隨著黑客智能攻擊技術(shù)的不斷提高，即使是最好的攻擊手段，用來防御的技術(shù)也在不斷提高。 端點(diǎn)檢測與響應(yīng)(Endpoint Detection & Response，EDR)這樣的技術(shù)對(duì)于企業(yè)或托管服務(wù)提供商(managed service providers，MSPs)來說是無價(jià)的，但是有了這樣一個(gè)強(qiáng)大的工具，就有許多問題需要回答，以便了解它是如何工作的，它能防止什么，以及它能提供什么。

　　什么是 EDR? 端點(diǎn)檢測與響應(yīng)(Endpoint Detection & Response，EDR)是一種主動(dòng)的安全方法，可以實(shí)時(shí)監(jiān)控端點(diǎn)，并搜索滲透到公司防御系統(tǒng)中的威脅。 這是一種新興的技術(shù)，可以更好地了解端點(diǎn)上發(fā)生的事情，提供關(guān)于攻擊的上下文和詳細(xì)信息。

　　EDR 是如何工作的? 一旦安裝了 EDR 技術(shù)，它就會(huì)使用先進(jìn)的算法來分析系統(tǒng)上單個(gè)用戶的行為，允許它記住和連接他們的活動(dòng)。 就像你經(jīng)常注意到的那樣，當(dāng)你身邊的某個(gè)人感覺不對(duì)勁或者與眾不同的時(shí)候，這項(xiàng)技術(shù)可以“感知”到你系統(tǒng)中某個(gè)特定用戶的異常行為。 數(shù)據(jù)會(huì)立即被過濾、豐富和監(jiān)控，以防出現(xiàn)惡意行為的跡象。 這些跡象觸發(fā)了警報(bào)，調(diào)查就開始了ーー確定攻擊是真是假。 如果檢測到惡意活動(dòng)，算法將跟蹤攻擊路徑并將其構(gòu)建回入口點(diǎn)。 然后，該技術(shù)將所有數(shù)據(jù)點(diǎn)合并到稱為惡意操作(MalOps)的窄類別中，使分析人員更容易查看。 在發(fā)生真正的攻擊事件時(shí)，客戶會(huì)得到通知，并得到可采取行動(dòng)的響應(yīng)步驟和建議，以便進(jìn)行進(jìn)一步調(diào)查和高級(jí)取證。 如果是誤報(bào)，則警報(bào)關(guān)閉，只增加調(diào)查記錄，不會(huì)通知客戶。

　　EDR 能夠檢測到什么類型的威脅? EDR 保護(hù)用戶免受無文件型的惡意軟件，惡意腳本，或被竊取的用戶憑證的攻擊。 它被設(shè)計(jì)用來跟蹤攻擊者使用的技術(shù)、策略和過程。 但是它還有更深的含義。 它不僅可以了解攻擊者如何侵入你的網(wǎng)絡(luò)，還可以檢測他們的活動(dòng)路徑: 他們?nèi)绾瘟私饽愕木W(wǎng)絡(luò)，如何轉(zhuǎn)移到其他機(jī)器上，并試圖在攻擊中實(shí)現(xiàn)他們的目標(biāo)。 你可以避免以下情況: · 惡意軟件(犯罪軟件、勒索軟件等) · 無文件型攻擊 · 濫用合法應(yīng)用程序 · 可疑的用戶活動(dòng)和行為

　　EDR 的要素是什么? EDR 是獨(dú)一無二的，因?yàn)樗乃惴ú粌H可以檢測和打擊威脅，還可以簡化警報(bào)和攻擊數(shù)據(jù)的管理。 使用行為分析來實(shí)時(shí)分析用戶活動(dòng)，可以在不干擾端點(diǎn)的情況下立即檢測潛在威脅。 它通過將攻擊數(shù)據(jù)合并到可以分析的事件中，與防病毒和其他工具一起使用可以為你提供一個(gè)安全的網(wǎng)絡(luò)，從而增強(qiáng)了取證分析的能力。

