端点检测和响应(EDR)是一种技术形式,可对针对企业网络和系统的高级网络安全威胁提供持续监控和响应。 EDR 是端点安全的一个子集,当员工通过笔记本电脑、智能手机和其他移动设备远程访问网络时,它采用整体方法来保护企业网络和数据。由于这些资产位于将用户连接到公司技术堆栈的链的末端,因此它们被称为端点。
端点安全和 EDR 之间有什么区别?
端点安全保护企业网络上的每个端点免受漏洞、黑客攻击和其他网络安全威胁。端点安全负责确保端点设备和企业网络的整体安全。
端点检测和响应特别关注安全人员用于识别、调查和解决可能危害多个端点的高级威胁和复杂网络攻击的框架。
什么是端点检测和响应 (EDR)?端点检测和响应是高级威胁感知和预防,旨在减轻来自端点设备的危险。 EDR 工具旨在跟踪端点诊断(日志、软件下载、可能的恶意代码)并提供详细信息,帮助安全团队识别、诊断和解决危害端点设备的安全威胁。这些威胁包括:
使用未受保护的 Wi-Fi 网络,攻击者可以在其中监视互联网会话
设备丢失或被盗
网络钓鱼活动和相应的恶意软件
弱密码(或根本没有密码)
缺乏对公司数据的控制
EDR 比端点保护更进一步,端点保护已不足以满足企业网络保护:它既是主动性的,也是防御性的。 EDR 平台会自动修复威胁并向安全管理员发出警报,安全管理员可以执行手动修复任务并在攻击发生时停止攻击。这些威胁和攻击包括滥用凭据、数据库泄露和勒索软件。
EDR 的历史端点检测和响应是 IT 世界中相对较新的技术和主题:直到 20 世纪 90 年代,企业才可以使用互联网。安全提供商在 2000 年代开始提供以端点为中心的解决方案。端点威胁检测和响应 (ETDR) 一词是由 Gartner 分析师于 2013 年创造的,他写道:“这个名称反映了端点(相对于网络)、威胁(相对于恶意软件和官方宣布的事件)和工具“主要用于检测和事件响应”该术语于 2015 年更改为 EDR。
EDR 满足了随着端点驱动的劳动力的出现而迅速发展的需求:企业突然需要为其系统和网络提供安全性,而这些系统和网络在 2000 年代初出现的大量网络攻击中苦苦挣扎。这对于大部分远程团队来说尤其重要,这些团队在 COVID-19 大流行期间显着增加。
端点检测和响应如何工作?端点检测和响应平台执行以下关键功能:
收集有关流量、磁盘和内存信息、登录以及帐户活动的端点和网络数据
为安全团队提供文件和事件日志
当系统检测到异常或攻击时向安全运营中心 (SOC) 和安全分析师发出警报
分析收集的端点和网络数据,以便企业可以查看异常和正常流量的模式
执行补救任务,例如终止进程、阻止应用程序或运行脚本来阻止恶意行为
允许安全团队查看文件、事件日志、网络连接和配置
EDR 解决方案生命周期中的简化一天威胁行为者(例如恶意软件或勒索软件)以企业的一个端点为目标。
收集端点数据并将其发送到企业的数据湖或云数据库进行分析。
先进的大数据分析揭示了当天端点流量的异常模式。
警报会自动发送给安全或 DevSecOps 团队。
EDR 平台执行以下两项操作之一:
自动修复威胁。
允许安全团队手动处理威胁。
威胁行为者的行为存储在数据库中,以便系统记住恶意模式的样子,并用它来评估未来的威胁。
为什么 EDR 很重要?当前基于端点的员工需要能够应对网络和设备复杂威胁的安全性。 EDR 填补了安全方法中的一个漏洞,因为它不仅仅是预防:最好的 EDR 解决方案能够在攻击发生后阻止攻击或减轻其影响。
端点是企业的主要安全风险,使用它们的员工也是如此。员工不仅有时会做出糟糕的密码和设备管理选择,而且还成为抵御网络钓鱼攻击的最大弱点。 EDR 通过收集重要数据并使用它来阻止攻击和破坏,帮助降低端点设备和网络受损的高风险。