随着黑客智能攻击技术的不断提高,即使是最好的攻击手段,用来防御的技术也在不断提高。
端点检测与响应(Endpoint Detection & Response,EDR)这样的技术对于企业或托管服务提供商(managed service providers,MSPs)来说是无价的,但是有了这样一个强大的工具,就有许多问题需要回答,以便了解它是如何工作的,它能防止什么,以及它能提供什么。
什么是 EDR?
端点检测与响应(Endpoint Detection & Response,EDR)是一种主动的安全方法,可以实时监控端点,并搜索渗透到公司防御系统中的威胁。 这是一种新兴的技术,可以更好地了解端点上发生的事情,提供关于攻击的上下文和详细信息。 EDR 服务可以让你知道攻击者是否及何时进入你的网络,并在攻击发生时检测攻击路径ーー帮助你在记录的时间内对事件作出反应。
这有什么关系呢?
“这不再是在端点预防攻击(这不可能100% 地做到) ,而是尽快抓住攻击或攻击企图。 我们的目标是减轻损害,并阻止任何通过受害用户的机器进一步渗透到网络中的攻击行为。”
—— 凯利 · 杰克逊 · 希金斯,Dark Reading
由于给定系统上有大量端点,因此越来越难以防范通过端点进入的高级攻击,例如单个计算机或移动设备。 这通常是黑客活动发生的地方,即使有最先进的保护,仍然可能发生攻击。 根据国际数据公司(IDC)的一份报告,70% 的成功的数据泄露始于终端设备。 这些类型的攻击可能是有害的,由于名誉损失或财政破产。 客户信息和网络安全必须得到保护,然而大多数中小型企业没有资源进行24/7监控,因为越来越难以抵御这些类型的攻击。 各种规模的企业都需要保护自己的数据,并以具有成本效益的方式更好地了解高级威胁。 一个 EDR 解决方案可以做到这一点。
EDR 是如何工作的?
一旦安装了 EDR 技术,它就会使用先进的算法来分析系统上单个用户的行为,允许它记住和连接他们的活动。 就像你经常注意到的那样,当你身边的某个人感觉不对劲或者与众不同的时候,这项技术可以“感知”到你系统中某个特定用户的异常行为。 数据会立即被过滤、丰富和监控,以防出现恶意行为的迹象。 这些迹象触发了警报,调查就开始了ーー确定攻击是真是假。 如果检测到恶意活动,算法将跟踪攻击路径并将其构建回入口点。 然后,该技术将所有数据点合并到称为恶意操作(MalOps)的窄类别中,使分析人员更容易查看。 在发生真正的攻击事件时,客户会得到通知,并得到可采取行动的响应步骤和建议,以便进行进一步调查和高级取证。 如果是误报,则警报关闭,只增加调查记录,不会通知客户。
EDR 能够检测到什么类型的威胁?
EDR 保护用户免受无文件型的恶意软件,恶意脚本,或被窃取的用户凭证的攻击。 它被设计用来跟踪攻击者使用的技术、策略和过程。 但是它还有更深的含义。 它不仅可以了解攻击者如何侵入你的网络,还可以检测他们的活动路径: 他们如何了解你的网络,如何转移到其他机器上,并试图在攻击中实现他们的目标。 你可以避免以下情况:
· 恶意软件(犯罪软件、勒索软件等)
· 无文件型攻击
· 滥用合法应用程序
· 可疑的用户活动和行为
EDR 的要素是什么?
EDR 是独一无二的,因为它的算法不仅可以检测和打击威胁,还可以简化警报和攻击数据的管理。 使用行为分析来实时分析用户活动,可以在不干扰端点的情况下立即检测潜在威胁。 它通过将攻击数据合并到可以分析的事件中,与防病毒和其他工具一起使用可以为你提供一个安全的网络,从而增强了取证分析的能力。
如何用 EDR 处理事件?
EDR 以创新的方式处理和应对威胁,简化分析师的调查,节省时间和金钱。 该系统监控成千上万的数据点或警报,并将它们合并为一个叫做 MalOps 的窄类别。 然后,这些数据通过人工智能引擎进行处理和过滤,并与以前的数据集模式和行为进行比较,以帮助识别以前未知或已知的恶意行为。 在比较了当前和过去的数据之后,AI 引擎内部做出决定,发送关于事件的警报,限制活动,消除威胁,并修复任何遭到损坏的系统。 由于使用 MalOps 将事件合并到一个窄类别中,分析师所需的调查时间大大减少。
根据 Infosecurity Group 的数据,2017年每天至少有360,000个新的恶意文件被检测到,这意味着公司必须积极应对这些威胁,并拥有更加简化的检测和审查流程。 这使得分析师能够有效地打击和发现最大的威胁。
EDR 收集什么信息?