　　如何用 EDR 處理事件? EDR 以創(chuàng)新的方式處理和應(yīng)對(duì)威脅，簡化分析師的調(diào)查，ktv節(jié)省時(shí)間和金錢。 該系統(tǒng)監(jiān)控成千上萬的數(shù)據(jù)點(diǎn)或警報(bào)，并將它們合并為一個(gè)叫做 MalOps 的窄類別。 然后，這些數(shù)據(jù)通過人工智能引擎進(jìn)行處理和過濾，并與以前的數(shù)據(jù)集模式和行為進(jìn)行比較，以幫助識(shí)別以前未知或已知的惡意行為。 在比較了當(dāng)前和過去的數(shù)據(jù)之后，AI 引擎內(nèi)部做出決定，發(fā)送關(guān)于事件的警報(bào)，限制活動(dòng)，消除威脅，并修復(fù)任何遭到損壞的系統(tǒng)。 由于使用 MalOps 將事件合并到一個(gè)窄類別中，分析師所需的調(diào)查時(shí)間大大減少。 根據(jù) Infosecurity Group 的數(shù)據(jù)，2017年每天至少有360,000個(gè)新的惡意文件被檢測到，這意味著公司必須積極應(yīng)對(duì)這些威脅，并擁有更加簡化的檢測和審查流程。 這使得分析師能夠有效地打擊和發(fā)現(xiàn)最大的威脅。

　　EDR 收集什么信息? 端點(diǎn)檢測和響應(yīng)通過安裝在端點(diǎn)上的傳感器運(yùn)行而不需要重新啟動(dòng)。 所有這些數(shù)據(jù)被拼接在一起，形成了一個(gè)完整的端點(diǎn)活動(dòng)圖，無論設(shè)備位于何處。

　　為什么 EDR 優(yōu)于傳統(tǒng)的攻擊事后分析方法? 隨著攻擊者技術(shù)的不斷提高和方法的不斷調(diào)整，傳統(tǒng)的攻擊事后分析方法已經(jīng)不能滿足需要。 首先是響應(yīng)時(shí)間。 在被攻擊之后，時(shí)間是至關(guān)重要的，緩慢的調(diào)查可能對(duì)你的公司有害 傳統(tǒng)方法需要更長的調(diào)查時(shí)間ーー而攻擊者可能會(huì)對(duì)你的網(wǎng)絡(luò)造成更大的破壞，并將你的客戶端和數(shù)據(jù)置于危險(xiǎn)之中。 傳統(tǒng)的方法也限制了調(diào)查的深度和廣度。

　　即使它們能夠確定受影響的區(qū)域，傳統(tǒng)方法通常也無法顯示攻擊進(jìn)入的位置和路徑。 EDR 可以讓你知道何時(shí)發(fā)生了攻擊，但也可以編譯行為數(shù)據(jù)來顯示你的網(wǎng)絡(luò)上的攻擊路徑，從它進(jìn)入的位置到它采取的動(dòng)作。 此外，EDR 編譯數(shù)據(jù)的方式使分析人員更容易查看，大大減少了需要分析的數(shù)據(jù)量。 這反過來又減少了攻擊事后分析的總體時(shí)間和成本。

　　傳統(tǒng)反病毒軟件 vs EDR 人們常問的一個(gè)問題是 EDR 與傳統(tǒng)反病毒軟件(AV)或下一代反病毒(NGAV)之間的區(qū)別。 在他們看來，他們不需要這兩種技術(shù)。 但事實(shí)并非如此。 事實(shí)上，這兩種技術(shù)在保護(hù)你的網(wǎng)絡(luò)方面有不同的用途。 反病毒和下一代反病毒專注于預(yù)防，但對(duì)攻擊期間發(fā)生的情況一無所知。 它們被設(shè)計(jì)用來在壞的東西進(jìn)入你的網(wǎng)絡(luò)之前捕捉它們。 但是即使它們正確地做到了這一點(diǎn)，它們也不能告訴你惡意軟件來自哪里，以及它們是如何在系統(tǒng)中傳播的。 EDR 描述的是整個(gè)攻擊過程，并幫助你跟蹤可執(zhí)行文件是如何獲得對(duì)計(jì)算機(jī)的訪問權(quán)限并嘗試運(yùn)行的。 EDR 不僅提供了可見性，當(dāng)一個(gè)攻擊行為被 AV 阻止，或者是一個(gè)不錯(cuò) NGAV 防控失敗，那么在這種情況下，你最有可能處理發(fā)的是一個(gè)嚴(yán)重的攻擊，如無文件型的惡意軟件，零日漏洞，或高級(jí)持續(xù)性威脅。

