隨著黑客智能攻擊技術(shù)的不斷提高，即使是最好的攻擊手段，用來防御的技術(shù)也在不斷提高。 端點檢測與響應(yīng)(Endpoint Detection & Response，EDR)這樣的技術(shù)對于企業(yè)或托管服務(wù)提供商(managed service providers，MSPs)來說是無價的，但是有了這樣一個強大的工具，就有許多問題需要回答，以便了解它是如何工作的，它能防止什么，以及它能提供什么。

　　什么是 EDR? 端點檢測與響應(yīng)(Endpoint Detection & Response，EDR)是一種主動的安全方法，可以實時監(jiān)控端點，并搜索滲透到公司防御系統(tǒng)中的威脅。 這是一種新興的技術(shù)，可以更好地了解端點上發(fā)生的事情，提供關(guān)于攻擊的上下文和詳細信息。

　　EDR 是如何工作的? 一旦安裝了 EDR 技術(shù)，它就會使用先進的算法來分析系統(tǒng)上單個用戶的行為，允許它記住和連接他們的活動。 就像你經(jīng)常注意到的那樣，當你身邊的某個人感覺不對勁或者與眾不同的時候，這項技術(shù)可以“感知”到你系統(tǒng)中某個特定用戶的異常行為。 數(shù)據(jù)會立即被過濾、豐富和監(jiān)控，以防出現(xiàn)惡意行為的跡象。 這些跡象觸發(fā)了警報，調(diào)查就開始了ーー確定攻擊是真是假。 如果檢測到惡意活動，算法將跟蹤攻擊路徑并將其構(gòu)建回入口點。 然后，該技術(shù)將所有數(shù)據(jù)點合并到稱為惡意操作(MalOps)的窄類別中，使分析人員更容易查看。 在發(fā)生真正的攻擊事件時，客戶會得到通知，并得到可采取行動的響應(yīng)步驟和建議，以便進行進一步調(diào)查和高級取證。 如果是誤報，則警報關(guān)閉，只增加調(diào)查記錄，不會通知客戶。

　　EDR 能夠檢測到什么類型的威脅? EDR 保護用戶免受無文件型的惡意軟件，惡意腳本，或被竊取的用戶憑證的攻擊。 它被設(shè)計用來跟蹤攻擊者使用的技術(shù)、策略和過程。 但是它還有更深的含義。 它不僅可以了解攻擊者如何侵入你的網(wǎng)絡(luò)，還可以檢測他們的活動路徑: 他們?nèi)绾瘟私饽愕木W(wǎng)絡(luò)，如何轉(zhuǎn)移到其他機器上，并試圖在攻擊中實現(xiàn)他們的目標。 你可以避免以下情況: · 惡意軟件(犯罪軟件、勒索軟件等) · 無文件型攻擊 · 濫用合法應(yīng)用程序 · 可疑的用戶活動和行為

　　EDR 的要素是什么? EDR 是獨一無二的，因為它的算法不僅可以檢測和打擊威脅，還可以簡化警報和攻擊數(shù)據(jù)的管理。 使用行為分析來實時分析用戶活動，可以在不干擾端點的情況下立即檢測潛在威脅。 它通過將攻擊數(shù)據(jù)合并到可以分析的事件中，與防病毒和其他工具一起使用可以為你提供一個安全的網(wǎng)絡(luò)，從而增強了取證分析的能力。

