什么是EDR?
May 04, 2023
终端威胁检测和响应(Endpoint Threat Detection and Response),通常简称为“EDR”,是反恶意软件软件的一种新视角。然而,“EDR”并不像“传统”反恶意软件应用程序所假装的那样,适用于所有可能的需求。如从缩写中可以理解,EDR是一种必须保护终端而不是个人电脑的系统。公司中每台计算机的分离安全系统最大的弱点是缺乏对每个受攻击设备的联合行动、缺乏对所有可能攻击面的控制以及缺乏日志记录。但是让我们逐步检查每个事项。
什么是终端检测和响应?
定义产品之间的区别是很好的,但这仍然不能清楚地说明什么是EDR解决方案的主要思想以及它是如何工作的。终端安全解决方案通常用于对终端和网络的所有其他元素(域控制器和连接到终端的用户计算机)进行持续扫描,以便检测可能的威胁并创建有效的响应。对事件的不断监视需要许多额外的模块来补充“传统”的反恶意软件引擎和安全专家的持久控制。一些供应商甚至以软件即服务的形式提供他们的EDR产品。
EDR解决方案可以检测出由其行为引起的威胁。除了基本的启发式规则外,程序还依赖于神经网络。然而,源可能不同于通常的“当前进程” - 端点保护解决方案假定有多种其他方式来获取有关事件的信息。然后,它使用“经典”的基于数据库的方法检查检测到的项目。如果找到匹配的签名 - 它立即删除威胁,认为它是病毒。如果没有找到匹配项,则只是阻止它,使人可以管理其删除。这种覆盖整个企业系统的防护层使其甚至可以处理人为威胁,例如内部人员或高级持续性威胁。
为了使安全管理更加有效,大多数解决方案将受保护的网络划分为小片段,称为节点。这使得可以向特定计算机或选择的应用程序应用单独的安全限制/特权。此外,将整个网络划分为这些部分使得分析事件日志变得更加容易 - 更容易弄清楚攻击面是什么,攻击者是如何行动的。
杀毒软件 vs EDR。
在上一段中,您可以看到“经典”反恶意软件软件的三个主要问题,这使它们在保护企业时不太有用。这是正确的。但是,一个更严重的问题使它们更难以比较。端点检测和响应解决方案被认为是保护整个企业网络的吸引人的事物。找到并设置与常规杀毒软件相等的覆盖范围并基于其上的解决方案是可行的,但其效率可能是有问题的。实践表明,教老狗一些新技巧非常困难。这就是为什么那些技巧必须由最初设计用于此目的的东西完成的原因。
为什么EDR比普通防病毒软件更好?
防病毒软件
- 能够有效保护单个计算机;
- 支持Windows或macOS(有时同时支持);
- 主要控制方式是在每台计算机上的图形用户界面(GUI)。其中一些软件能够进行远程控制,但通常需要特殊的应用程序版本;
- 支持按需扫描,基于数据库的检测。在主动保护模式下应用启发式规则;
- 基于扫描和主动保护期间的事件进行简单的日志记录。
端点检测和响应
- 擅长保护端点和相关事物,包括服务器和域控制器;
- 支持所有可能的 * NIX 操作系统以及Windows;
- 远程集中控制是管理的主要方式。只能对系统元素进行本地调整;
- 恶意软件检测的主要方式是启发式规则。该解决方案不断监视端点和所有相关元素。
- 记录受保护网络中观察到的所有事件,无论何时发生。
现在,让我们来看一下上述问题的重要性。针对每个系统进行安全系统的分离对于建立可靠的恶意软件保护至关重要。集群在网络设计中很好,但在需要同质性的结构中不是最佳选择,而恶意软件保护正是这样一个结构。不同系统具有不同的保护设置,降低了保护效率。当然,可以将所有系统设置为相似。然而,如果有人每周至少使用一次该计算机,则这种相似性将不会持续太久。