　　這些類型的攻擊不會(huì)留下簽名，這使得它們更難防范，而且如果沒有 EDR 這樣的服務(wù)幾乎不可能被發(fā)現(xiàn)。 它會(huì)警告你攻擊未遂，當(dāng)攻擊者已經(jīng)繞過你的所有防御措施并在你的網(wǎng)絡(luò)中時(shí)，EDR 會(huì)為你提供洞察能力。 EDR 與 SIEM 的區(qū)別 另一個(gè)常見的問題是 EDR 與安全信息和事件管理(SIEM)之間的區(qū)別。 SIEM 是一種從防火墻、服務(wù)器和網(wǎng)絡(luò)設(shè)備收集日志的技術(shù)。 它整合了你的所有網(wǎng)絡(luò)日志，以幫助跟蹤行為、識(shí)別威脅并進(jìn)行調(diào)查。 但是，你必須設(shè)置規(guī)則和查詢來告訴 SIEM 要查找什么以及要跟蹤什么行為。 SIEM 是一個(gè)非常好的服務(wù)，可以全面地觀察發(fā)生在你的網(wǎng)絡(luò)上的活動(dòng)。 EDR 專門整合和分析端點(diǎn)數(shù)據(jù)，為分析人員提供設(shè)備，xise而不是要求他們分析成千上萬的日志或事件。

　　最終，這兩種技術(shù)服務(wù)于不同的目的，并且可以在一個(gè)安全的網(wǎng)絡(luò)環(huán)境中相互補(bǔ)充，但是 EDR 的主要目的是簡化并有效地檢測和應(yīng)對(duì)威脅。 EDR 的額外好處 EDR 的創(chuàng)新性和有效性本身就證明了它的價(jià)值，但是還有比這項(xiàng)技術(shù)更深層次的好處。

　　更具成本效益。EDR 不是雇傭一個(gè)7*24 小時(shí)的內(nèi)部安全團(tuán)隊(duì)或者讓自己暴露在大規(guī)模攻擊面前，而是允許你在公司的安全和數(shù)據(jù)上進(jìn)行投資，這對(duì)于一個(gè)中小規(guī)模的團(tuán)隊(duì)來說是現(xiàn)實(shí)的。 · 節(jié)省時(shí)間 因?yàn)槭褂?MalOps 進(jìn)行分析的警報(bào)較少，而且誤報(bào)也較少，所以 EDR 允許分析人員花更多的時(shí)間研究合法威脅。

　　提高團(tuán)隊(duì)效率 EDR沒有通過警報(bào)進(jìn)行解析并將其與其他數(shù)據(jù)點(diǎn)進(jìn)行比較，而是將數(shù)據(jù)點(diǎn)關(guān)聯(lián)到一個(gè)攻擊事件中，從而節(jié)省了分析人員大量的開銷和時(shí)間。這使得團(tuán)隊(duì)能夠更有效地處理數(shù)據(jù)并保護(hù)公司。

　　安全分析師扮演著什么角色? EDR 的美妙之處在于它結(jié)合了先進(jìn)的技術(shù)和分析師的專業(yè)知識(shí) 在檢測、路徑分析和橫向移動(dòng)階段不需要人為因素。 對(duì)收集到的數(shù)據(jù)集進(jìn)行分析和解釋仍然很重要，但在檢測到的事件的最初幾秒鐘內(nèi)并不重要。 這樣就可以加強(qiáng)對(duì)網(wǎng)絡(luò)的保護(hù)，并允許安全分析師調(diào)查合法的威脅，而不是通過誤報(bào)進(jìn)行過濾。

　　由于使用 EDR 和 MalOps 對(duì)數(shù)據(jù)進(jìn)行了整合，因此理解、診斷和補(bǔ)救問題更加容易和直觀。 這使得分析師能夠調(diào)查并提供合法威脅的解決方案。

　　如何安裝 EDR? 安裝很簡單——只需一個(gè)可執(zhí)行文件，就可以通過軟件發(fā)布工具手動(dòng)安裝、編寫腳本或部署。 一般來說，是通過 HTTPS 連接到主控臺(tái)，這種方式不需要額外的防火墻規(guī)則。 所有警報(bào)都從主控制臺(tái)監(jiān)視和報(bào)告。 EDR 的影響 最終，EDR 可以對(duì)中小型公司產(chǎn)生巨大的影響，并為他們的業(yè)務(wù)、客戶和數(shù)據(jù)提供保護(hù)和安全性。

　　隨著黑客情報(bào)的不斷增長，企業(yè)正面臨越來越大的風(fēng)險(xiǎn)。 如果沒有一個(gè)適當(dāng)?shù)亩它c(diǎn)檢測和響應(yīng)計(jì)劃，那將是非常危險(xiǎn)的。

　　更多關(guān)于網(wǎng)絡(luò)安全培訓(xùn)的問題，歡迎咨詢千鋒教育在線名師。千鋒教育擁有多年IT培訓(xùn)服務(wù)經(jīng)驗(yàn)，采用全程面授高品質(zhì)、高體驗(yàn)培養(yǎng)模式，擁有國內(nèi)一體化教學(xué)管理及學(xué)員服務(wù)，助力更多學(xué)員實(shí)現(xiàn)高薪夢想。