EDR 在网络安全中的角色
对于致力于防范网络攻击的组织,EDR 代表了防病毒技术的一大进步。防病毒程序旨在阻止恶意行动者进入系统,其方法是检查来自数据库的已知威胁,并在检测到其中一个威胁时执行自动隔离操作。终结点保护平台 (EPP) 是包括高级防病毒程序和反恶意软件保护在内的第一道防线,如果发生违规,EDR 将通过启用检测和修正来提供额外的保护。
通过检测和分析可疑行为(也称为入侵指示器 [IOC]),EDR 能够搜寻至今未知的威胁(即越过外围的威胁)。
EDR 为安全团队提供所需的可见性和自动化,以便加快事件响应并阻止对终结点的攻击进一步传播。它们用于:
- 监视终结点并保留详尽的活动记录,以实时检测可疑活动。
- 分析此数据以确定威胁是否需要调查和修正。
- 为安全团队生成优先级警报,以便他们了解需要首先解决的问题。
- 提供漏洞完整历史记录和范围的可见性和上下文,以帮助安全团队进行调查。
- 在威胁传播之前自动遏制或修正威胁。
EDR 的工作原理是什么?
尽管 EDR 技术可能因每个供应商而异,但它们的工作方式大致相同。EDR 解决方案会:
- 持续监视终结点。载入设备后,EDR 解决方案会在每台设备上安装一个软件代理,以确保整个数字生态系统对安全团队可见。安装了代理的设备称为托管设备。此软件代理将在每台托管设备上持续记录相关活动。
- 聚合遥测数据。从每台设备引入的数据将从代理发送回可能位于云中,也可能位于本地的 EDR 解决方案。安全团队可以实时查看事件日志、身份验证尝试、应用程序使用,以及其他信息。
- 分析和关联数据。EDR 解决方案可发现本来很容易遗漏的 IOC。EDR 通常使用 AI 和机器学习来应用基于全局威胁智能的行为分析,以帮助你的团队抵御针对组织使用的高级策略。
- 显示可疑威胁并采取自动修正操作。EDR 解决方案会标记潜在攻击,并向安全团队发送可操作的警报,以便他们可以快速响应。根据触发器,EDR 系统还可以隔离终结点或以其他方式遏制威胁,以防止它在调查事件期间进一步传播。
- 存储数据供将来使用。EDR 技术会保留以往事件的取证记录,以便为将来的调查提供信息。安全分析师可以使用它来合并事件或大致了解长期以来或此前未检测到的攻击。
关键 EDR 功能和特性
-
消除盲点
借助 EDR,安全团队可以对现有终结点以统一的方式进行查看和管理,并发现已连接你的网络,但可能会引入不必要的常见漏洞和暴露 (CVE) 的非托管终结点。团队还可以使用它来通过标记漏洞和错误配置减少攻击面。
-
使用新一代调查工具
EDR 解决方案可与安全团队协同工作,以确定最严重潜在威胁的优先级、对其进行验证,并在数分钟内执行会审操作。
-
阻止最复杂的攻击
EDR 解决方案可帮助安全团队查找勒索软件等复杂的威胁,这些威胁会不断地改变行为以规避检测。它对基于文件的攻击和无文件攻击都是有效的。
-
更快地修正威胁
利用能够自动遏制攻击、启动调查,以及使用 网络安全 AI 应用最佳做法和确定后续步骤的 EDR 工具,安全团队能够减少应对威胁所需的时间。
-
主动搜寻威胁
EDR 解决方案应用丰富的行为分析来提供深度威胁监视,可帮助团队在可疑行为初现端倪时发现攻击。
-
将检测和响应与 SIEM 集成
许多 EDR 安全解决方案无缝集成了安全团队堆栈中的现有安全信息和事件管理 (SIEM) 产品和其他工具。
EDR 为什么非常重要?
