网络攻击者无时无刻不在找寻渗透企业IT环境的途径，其中一个最容易的通道，就是利用终端上的漏洞。从攻击者的角度来看，终端可以定义为，网络罪犯和网络间谍用来侵入内部的最具吸引力，最柔软脆弱的目标。
 

　　攻击者往往会利用，安全防御者无法知悉企业网络系统中所有的设备，且没有及时更新，因而去搜索目标网络中可供建立桥头堡的柔弱终端。然后，再通过进一步的漏洞利用构筑长期驻留条件，最终迈向既定目标。

　　时移世易，公司防御此类入侵的方式也经历了诸多变化。10年前，安全从业人员需要病毒签名才可以封锁攻击，因此，他们大部分都依赖基于签名的反病毒解决方案和感染指标(IoCs)来检测染指他们网络的罪犯。但是，黑客逐渐勘破了企业安全团队对检测机制的倚重，转而利用零日漏洞和多态的、自更新的恶意软件来绕过这些防护，比如Qbot。

　　安全研究人员自然通过自己研发的新方法予以了回击。该新方法被称为“终端检测与响应(EDR)”，默认攻击者始终会渗漏公司网络，让安全人员利用IoCs和终端行为来快速检测任何入侵，减小攻击者造成的损害。

　　为实现该目标，EDR系统部署并积极管理能提供公司终端关键信息的6个主要控制。

　　这6个控制是：终端发现、软件发现、漏洞管理、安全配置管理、日志管理，以及危险检测和响应。

　　终端发现是首要的控制，因为如果连自己有什么设备都不知道的话，何谈为硬件构筑防御呢?如此，硬件和软件管理、许可合规、监管合规，以及安全，都取决于公司企业维护动态终端清单的能力。

　　安全从业人员若想知悉自家公司的资产，应遵守以下三个原则：

　　1. 将终端发现当成一个过程

　　一次性发现所有资产是不现实的。安全人员应分阶段进行资产发现工作，先从有文档的系统和进程开始。

　　2. 利用标准化来节省时间

　　通过采用NIST之类的标准，信息安全从业者会培养出在工具间共享终端信息的能力，增强公司安全态势。

　　3. 找寻弱点

　　安全从业者不能让攻击者比自己还清楚公司的IT环境。他们需要经常性找寻脆弱点。而这只有在公司维护有准确的资产清单的情况下才有可能实现。

　　除了这些原则，终端发现还面临着一些挑战。有些资产横跨数个隔离的网络，另一些(尤其是工业物联网设备)则不使用可被简单扫描识别的传统IT协议。进入如此，扫描IIoT设备还是有可能会引起服务中断。也就是说，安全人员可能需要采取其他发现方式来精确编目这些终端。

　　企业该怎样克服此类终端发现中的障碍呢?

　　为解答这一问题，安全公司Tripwire发布了《终端安全求生指南：网络安全专业人士的战地手册》——实现和最优化6大EDR安全控制的专属资源。
 

　　最低限度，安全人员需要建立起终端基线，或者一份包含了每个网络节点“正常”行为的参考。这涉及到从现有记录中收集信息，包括网络拓扑图，甚至是便利贴;涉及到扫描网络以发现其上切实存在的东西;涉及到利用被动发现来映射终端;涉及到减少可访问的IP地址空间以确保公司使用尽可能少的IP。

(责任编辑：宋编辑)