攻击期间缺乏协同作用与上一段相关。对于公司的网络攻击很少针对单个计算机,通常攻击整个网络。这需要网络的所有元素同时并相同地作出响应。虽然某些EDR系统在某些情况下假定了不对称响应,但这个问题并不是很关键。然而,具有这种能力很重要,而分散的安全解决方案则无法提供这种能力。
日志记录是一个非常被低估的事情,在任何可用的形式中都找不到标准的反恶意软件软件中。扫描/保护日志仍然无法为您提供足够的信息来分析当前情况或过去的网络事件。关于事件的如何发生,每秒,每步,的信息将帮助网络安全专家进行必要的调整,以提供更好的保护。
终端检测和响应的关键原则
和任何大规模企业产品一样,EDR不管供应商如何,都依赖于几个关键原则。这就像一个基本规则清单,遵循这些规则是将您的产品称为EDR解决方案所必须的。这些原则也可以解释为假装成为公司规模的反恶意软件程序所需的最小软件要求。
协调所有攻击面的响应。如上所述,在攻击期间同时响应所有系统元素是很重要的。EDR系统必须默认或经过特定设置提供这种功能。
基于云的系统管理。EDR解决方案必须可从远程位置控制,以抵制攻击并在任何地方和任何时间分析情况。据统计,大多数网络攻击发生在工作时间之后,此时可能没有人留意公司网络。
最高的保护率。如果昂贵且难以设置的安全系统不能抵御现代威胁,那么有什么必要呢?这是一个修辞问题。端点安全解决方案中的保护必须依赖于启发式和基于数据库的检测机制,可能还要依赖于神经网络。像AV-Comparatives这样的组织定期测试可用的解决方案,因此会发布每个EDR系统的自己的评级。
EDR系统的目标是什么?
终端检测系统能够检测和清除任何威胁 - 这就是你花钱购买的原因。从最简单的广告软件到混淆的间谍软件或后门恶意软件,它都可以阻止它们。然而,它在理解攻击正在发生的方式上有显著区别。公司很少会被攻击以注入广告软件或其他“轻量级”病毒 - 通常会收到勒索软件或其他令人讨厌的东西。而EDR阻止它的方式不同于仅基于数据库支持的检测或启发式扫描。
从EDR系统的关键原则中,您可以猜到它的意思。这样的安全系统旨在在初始阶段停止攻击 - 例如RDP密码暴力破解或浏览器漏洞利用。为此,终端检测系统具有系统中所有事件的日志。此外,日志记录允许EDR系统有效地对抗最危险的威胁 - 例如所谓的高级持续性威胁。其他长期存在的东西,例如尝试尽可能长时间保持在系统中的后门和间谍软件,也将被有效打败。
EDR值得购买吗?
这个问题取决于太多因素,以至于没有一个单一的答案。按设计,EDR比普通的杀毒软件更昂贵和更复杂。同时,它对现实世界的威胁更加有效。广告软件和浏览器劫持者更像是普通的感冒,而勒索软件或间谍软件攻击则像肺炎一样严重。但这种比较并不总是正确的。
当你拥有一家小公司——例如,在你所在的城市/县市拥有一家面包店连锁店时,购买 EDR 的价格/利润比率太低了。你没有太多的电脑和服务器需要使用高端的解决方案进行保护,而你的数据和活动也不是网络犯罪分子感兴趣的焦点。希望你不会受到攻击并不意味着你永远不会受到攻击。但是,客观评估你的需求在涉及到大笔开销时是非常重要的。
即使是小公司也可能会成为欺诈者的目标。会计和清算公司可能与地方银行和小型券商合作,从而使敏感信息通过其存储。诊所、地方政府机构和银行分支机构也是如此。一些勒索软件组织同意避免攻击关键基础设施公司、政府机构、医疗和教育机构。但是,这并不意味着你有百分之百的安全性——甚至一些最大的组织选择忽视这些“道德黑客”规则。