EDR:端点检测与响应技术详解
EDR:端点检测与响应技术详解
什么是EDR?
EDR(Endpoint Detection and Response,端点检测和响应)是一种技术或解决方案,它通过记录端点上的行为,使用数据分析和基于上下文的信息来检测异常和恶意活动,并记录有关恶意活动的数据,使安全团队能够调查和响应事件。
为什么需要EDR?
虽然防火墙、入侵检测系统等常规的网络安全产品可以解决信息系统的一部分安全问题,但计算机终端的信息安全一直是整个网络信息系统安全的一个薄弱环节。据权威机构调查,超过85%的安全威胁来自企事业单位内部。
同时,基于特征匹配的杀毒方式无法有效抵御新威胁。基于病毒特征库方式进行杀毒,在高级威胁持续产生的大环境下,呈现被动、后知后觉等检测特点,无法及时有效防御新威胁。
此外,EDR解决方案会在每台设备上安装一个软件代理,以确保整个数字生态系统对安全团队可见,将监控终端数据传送给EDR平台,对于终端安全的防御还是基于EDR平台,所以减轻了终端为保护自身安全所牺牲的性能。
EDR的工作原理
数据收集
端点收集数据(通过在终端部署代理来收集操作系统日志、事件日志、网络流量、文件系统元数据和系统注册表等信息),数据被传输到中央EDR平台进行分析和威胁检测。
数据分析
为了减轻终端CPU损耗同时加强威胁检测能力,将本该发生在终端上的威胁查杀功能转交给EDR平台(管理中心服务器),利用自身强大的大数据分析能力,通过应用机器学习算法、行为分析、基于规则的分析和关联技术来识别潜在威胁和妥协指标。
威胁响应
EDR平台发现终端威胁后,依据事先定义的安全策略,能够提醒安全团队通信下发安全策略,自动断开端点设备,联动触发其他终端EDR来进行威胁扫描。
看华为给的解决方案是——华为智能中小企业防勒索安全解决方案,通过下一代防火墙+沙箱+终端EDR协同联动,为客户构建勒索病毒防御体系。其中终端EDR实时识别感染终端;沙箱实时接收防火墙或EDR上报的文件,进行未知威胁检测;沙箱与防火墙、EDR共享检测结果,在网关及终端实现分钟级威胁阻断。
EDR与其他技术的区别
EDR与EPP的区别
EPP(Endpoint Protection Platform,端点保护平台)是指传统的端点安全解决方案,就可以把它简单理解为传统的杀毒软件来实现IPS的功能,即终端设备只能基于特征库去应对已知威胁。
而EDR通过云平台的分析与检测能发现未知威胁,即在EPP基础上增添了APT功能,同时能支持全局安全联动。
EDR与XDR的区别
XDR(Extended Detection and Response,扩展检测和响应),不仅能对终端设备日志收集,还可以对网络安全设备/网络设备日志、云服务日志、网络流量进行收集,关联多个数据源中的相关事件,以形成完整的上下文信息更有效对安全威胁进行分析。
至于XDR与态势感知的区别,它们真的没有太大区别。
特征 | EDR | XDR |
|---|---|---|
定义 | EDR 专注于监控、检测和响应端点(例如台式机、笔记本电脑、服务器)上的威胁。 | XDR 通过合并来自多个安全域(例如端点、网络、云服务和应用程序)的数据和上下文来扩展 EDR 的功能。 它提供了跨这些领域更广泛的可见性和关联性。 |
范围 | 主要关注端点。 | 涵盖多个安全域,包括端点、网络、云服务和应用程序。 |
提升品牌曝光性 | 提供端点活动、流程和行为的详细可见性。 | 提供跨多个安全层的整体可见性,从而能够关联和分析来自不同来源的事件和威胁。 |
检测 | 强调使用行为分析、异常检测和机器学习算法进行特定于端点的威胁检测。 | 利用先进的分析和关联技术来检测威胁并识别跨多个域的攻击模式,从而增强检测能力。 |
响应 | 对端点提供有针对性的响应操作,例如隔离、遏制和补救。 | 跨不同安全域提供协调的响应操作,实现精心策划和自动化的响应操作,以实现更好的遏制和修复。 |
可扩展性 | 可扩展以处理组织内的大量端点。 | 可扩展以适应多个安全域,使其适合具有复杂和分布式 IT 环境的组织。 |
认证的益处 | 可有效监控和保护端点、检测端点特定的威胁以及响应各个端点上的事件。 | 通过关联多个安全域的数据,提供更广泛的威胁可见性、更快的检测和响应能力,并改进上下文理解。 |
限制 | 仅限于以端点为中心的可见性和检测。 | 由于跨多个安全域的集成,实施和管理更加复杂。 需要精心规划的架构和基础设施。 |
未来趋势 | 可能会与 XDR 平台集成以增强端点功能。 | 预计将通过跨安全域整合高级分析、自动化和编排来进一步发展,以提供统一且全面的安全方法。 |