端点检测和响应 (EDR) 在保护端点方面展示了明显的价值，并在许多方面提供了对本地流程的独特可见性。然而，客户和潜在客户告诉我们，他们在端点上的 EDR 覆盖率在 60-70% 之间。换句话说，40-30% 的设备是他们无法控制的。

失控设备分为几个不同的类别：

【资料图】

传统的。这包括路由器和交换机等网络设备，它们永远不会支持代理，而且您知道它们将永远失控。数字化转型驱动。其次是现在连接到网络基础设施的设备和系统数量迅速增加，包括物联网 (IoT) 和运营技术 (OT)设备，如视频监控系统、HVAC 系统以及监控和数据采集 (SCADA) 系统.任何无法支持代理的设备无论出于何种原因都可能被劫持并被用作发起攻击的入口。无赖。最后，有些人在您不知情的情况下将设备带入您的基础设施。他们可能已将设备添加为他们的工作功能，而只是忘记向其添加 EDR 代理。或者，也许他们在云中启动了一项新服务，但没有使用已批准的将所有信息安全工具添加到其中的自动化。然而，有时出于恶意目的将流氓设备插入网络 - 进行侦察并作为数据泄露或中断的起点。

我们不仅对当前连接到我们网络的许多设备和每天添加的新设备视而不见，而且对这些设备正在做什么视而不见。许多组织都有指定行为的治理实践和策略。因此，我们通常最终会在我们认为正在发生的事情和实际发生的事情之间存在可见性差距，最重要的是，我们无法轻松了解该行为是否正常或是否存在需要立即关注的潜在恶意行为。

在阴影区域投光

我们生活在一个充斥着恶意软件故事的世界中，恶意软件在被捕获之前已经存在于组织的基础设施中数月之久。与此同时，数据已被泄露，因为恶意活动发生在网络的阴影中，攻击者可以隐藏在这些阴影中并在大多数情况下不被发现地开展工作。

因此，控制失控设备的第一步是了解网络上发生的事情。然而，在当今分散、短暂、加密和多样化(DEED) 的环境中，阴影区域无处不在，因此依靠传统工具很难获得网络可见性。与其找到一个点来监控和捕获数据包，不如找到几十个（如果不是数百个）点。深度数据包捕获 (DPI) 的管理变得极其复杂，并且成本很高。这就是元数据数据的用武之地，让您可以照亮无法忽视的阴影区域。流数据形式的元数据提供了一种被动和无代理的方法来跨多云、本地和混合环境（包括每个 IP 地址和每个设备）实现网络流量可见性。

接下来是上下文

我们还需要将可见性与治理上下文相结合的功能，因为即使您可以看到网络上发生的事情，您仍然需要上下文来理解该流量的含义。例如，您可能会在您的平台上看到一台主机在扫描您的网络。您如何轻松区分正常运行的渗透测试平台与受到威胁的流氓主机之间的区别？如果您所关注的只是网络流量，这将引发警报。

但是，当您可以使用来自其他来源（例如 EDR 系统、配置管理数据库 (CMDB) 和云安全态势管理 (CSPM)）的信息来丰富流数据时，您将获得网络流量中不一定存在的额外含义数据。你可以理解who和what。如果事实证明是你的渗透测试平台在扫描，那你就不用担心了。但是，如果结果证明是销售代表的 Mac OS 笔记本电脑应该制定了限制用户访问网络和应用程序特定部分的策略，那么您可能会遇到问题，需要进一步调查。

运营治理：终结游戏

归根结底，控制失控设备是关于运营治理。因此，最后一部分是围绕治理策略构建检测，以识别异常行为并发出警报。实际上，弥合了可见性部分和调查部分之间的差距。

失控设备的范围从已知到未知，从良性到恶意，而您划定界限的地方因您的组织而异。对于拥有处理车间设备所有自动化的 OT 平台的大型制造商来说，失控的情况与金融服务公司的定义大不相同，可能需要不同的控制措施。即使在同一家公司内，失控的定义也会有所不同，无论您指的是 OT 网络还是笔记本电脑、服务器和打印机所在的 IT 网络。甚至在设备层面，云端和数据中心失控的情况也不同。幸运的是，丰富了上下文并覆盖了治理策略的元数据提供了定义和检测真正失控的内容并对其进行控制所需的灵活性。