　　如何用 EDR 處理事件? EDR 以創(chuàng)新的方式處理和應(yīng)對威脅，簡化分析師的調(diào)查，ktv節(jié)省時間和金錢。 該系統(tǒng)監(jiān)控成千上萬的數(shù)據(jù)點或警報，并將它們合并為一個叫做 MalOps 的窄類別。 然后，這些數(shù)據(jù)通過人工智能引擎進行處理和過濾，并與以前的數(shù)據(jù)集模式和行為進行比較，以幫助識別以前未知或已知的惡意行為。 在比較了當前和過去的數(shù)據(jù)之后，AI 引擎內(nèi)部做出決定，發(fā)送關(guān)于事件的警報，限制活動，消除威脅，并修復任何遭到損壞的系統(tǒng)。 由于使用 MalOps 將事件合并到一個窄類別中，分析師所需的調(diào)查時間大大減少。 根據(jù) Infosecurity Group 的數(shù)據(jù)，2017年每天至少有360,000個新的惡意文件被檢測到，這意味著公司必須積極應(yīng)對這些威脅，并擁有更加簡化的檢測和審查流程。 這使得分析師能夠有效地打擊和發(fā)現(xiàn)最大的威脅。

　　EDR 收集什么信息? 端點檢測和響應(yīng)通過安裝在端點上的傳感器運行而不需要重新啟動。 所有這些數(shù)據(jù)被拼接在一起，形成了一個完整的端點活動圖，無論設(shè)備位于何處。

　　為什么 EDR 優(yōu)于傳統(tǒng)的攻擊事后分析方法? 隨著攻擊者技術(shù)的不斷提高和方法的不斷調(diào)整，傳統(tǒng)的攻擊事后分析方法已經(jīng)不能滿足需要。 首先是響應(yīng)時間。 在被攻擊之后，時間是至關(guān)重要的，緩慢的調(diào)查可能對你的公司有害 傳統(tǒng)方法需要更長的調(diào)查時間ーー而攻擊者可能會對你的網(wǎng)絡(luò)造成更大的破壞，并將你的客戶端和數(shù)據(jù)置于危險之中。 傳統(tǒng)的方法也限制了調(diào)查的深度和廣度。

　　即使它們能夠確定受影響的區(qū)域，傳統(tǒng)方法通常也無法顯示攻擊進入的位置和路徑。 EDR 可以讓你知道何時發(fā)生了攻擊，但也可以編譯行為數(shù)據(jù)來顯示你的網(wǎng)絡(luò)上的攻擊路徑，從它進入的位置到它采取的動作。 此外，EDR 編譯數(shù)據(jù)的方式使分析人員更容易查看，大大減少了需要分析的數(shù)據(jù)量。 這反過來又減少了攻擊事后分析的總體時間和成本。

　　傳統(tǒng)反病毒軟件 vs EDR 人們常問的一個問題是 EDR 與傳統(tǒng)反病毒軟件(AV)或下一代反病毒(NGAV)之間的區(qū)別。 在他們看來，他們不需要這兩種技術(shù)。 但事實并非如此。 事實上，這兩種技術(shù)在保護你的網(wǎng)絡(luò)方面有不同的用途。 反病毒和下一代反病毒專注于預防，但對攻擊期間發(fā)生的情況一無所知。 它們被設(shè)計用來在壞的東西進入你的網(wǎng)絡(luò)之前捕捉它們。 但是即使它們正確地做到了這一點，它們也不能告訴你惡意軟件來自哪里，以及它們是如何在系統(tǒng)中傳播的。 EDR 描述的是整個攻擊過程，并幫助你跟蹤可執(zhí)行文件是如何獲得對計算機的訪問權(quán)限并嘗試運行的。 EDR 不僅提供了可見性，當一個攻擊行為被 AV 阻止，或者是一個不錯 NGAV 防控失敗，那么在這種情況下，你最有可能處理發(fā)的是一個嚴重的攻擊，如無文件型的惡意軟件，零日漏洞，或高級持續(xù)性威脅。

