个人学习过程中的一些发现或总结,可能也会随着时间的变化而变化,欢迎交流意见,轻喷!


文章来源: https://www.freebuf.com/articles/neopoints/411500.html
如有侵权请联系:admin#unsafe.sh