EDR 安全解决方案可为现代组织提供重要的保护。仅使用防病毒程序和反恶意软件解决方案无法 100% 阻止可能针对你的网络的攻击。网络犯罪者不断改进他们用来规避外围防御的策略,不可避免地,总会有人能够逃过这些防御。安全团队需要可靠的工具来追踪一小部分维系,因为它们有可能越过外围并造成重大损害和数据丢失。
分布式拒绝服务 (DDoS) 攻击、网络钓鱼和勒索软件等威胁可能会对组织运营造成灾难性后果,并且需要支出大量资金进行修正。网络犯罪分子的资源越来越丰富,动机越来越强。渗透系统对他们而言是一项利润丰厚业务,他们投资先进技术,以使其攻击更加成功。从网络威胁策略的发展速度来看,组织改善其安全状况以积极应对并投资于能够应对现代威胁的技术具有良好的财务意义。
随着越来越多的组织采用远程和混合工作模式,EDR 已变得尤为重要。当员工从地理分散的笔记本电脑、电脑和移动电话连接到网络时,安全团队需要防御的攻击面随之扩大。借助 EDR 解决方案,他们能够实时监视和分析来自这些终结点的数据。
EDR 对事件响应的影响
EDR 安全解决方案可帮助你的团队在其事件响应计划的每个阶段提高效率。除了支持团队检测原本可能隐藏的威胁之外,他们还可以期待 EDR 功能可以减少与事件响应生命周期后续阶段相关的人工和繁琐任务:
遏制、消除和恢复。所提供的实时可见性和自动化 EDR 解决方案将帮助你的团队快速隔离被感染的终结点、阻止进出恶意 IP 地址的流量,并开始采取后续步骤来缓解威胁。映像 EDR 工具可持续捕获终结点,以便在必要时更轻松地回滚到以前未感染的状态。
事后分析。EDR 提供的有关终结点活动、网络连接、用户操作和文件修改的取证数据可帮助分析人员进行根本原因分析,从而确定事件的起源。它还可加快其分析和报告各方面工作的优劣,因此可以更好地准备应对下一次事件。
EDR 和威胁搜寻
主动网络威胁搜寻是分析人员在网络中搜索未知威胁的一项安全练习。EDR 解决方案通过提供取证数据来支持此功能,这些数据可帮助分析人员确定将哪些 IOC 作为目标,例如特定文件、配置或可疑行为。在网络威胁环境中,恶意行动者经常能够潜伏在环境中几个月时间而不被发现,在这种情况下,威胁搜寻成为增强安全态势和满足合规性要求的一种重要方式。
一些 EDR 解决方案将允许分析人员为目标威胁检测创建自定义规则。借助这些规则,可以主动监视各种事件和系统状态,包括可疑的违规活动和配置错误的终结点。这些规则可以设置为定期运行、生成警报以及在出现匹配项时执行响应操作。
将 EDR 纳入安全策略
如果考虑将 EDR 安全功能添加到防御,所选解决方案务必能够与现有工具无缝集成,并简化安全堆栈,而不是增加其复杂性。此外,请务必选择使用高级 AI 的 EDR 解决方案,以便它可以从过去的事件中学习,并自动处理类似事件,以减少团队的工作负担。
借助 Microsoft Defender for Endpoint,助力安全团队提高工作效率,以智慧战胜攻击者。Defender for Endpoint 可帮助你改进安全策略,以防范多平台企业中复杂的威胁。
详细了解 Microsoft 安全
常见问题解答
-
EDR 不仅仅是防病毒技术。防病毒程序旨在阻止恶意行动者进入系统,其方法是检查来自数据库的已知威胁,并在检测到威胁时执行自动隔离操作。EDR 提供了更强大的保护,因为它能够通过分析可疑行为来搜寻至今未知的威胁。
-
EDR 即终结点检测和响应,在业务中,它是确保网络犯罪分子无法使用员工的笔记本电脑、台式机和移动设备渗透工作数据和基础结构的重要工具。借助 EDR,安全团队能够查看连接到网络的所有终结点,并提供可靠的工具来帮助他们分析威胁信号和检测威胁。
-
EDR 的工作原理是持续监视连接到网络的终结点并记录行为,以便安全团队可以更有效地保护组织免受威胁。EDR 集中聚合遥测数据,然后对其进行分析和关联以发现潜在威胁。它还会根据需要执行自动修正操作,并提供攻击的取证记录,以加快调查速度。
-
Microsoft Defender for Endpoint 是一种企业 EDR,旨在帮助组织预防、检测、调查和响应高级威胁。它与许多其他 Microsoft 解决方案集成,以提供一流的整体安全性。
-
XDR 是 EDR 的自然演变。XDR 扩大了 EDR 的范围,在更广泛的产品范围内(从网络和服务器到基于云的应用程序和终结点)提供优化的检测和响应。XDR 跨企业各种现有安全工具和产品提供灵活性和集成。
关注 Microsoft 365