　　這些類型的攻擊不會留下簽名，這使得它們更難防范，而且如果沒有 EDR 這樣的服務(wù)幾乎不可能被發(fā)現(xiàn)。 它會警告你攻擊未遂，當攻擊者已經(jīng)繞過你的所有防御措施并在你的網(wǎng)絡(luò)中時，EDR 會為你提供洞察能力。 EDR 與 SIEM 的區(qū)別 另一個常見的問題是 EDR 與安全信息和事件管理(SIEM)之間的區(qū)別。 SIEM 是一種從防火墻、服務(wù)器和網(wǎng)絡(luò)設(shè)備收集日志的技術(shù)。 它整合了你的所有網(wǎng)絡(luò)日志，以幫助跟蹤行為、識別威脅并進行調(diào)查。 但是，你必須設(shè)置規(guī)則和查詢來告訴 SIEM 要查找什么以及要跟蹤什么行為。 SIEM 是一個非常好的服務(wù)，可以全面地觀察發(fā)生在你的網(wǎng)絡(luò)上的活動。 EDR 專門整合和分析端點數(shù)據(jù)，為分析人員提供設(shè)備，xise而不是要求他們分析成千上萬的日志或事件。

　　最終，這兩種技術(shù)服務(wù)于不同的目的，并且可以在一個安全的網(wǎng)絡(luò)環(huán)境中相互補充，但是 EDR 的主要目的是簡化并有效地檢測和應(yīng)對威脅。 EDR 的額外好處 EDR 的創(chuàng)新性和有效性本身就證明了它的價值，但是還有比這項技術(shù)更深層次的好處。

　　更具成本效益。EDR 不是雇傭一個7*24 小時的內(nèi)部安全團隊或者讓自己暴露在大規(guī)模攻擊面前，而是允許你在公司的安全和數(shù)據(jù)上進行投資，這對于一個中小規(guī)模的團隊來說是現(xiàn)實的。 · 節(jié)省時間 因為使用 MalOps 進行分析的警報較少，而且誤報也較少，所以 EDR 允許分析人員花更多的時間研究合法威脅。

　　提高團隊效率 EDR沒有通過警報進行解析并將其與其他數(shù)據(jù)點進行比較，而是將數(shù)據(jù)點關(guān)聯(lián)到一個攻擊事件中，從而節(jié)省了分析人員大量的開銷和時間。這使得團隊能夠更有效地處理數(shù)據(jù)并保護公司。

　　安全分析師扮演著什么角色? EDR 的美妙之處在于它結(jié)合了先進的技術(shù)和分析師的專業(yè)知識 在檢測、路徑分析和橫向移動階段不需要人為因素。 對收集到的數(shù)據(jù)集進行分析和解釋仍然很重要，但在檢測到的事件的最初幾秒鐘內(nèi)并不重要。 這樣就可以加強對網(wǎng)絡(luò)的保護，并允許安全分析師調(diào)查合法的威脅，而不是通過誤報進行過濾。

　　由于使用 EDR 和 MalOps 對數(shù)據(jù)進行了整合，因此理解、診斷和補救問題更加容易和直觀。 這使得分析師能夠調(diào)查并提供合法威脅的解決方案。

　　如何安裝 EDR? 安裝很簡單——只需一個可執(zhí)行文件，就可以通過軟件發(fā)布工具手動安裝、編寫腳本或部署。 一般來說，是通過 HTTPS 連接到主控臺，這種方式不需要額外的防火墻規(guī)則。 所有警報都從主控制臺監(jiān)視和報告。 EDR 的影響 最終，EDR 可以對中小型公司產(chǎn)生巨大的影響，并為他們的業(yè)務(wù)、客戶和數(shù)據(jù)提供保護和安全性。

　　隨著黑客情報的不斷增長，企業(yè)正面臨越來越大的風險。 如果沒有一個適當?shù)亩它c檢測和響應(yīng)計劃，那將是非常危險的。

　　更多關(guān)于網(wǎng)絡(luò)安全培訓的問題，歡迎咨詢千鋒教育在線名師。千鋒教育擁有多年IT培訓服務(wù)經(jīng)驗，采用全程面授高品質(zhì)、高體驗培養(yǎng)模式，擁有國內(nèi)一體化教學管理及學員服務(wù)，助力更多學員實現(xiàn)高薪夢想。