網絡攻擊者無時無刻不在找尋滲透企業IT環境的途徑，其中一個最容易的通道，就是利用終端上的漏洞。從攻擊者的角度來看，終端可以定義為，網絡罪犯和網絡間諜用來侵入內部的最具吸引力，最柔軟脆弱的目標。

攻擊者往往會利用，安全防御者無法知悉企業網絡系統中所有的設備，且沒有及時更新，因而去搜索目標網絡中可供建立橋頭堡的柔弱終端。然后，再通過進一步的漏洞利用構筑長期駐留條件，最終邁向既定目標。

時移世易，公司防御此類入侵的方式也經歷了諸多變化。10年前，安全從業人員需要病毒簽名才可以封鎖攻擊，因此，他們大部分都依賴基于簽名的反病毒解決方案和感染指標(IoCs)來檢測染指他們網絡的罪犯。但是，黑客逐漸勘破了企業安全團隊對檢測機制的倚重，轉而利用零日漏洞和多態的、自更新的惡意軟件來繞過這些防護，比如Qbot。

安全研究人員自然通過自己研發的新方法予以了回擊。該新方法被稱為“終端檢測與響應(EDR)”，默認攻擊者始終會滲漏公司網絡，讓安全人員利用IoCs和終端行為來快速檢測任何入侵，減小攻擊者造成的損害。

為實現該目標，EDR系統部署并積極管理能提供公司終端關鍵信息的6個主要控制。

這6個控制是：終端發現、軟件發現、漏洞管理、安全配置管理、日志管理，以及危險檢測和響應。

終端發現是首要的控制，因為如果連自己有什么設備都不知道的話，何談為硬件構筑防御呢？如此，硬件和軟件管理、許可合規、監管合規，以及安全，都取決于公司企業維護動態終端清單的能力。

安全從業人員若想知悉自家公司的資產，應遵守以下三個原則：

1. 將終端發現當成一個過程

一次性發現所有資產是不現實的。安全人員應分階段進行資產發現工作，先從有文檔的系統和進程開始。

2. 利用標準化來節省時間

通過采用NIST之類的標準，信息安全從業者會培養出在工具間共享終端信息的能力，增強公司安全態勢。

3. 找尋弱點

安全從業者不能讓攻擊者比自己還清楚公司的IT環境。他們需要經常性找尋脆弱點。而這只有在公司維護有準確的資產清單的情況下才有可能實現。

除了這些原則，終端發現還面臨著一些挑戰。有些資產橫跨數個隔離的網絡，另一些(尤其是工業物聯網設備)則不使用可被簡單掃描識別的傳統IT協議。進入如此，掃描IIoT設備還是有可能會引起服務中斷。也就是說，安全人員可能需要采取其他發現方式來精確編目這些終端。

企業該怎樣克服此類終端發現中的障礙呢？

為解答這一問題，安全公司Tripwire發布了《終端安全求生指南：網絡安全專業人士的戰地手冊》——實現和最優化6大EDR安全控制的專屬資源。

最低限度，安全人員需要建立起終端基線，或者一份包含了每個網絡節點“正常”行為的參考。這涉及到從現有記錄中收集信息，包括網絡拓撲圖，甚至是便利貼；涉及到掃描網絡以發現其上切實存在的東西；涉及到利用被動發現來映射終端；涉及到減少可訪問的IP地址空間以確保公司使用盡可能少的IP。