端点检测和响应通过安装在端点上的传感器运行而不需要重新启动。 所有这些数据被拼接在一起,形成了一个完整的端点活动图,无论设备位于何处。
为什么 EDR 优于传统的攻击事后分析方法?
随着攻击者技术的不断提高和方法的不断调整,传统的攻击事后分析方法已经不能满足需要。 首先是响应时间。
在被攻击之后,时间是至关重要的,缓慢的调查可能对你的公司有害
传统方法需要更长的调查时间ーー而攻击者可能会对你的网络造成更大的破坏,并将你的客户端和数据置于危险之中。 传统的方法也限制了调查的深度和广度。 即使它们能够确定受影响的区域,传统方法通常也无法显示攻击进入的位置和路径。 EDR 可以让你知道何时发生了攻击,但也可以编译行为数据来显示你的网络上的攻击路径,从它进入的位置到它采取的动作。 此外,EDR 编译数据的方式使分析人员更容易查看,大大减少了需要分析的数据量。 这反过来又减少了攻击事后分析的总体时间和成本。
传统反病毒软件 vs EDR
人们常问的一个问题是 EDR 与传统反病毒软件(AV)或下一代反病毒(NGAV)之间的区别。 在他们看来,他们不需要这两种技术。 但事实并非如此。 事实上,这两种技术在保护你的网络方面有不同的用途。 反病毒和下一代反病毒专注于预防,但对攻击期间发生的情况一无所知。 它们被设计用来在坏的东西进入你的网络之前捕捉它们。 但是即使它们正确地做到了这一点,它们也不能告诉你恶意软件来自哪里,以及它们是如何在系统中传播的。 EDR 描述的是整个攻击过程,并帮助你跟踪可执行文件是如何获得对计算机的访问权限并尝试运行的。 EDR 不仅提供了可见性,当一个攻击行为被 AV 阻止,或者是一个不错 NGAV 防控失败,那么在这种情况下,你最有可能处理发的是一个严重的攻击,如无文件型的恶意软件,零日漏洞,或高级持续性威胁。 这些类型的攻击不会留下签名,这使得它们更难防范,而且如果没有 EDR 这样的服务几乎不可能被发现。 它会警告你攻击未遂,当攻击者已经绕过你的所有防御措施并在你的网络中时,EDR 会为你提供洞察能力。
EDR 与 SIEM 的区别
另一个常见的问题是 EDR 与安全信息和事件管理(SIEM)之间的区别。 SIEM 是一种从防火墙、服务器和网络设备收集日志的技术。 它整合了你的所有网络日志,以帮助跟踪行为、识别威胁并进行调查。 但是,你必须设置规则和查询来告诉 SIEM 要查找什么以及要跟踪什么行为。 SIEM 是一个非常好的服务,可以全面地观察发生在你的网络上的活动。 EDR 专门整合和分析端点数据,为分析人员提供设备,而不是要求他们分析成千上万的日志或事件。 最终,这两种技术服务于不同的目的,并且可以在一个安全的网络环境中相互补充,但是 EDR 的主要目的是简化并有效地检测和应对威胁。
EDR 的额外好处
EDR 的创新性和有效性本身就证明了它的价值,但是还有比这项技术更深层次的好处。
· 更具成本效益。EDR 不是雇佣一个7*24 小时的内部安全团队或者让自己暴露在大规模攻击面前,而是允许你在公司的安全和数据上进行投资,这对于一个中小规模的团队来说是现实的。
· 节省时间 因为使用 MalOps 进行分析的警报较少,而且误报也较少,所以 EDR 允许分析人员花更多的时间研究合法威胁。
· 提高团队效率 EDR没有通过警报进行解析并将其与其他数据点进行比较,而是将数据点关联到一个攻击事件中,从而节省了分析人员大量的开销和时间。这使得团队能够更有效地处理数据并保护公司。
安全分析师扮演着什么角色?
EDR 的美妙之处在于它结合了先进的技术和分析师的专业知识
在检测、路径分析和横向移动阶段不需要人为因素。 对收集到的数据集进行分析和解释仍然很重要,但在检测到的事件的最初几秒钟内并不重要。 这样就可以加强对网络的保护,并允许安全分析师调查合法的威胁,而不是通过误报进行过滤。 由于使用 EDR 和 MalOps 对数据进行了整合,因此理解、诊断和补救问题更加容易和直观。 这使得分析师能够调查并提供合法威胁的解决方案。
如何安装 EDR?
安装很简单——只需一个可执行文件,就可以通过软件发布工具手动安装、编写脚本或部署。 一般来说,是通过 HTTPS 连接到主控台,这种方式不需要额外的防火墙规则。 所有警报都从主控制台监视和报告。
EDR 的影响
最终,EDR 可以对中小型公司产生巨大的影响,并为他们的业务、客户和数据提供保护和安全性。 随着黑客情报的不断增长,企业正面临越来越大的风险。 如果没有一个适当的端点检测和响应计划,那将是非常危险的。