从本质上来看,EDR技术通过对操作系统行为的高清记录和长期存储,根据行为规则IOA和外部特征库IOC来对漏洞攻击和无文件攻击等高级威胁进行关联分级及检测,通过绘制进程事件树实现攻击可视化,对威胁的疑似主机进行远程遏制和修复。它填补了传统防病毒产品在高级威胁检测及响应方面的技术空白。
EDR大约在8年前推出,随着技术的发展和安全需求的增加,XDR(扩展检测与响应)的推出引起了业界极大的兴趣。“X”代表未知的一切,可以理解为SaaS类型的安全威胁检测和响应平台,集成了大量的安全产品,开箱即用,多产品联动处理改变单一产品的响应过程,并可改进检测的敏感性,有统一的安全数据归一化和中心化可供分析和查询。在Gartner今年的《九大安全风险与趋势》报告中,XDR是被提到的第一项技术和解决方案。同时,包括派拓网络、思科、迈克菲等国外厂商也在不断宣传自己的XDR解决方案。
Gartner报告:终端安全成熟度曲线2020
XDR就是终端防护的最佳解决方案吗?一本名为《你的EDR是否为你提供了最好的服务?》的电子书提出了5个充满挑衅的问题,帮助目前使用EDR的企业安全管理人员确定,与较新的XDR相比,你的EDR是否物有所值,该不该更换成XDR?对于正在选择部署EDR或XDR的企业来说,也是一次良好的参谋。
1.你的EDR能否提供足够的能见度和保护?
EDR解决方案侧重于端点威胁,在预防和检测多种形式的端点攻击方面具有很高的价值。但如今,新的先进威胁能够绕过你的EDR。
你的EDR解决方案能否检测到成功攻击者的横向移动,该攻击者已经成功地绕过EDR并正在探测你的网络以获取更高价值的资产?你的EDR解决方案是否检测到可能导致数据泄露的恶意内部活动?
2.你的EDR是否提供自动操作手册,以便跨端点、网络和用户采取一切必要的补救措施,以充分消除威胁?
许多EDR工具可以自动检测和补救各种端点威胁。例如,EDR解决方案可以自动执行特定的文件补救操作(删除、隔离、终止进程)和主机补救操作(隔离、运行命令、运行脚本),全面补救有时需要在网络和用户级别采取行动。
你的EDR是否提供了上述全部的主机补救(例如,重新启动、更改IP、删除\禁用服务)?你的EDR是否将补救操作应用于网络(例如,阻塞通信量、清除DNS缓存),用户(例如,禁用/启用、重置密码)和其他环境组件(例如,防火墙、代理、活动目录)?
3.你的EDR解决方案是否提供自动调查和响应?
EDR平台检测威胁,然后采取补救行动来应对已确定的威胁。然后呢?已查明和补救的威胁不应代表这一进程的结束!你的EDR解决方案产生的任何警报都可能表明发生了更大、更严重的安全事件,因此需要进行一定程度的调查——即使威胁本身已经得到补救。
你如何知道补救的威胁在被发现和终止之前没有执行恶意行为?你的EDR是否会自动调查高风险威胁,以确定整个环境中攻击的根源和程度?你的EDR能否自动采取补救措施,彻底根除攻击的所有组成部分?
4.你的EDR供应商是否对MDR服务收取额外费用?
大型企业可以利用管理检测和响应(MDR)来帮助负担过重的安全人员并提高他们的技能。较小的企业可以利用MDR服务来添加缺少的网络安全专门知识和事件响应工具。你的EDR供应商是否收费提供可选的MDR服务?如果是,是否包括:
主动对环境进行24x7监控,以确保不忽略任何威胁?
关于采取必要补救行动以消除所发现的威胁的全面指导?
对可疑文件和你的安全小组可能有任何其他问题的特别研究?
5.你的EDR解决方案是否包括欺骗技术?
大型企业依靠欺骗技术来检测已经成功渗透到环境中的攻击者。欺骗技术使用诱饵主机、文件、网络等,当攻击者访问这些主机、文件、网络时,就会暴露它们的存在。虽然欺骗技术是非常有益的,但是它是昂贵的,很难部署和管理,而且通常只被财力雄厚的大型企业所利用。
您的EDR解决方案提供欺骗技术吗?您的组织是否准备在现有堆栈的基础上添加另一层安全技术?
总结:
对于企业来说,安全似乎总是一个门槛较高同时预算不足、人手不足的难题。如今的安全运营和管理的新趋势是技术的整合和人工过程的自动化,较新的XDR解决方案集成更多的产品和能力,很可能比当前的EDR解决方案提供更多的价值,因此提出以上问题供企业考量以做出更适合的选择。
京公网安备 11010802033237号
