甚麽是 EDR?
端點偵測和回應是指一種用於持續監控電腦工作站和在其他端點上與威脅相關的資訊的工具。EDR 的目標是實時識別安全漏洞,並對潛在威脅作出快速回應。端點偵測和回應(有時也稱為端點威脅偵測和回應 (ETDR))是指一組工具的功能,其細節可能因實施情況而異。
智能手機、保安鏡頭、智能雪櫃和伺服器有甚麼共同之處?它們都是網絡犯罪分子可能用來存取網絡、資料和應用程式並造成嚴重破壞的端點。
確保端點安全從未像今天重要。網絡犯罪依然呈上升趨勢,而漏洞造成的法律、聲譽、營運和財務後果也日益嚴重。再加上端點的範圍不斷擴大,特別是由於物聯網和新的工作方式以及與企業系統的連接,很明顯,一個可應對端點安全的整體方案對企業來說已變得越來越重要。
對許多機構來說,這個方案代表端點偵測和回應(簡稱 EDR),而毫不意外,這種方案在網路安全市場上越來越受歡迎。根據 Grand View Research 的調查顯示,截至 2022 年,端點偵測和回應工具的全球市場規模還不到 30 億美元,但在這十年的剩餘時間內,預計年增長率將達到 22.3%。
在本網誌中我們回答了有關端點偵測和回應(EDR)的一些關鍵問題:在安全領域中 EDR 代表甚麽,它是如何運作的,為甚麽它在現代商業環境中如此重要,以及你應該要求潛在的 EDR 合作夥伴向你提供甚麽服務?
在網絡安全領域中 EDR 代表甚麽?
EDR 一詞由 Gartner 於 2013 年首次提出,從那時起,指透過防止端點威脅和入侵來保護資料、應用程式和系統安全的常用方法。
EDR 系統的具體細節和功能可能因實施情況而異。EDR 的實施可能包括:
- 特定用途的工具;
- 更廣泛的安全監控工具的一個細小組成部分或
- 互相組合使用的鬆散工具集合。
隨著攻擊者不斷改良攻擊手段,傳統的保護系統可能會出現漏洞。網絡安全專家認為 EDR 是針對高級威脅的一種防護形式。
EDR 如何運作?
從員工日常使用的電腦、手提電腦和智能手機到資料中心的內部伺服器,任何端點都可以透過 EDR 得到保護。EDR 透過這四個步驟對所有這些端點提供實時能見度、主動偵測和回應:
端點資料收集和傳輸
資料在端點層面產生,通常包括通訊、流程執行和登入。這些資料經過匿名處理後發送到中央 EDR 平台;該平台通常位於雲端,但也可根據企業的具體需求在內部署或以混合雲端方式運行。
資料分析
優秀的端點偵測和回應工具會使用機器學習來分析這些資料,並對其進行行為分析。這樣就能建立一條常規活動的基線,然後透過比較就能更容易地偵測和識別任何異常活動。許多先進的 EDR 服務還會使用威脅情報,根據現實世界中的網絡攻擊實例為資訊提供更多背景資訊。
可疑活動警報
然後,任何可疑活動都會向安全團隊和任何其他利益相關方發出警告,並根據預定的觸發因素啟動自動回應。例如,EDR 解決方案可以自動隔離特定的受感染端點,在人員採取應對措施之前主動防止惡意軟件在網絡中傳播。
資料保留
警報可讓安全團隊採取任何回應、恢復和補救措施,而 EDR 解決方案會將在發現威脅的過程中所產生的資料存檔。這些資料將來可用於為現有或長期攻擊的調查提供資訊,並幫助發現以前可能無法偵測到的威脅。
為甚麽端點偵測和回應在今天商業環境中如此重要?
端點是網絡攻擊最常見、最脆弱的載體之一,所以也是網絡犯罪分子經常作為攻擊的目標。這種風險在過去幾年內有增無減,遙距和混合工作模式的興起意味著有更多的設備透過聯網方式存取公司的系統和資料。對這些端點的保護級別通常都有別於辦公室內的公司設備,因而大幅增加了成功攻擊的風險。
與此同時,需要保護的終端數量也繼續快速增長。根據 Statista 估計,到 2030 年,全球物聯網連接設備的數量將超過 290 億部,是 2020 年的三倍。這個趨勢令潛在攻擊者有更多機會找到易受攻擊的設備,所以 EDR 必須將針對高級威脅的偵測擴展到每個端點,不論網絡的大小和規模。
此外,應對資料洩露的補救措施可能既困難又昂貴,這也許是必需採用 EDR 的最大原因。如果沒有 EDR 解決方案,機構可能要花費數週時間來決定採取哪些措施,而唯一的解決方案通常就是對機器重新進行映像,這可能會造成極大的破壞,降低工作效率以及帶來經濟損失。
EDR 與傳統防毒軟件有何區別?
EDR 與防毒軟件的主要區別在於每個系統所採用的方法。防毒解決方案只能對已知存在的威脅和異常情況採取行動,而且只能在發現與其資料庫中的威脅匹配的威脅時才會作出反應和提醒安全團隊注意問題。
而端點偵測和回應工具則採取更為主動的方法。它們能識別是否出現新的漏洞,並偵測在活躍事件中是否有攻擊者的可疑活動。
EDR 和 XDR 有何區別?
傳統的 EDR 工具只留意端點資料,提供可疑威脅的能見度。隨著安全團隊所面對的挑戰(例如事件過多、工具所針對的範圍太窄、缺乏整合、技能短缺和時間太少)不斷演變,EDR 解決方案也在不斷變化。
相反,XDR(即擴展偵測和回應)是一種最新的端點威脅偵測和回應方法。「X」代表「擴展」,代表任何資料來源,例如網絡、雲端、第三方和端點,這個方案認識到只對孤立的孤島進行威脅調查具有局限性。XDR 系統結合使用分析、啟發式和自動化從這些來源產生見解,與孤立的安全工具相比,增強了安全防護能力。結果是簡化了整個安全運作的調查,減少了發現、調查和回應威脅所需的時間。
你對端點偵測和回應工具應該有哪些要求?
不同供應商的 EDR 功能各不相同,因此在為貴機構選擇 EDR 解決方案之前,必須調查任何向你推薦的系統的功能,以及該系統與貴機構現有整體安全功能的整合程度。
理想的 EDR 解決方案既能最大限度地保護你的安全,又能最大限度地減少所需的工作量和投資。你需要的解決方案既能為你的安全團隊提供支援和增值,但又不會浪費你的時間。我們建議你注意以下六個主要特點:
1.端點能見度
透過對所有端點的能見度,你可以實時查看潛在威脅,從而立即阻止它們。
2.威脅資料
有效的 EDR 需要從端點收集大量資料,並利用背景資訊來豐富這些資料,以便透過分析識別攻擊跡象。
3.行為保護
EDR 涉及可查找攻擊跡象(IOA)的行為方法,,並在漏洞出現前向利益相關者發出可疑活動警報。
4.見解和情報
整合了威脅情報的 EDR 解決方案可以提供背景資訊,例如可疑攻擊者的資訊或有關攻擊的其他詳細資訊。
5.快速回應
EDR 有助於對事件作出快速回應,可以在攻擊變成漏洞之前加以阻止,使機構能夠繼續正常營運。
6.雲端解決方案
雲端端點偵測和回應解決方案可確保對端點產生零影響,同時使搜索、分析和調查功能能夠繼續準確、實時地進行。Kaspersky Next EDR Optimum 等 EDR 解決方案是防止業務中斷、防範複雜和針對性威脅、獲得整個網絡的全面能見度,以及在單一雲端管理平台上管理安全的理想選擇。
相關產品: