什麼是 EDR (端點偵測和回應)?
端點偵測和回應是指持續監控電腦工作站和其他端點上的威脅相關資訊的工具。EDR 的目標是即時發現安全漏洞並對潛在威脅做出快速回應。端點偵測和回應,有時也稱為端點威脅偵測和回應(ETDR)為多種工具的集合,其實際功能可能因實施方式而異。
智慧型手機、監視錄影器、智慧冰箱和伺服器有什麼共同點?它們都是網路犯罪者可能用來存取網路、資料和應用程式並造成嚴重損害的端點。
因此,確保端點安全是當務之急。網路犯罪不斷增加,其在法律、聲譽、營運和財務上所造成的影響也日益嚴重。再加上不斷擴大的端點範圍,特別是由於物聯網以及新的工作方式和連接到企業系統的方式,很明顯地,端點安全的整體應對方法越來越是業務的必需品。
對許多組織而言,解決方式就是使用端點偵測與回應(簡稱 EDR),也因此讓其在網路安全市場中獲得越來越多的關注。Grand View Research 的數據顯示,截至 2022 年,端點偵測與回應工具的全球市場規模接近 30 億美元,並預計在接下來的十年中將以每年 22.3% 的速度成長。
本部落格回答了有關端點偵測與回應(EDR)的一些關鍵問題:安全領域中的 EDR 是什麼、如何運作、為什麼在現代商業環境中如此重要以及如何挑選 EDR 合作夥伴。
網路安全中的 EDR 是什麼?
EDR 術語由 Gartner 於 2013 年首次提出,並自此成為了透過端點防止威脅和入侵來維持資料、應用程式和系統安全的常用方法。
EDR 系統的實際細節和功能可能因實施方式而異。EDR 的實施包括:
- 特定用途的工具;
- 更全面的安全監控工具的一小部分或
- 組合使用的零散工具集合。
隨著攻擊者的手法不斷進步,傳統的保護系統可能會失效。網路安全專家認為 EDR 是進階的威脅防護方式。
EDR 的原理為何?
無論是員工日常使用的電腦、筆記型電腦、智慧型手機還是資料中心的本地伺服器,任何端點都可以透過 EDR 進行保護。EDR 透過下列四步驟流程提供上述端點的即時可見性以及主動偵測和回應:
端點資料擷取與傳輸
資料在端點處生成,通常包括通訊、流程執行和登入。資料經過匿名處理後發送至集中式 EDR 平台;其通常基於雲端,但也可以在本地或以混合雲端的方式運行,實際取決於組織的特定需求。
資料分析
良好的端點偵測和回應工具將使用機器學習來分析資料並對其進行行為分析,藉此建立正常活動的基線,以便透過比較來偵測和發現任何異常活動。許多先進的 EDR 服務還會使用,根據現實世界的網路攻擊範例為資訊添加更多背景資訊。
可疑活動警報
然後,任何可疑活動都會被標記給安全團隊和任何其他相關利害關係人,並根據預設的觸發條件啟動自動回應。例如,EDR 解決方案能自動隔離特定的受感染端點,以在採取手動操作之前主動防止惡意軟體在網路上傳播。
資料保留
警報能讓安全團隊採取相關回應、恢復和補救措施,EDR 解決方案還會保存威脅發現過程中產生的所有資料。這些資料將來可用於為現有或長期攻擊的調查提供資訊,並幫助發現以前無法偵測到的威脅。
為什麼端點偵測和回應在現代業務中如此重要?
端點是網路攻擊最常見和最脆弱的部分之一,因此網路犯罪者經常將其作為目標。該風險近年來只增不減,而遠端和混合工作方式的興起也表示有更多的裝置透過更多的網路連線存取企業系統和資料,而這些端點的保護通常不符合辦公室中應有的企業裝置等級,因此讓攻擊更有可能成功。
同時,需要保護的端點數量也持續快速成長。根據 Statista,到 2030 年,全球物聯網連接裝置數量預計將超過 290 億台,是 2020 年連接數量的三倍。這讓攻擊者有更多機會找到容易攻擊的裝置,而 EDR 能將高階威脅偵測擴展到每個端點,無論其網路的大小和規模。
此外,解決資料外洩問題的補救措施既困難又昂貴,也是 EDR 如此重要的原因。如果沒有適當的 EDR 解決方案,組織可能會花費數週的時間來決定採取哪些行動,通常唯一的解決方案則是對裝置進行重新映像,而該方式可能會造成很大的破壞、降低生產力並造成財務損失。
EDR 與傳統防毒軟體有什麼不同?
EDR 和防毒軟體之間的主要區別在於系統所使用的方法。防毒解決方案只能對已知的威脅和異常採取行動,並且只能在發現的威脅與資料庫相符時才能反應並向安全團隊發出警報。
端點偵測和回應工具則採取更主動的方法。此類工具在運行時會發現新的漏洞,並在活動事件期間偵測攻擊者的可疑活動。
EDR 和 XDR 有什麼差別?
傳統的 EDR 工具僅專注於端點數據,提供對可疑威脅的可見性。隨著安全團隊面臨的挑戰(例如事件超載、工具範圍狹窄、整合不佳、技術短缺和時間不足)不斷演變,EDR 解決方案也不斷演變。
XDR(擴展偵測和回應)則是新型的端點威脅偵測和回應方法。其中「X」為英文的「擴展(extended)」,表示任何數據源,例如網路、雲端、第三方和端點數據,意識到在孤島中調查威脅的局限性。XDR 系統結合使用分析工具、啟發式和自動化來為相關來源產生洞察,與孤立的安全工具相比具有更強的安全性。如此一來,整個安全操作的調查得以受到簡化,並減少發現、調查和回應威脅所需的時間。
端點偵測和回應工具應具備什麼?
EDR 功能因供應商而異,因此在為組織選擇 EDR 解決方案之前,應研究其系統功能以及與現有整體安全功能的整合程度。
理想的 EDR 解決方案應能最大化保護程度,同時最小化所需的作業和投資。解決方案應能夠為安全團隊提供支援並為其增加價值,但同時又不會耗費太多時間。我們建議留意下列六項關鍵點:
1.端點可見度
所有端點的可見性可即時查看潛在威脅,以便立即阻止。
2.威脅資料庫
有效的 EDR 需要從端點收集大量數據,並透過背景資訊進行豐富化,以便分析並辨識攻擊跡象。
3.行為保護
EDR 應具有行為功能,以尋找攻擊跡象(IOA)並在入侵發生前向相關利害關係人發出可疑活動警報。
4.洞察力和情報
整合威脅情報的 EDR 解決方案能提供背景資訊,例如可疑攻擊者的相關資訊或有關攻擊的其他詳細資訊。
5.快速回應
EDR 能快速針對事件做出回應,能在攻擊造成漏洞前阻止攻擊,進而確保組織能繼續正常運作。
6.基於雲端的解決方案
基於雲端的端點偵測和回應解決方案可確保不對端點造成任何影響,同時讓搜尋、分析和調查功能保持準確、即時。Kaspersky Next EDR Optimum 等 EDR 解決方案非常適合防止受到複雜和具有針對性的威脅攻擊而導致業務中斷,並可獲得整個網路的全面可見性以及透過基於雲端的單一管理平台管理安全性。
相關產品:
