什么是 EDR?
端点检测与响应 (EDR) 是指对计算机工作站和其他端点上与威胁相关的信息进行持续监控的一类工具。EDR 的目标是实时识别安全漏洞,并对潜在威胁做出快速响应。端点检测与响应,有时称为端点威胁检测与响应 (ETDR),描述的是一组工具的功能,具体功能可能因实施方式而异。
智能手机、安全摄像头、智能冰箱和服务器有什么共同点?它们都是网络犯罪分子可能用来访问网络、数据和应用程序并造成严重破坏的端点。
如今,确保端点处于安全状态,具有前所未有的重要性。网络犯罪的上升势头依然不减,而漏洞在法律、声誉、运营和财务等方面造成的后果也日益严重。再加上端点的种类日益增多,特别是随着物联网的不断发展,新的工作方式以及连接企业系统的新方式不断出现,全面的端点安全防御方法渐渐成为企业的必要之选。
对很多组织来说,这意味着他们必须部署端点检测和响应(简称 EDR),因而这种解决方案在网络安全市场上越来越受欢迎也就不足为奇了。根据 Grand View Research 的数据显示,截至 2022 年,端点检测和响应工具的全球市场规模不到 30 亿美元,但预计在 2020-2030 这十年的剩余时间内将以平均 22.3% 的速度快速增长。
本博文将回答一些与端点检测和响应 (EDR) 有关的重要问题:安全领域的 EDR 是什么、它是如何运作的、为什么它在现代商业环境中如此重要,以及潜在的 EDR 合作伙伴应提供哪些服务?
网络安全中的 EDR 是什么?
2013 年,Gartner 首次提出了 EDR 这个概念。从那时起,EDR 逐渐成为一种常用的安全方法,该方法通过防范端点威胁和入侵来保护数据、应用程序和系统安全。
EDR 系统的具体细节和功能可能因实施方式而异。您可以通过以下方式来实施 EDR:
- 将其作为一款专用工具;
- 将其作为更广泛的安全监控工具的一个小组件;或
- 与其他各类工具结合使用。
随着攻击者不断改进他们的攻击方法,传统的保护系统可能会失效。网络安全专家认为 EDR 是一种高级威胁保护方法。
EDR 是如何运作的?
从员工日常使用的计算机、笔记本电脑和智能手机到数据中心的内部服务器,通过 EDR 可以保护任何端点。EDR 通过以下四个步骤的流程,为所有这些端点提供实时可见性、主动检测和响应服务:
端点数据收集和传输
在端点级别生成数据,通常包括通信、进程执行和登录数据。这些数据经过匿名处理后发送到集中式 EDR 平台;该平台通常部署在云端,但也可根据组织的具体需求在本地或混合云中运行。
数据分析
优质的端点检测和响应工具将利用机器学习技术来分析这些数据,并对其展开行为分析。这样会建立常规活动的基线,通过进行比较,可以更轻松地检测和识别出任何异常活动。很多高级 EDR 服务还会使用威胁情报,根据现实世界中的网络攻击示例为数据添加更多背景信息。
可疑活动警报
一旦发现任何可疑活动,则会向安全团队和任何其他相关的利益攸关者发送警告,并根据预先设定的触发条件来启动自动响应。例如,EDR 解决方案可自动隔离特定的受感染端点,在用户手动采取应对措施之前主动防止恶意软件在网络中传播。
数据保留
安全团队可以根据警报来采取任何响应、恢复和修复措施,与此同时,EDR 解决方案也会将威胁发现过程中生成的所有数据存档。这些数据可用于日后为当前或持续性攻击的调查提供信息参考,并助力发现以前可能无法检测到的威胁。
为什么端点检测和响应在现代商业环境中如此重要?
端点是最常见、最脆弱的网络攻击媒介之一,这也是网络犯罪分子经常将其作为攻击目标的原因。在过去几年中,这种风险有增无减,远程和混合办公方式的兴起意味着更多的设备通过更多的互联网连接访问企业系统和数据。这些端点受到的保护级别往往低于在办公室内使用的企业设备,因此攻击得逞的风险也大大增加。
与此同时,需要保护的端点数量也在迅速增加。据 Statista 预测,到 2030 年,全球的物联网连接设备数量将超过 290 亿台,达到 2020 年的三倍。这样一来,潜在攻击者会有更多机会找到易受攻击的设备,正因如此,无论网络的大小和规模如何,通过 EDR 将高级威胁检测范围扩展到每个端点上都至关重要。
另外,数据漏洞一旦形成再进行补救可能既麻烦,成本又高,也许这正是需要 EDR 的最重要原因。如果没有 EDR 解决方案,组织可能要花费数周时间来决定采取什么行动。通常,他们唯一的解决办法就是对机器进行镜像重置,这可能会对业务的运转造成极大干扰,降低生产力并导致财务损失。
EDR 与传统反病毒软件的区别是什么?
EDR 与反病毒软件的关键区别在于应对威胁的策略不同。反病毒解决方案只能对已知存在的威胁和异常情况采取行动,并且只能在发现与数据库相匹配的威胁时做出响应并提醒安全团队注意问题。
而端点检测和响应工具则采取更为主动的方法。它们可以识别正在运行的新漏洞,并检测攻击者在活动事件期间的可疑活动。
EDR 和 XDR 的区别是什么?
传统 EDR 工具只关注端点数据,提供有关可疑威胁的信息。随着安全团队面临的挑战不断变化,如事件过多、工具的应对领域过于片面、缺乏集成、技能不足和时间太少,EDR 解决方案也在不断发展。
另一方面,XDR,即扩展检测与响应,是新近出现的一种端点威胁检测与响应方法。“X”表示“扩展”,代表任何数据源(例如网络、云端、第三方和端点数据),突破了利用孤立的工具进行威胁调查的局限性。XDR 系统将分析、启发式方法和自动化等技术结合在一起,通过这些数据源生成见解,其安全防御能力相比孤立的安全工具得到了更大提升。使用 XDR 系统,您可以简化跨安全运营的调查,并减少发现、调查和应对威胁所需的时间。
端点检测和响应工具应具备哪些功能?
EDR 功能因供应商而异,因此在为您的组织挑选 EDR 解决方案之前,必须先调查任何拟设系统提供的功能,以及其与现有整体安全功能的集成程度。
理想的 EDR 解决方案应该既能最大限度地保护您的安全,又能尽量减少需要投入的人力、物力和财力。您需要这样的解决方案:既能为您的安全团队提供支持和新的价值,而又不需要耗费太多的时间。我们建议您关注以下六个关键属性:
1. 端点可见性
要确保所有端点可见,这样您就可以实时查看潜在威胁,从而立即阻止这些威胁。
2. 威胁数据库
有效的 EDR 解决方案需要从端点收集大量数据,并利用背景信息来丰富这些数据,以便能够通过分析识别出攻击迹象。
3. 行为保护
EDR 要提供查找攻击指标 (IOA) 的行为方法,并在漏洞发生之前提醒相关人员系统中存在可疑活动。
4. 洞察和情报
集成威胁情报的 EDR 解决方案可以提供背景信息,例如有关可疑攻击者的信息或有关攻击的其他细节。
5. 快速响应
能够对事件做出快速响应的 EDR 可以在攻击造成漏洞之前阻止攻击,确保您的组织能够继续正常运营。
6. 基于云的解决方案
基于云的端点检测和响应解决方案可确保对端点不会造成任何影响,同时确保搜索、分析和调查功能可以准确实时地持续发挥作用。EDR 解决方案(例如卡巴斯基 Next EDR 优选版)是防止业务中断、应对复杂的定向威胁、全面了解整个网络的活动情况以及从一个基于云的管理平台来集中管理安全性的理想选择。
相关产品:
相关文章:
