您的位置: 网站首页> 大家问> 当前文章

什么是EDR?EDR的作用和优点

老董2023-06-01191围观,149赞

  传统的防病毒软件主要基于特征库进行攻击比对,判定是否为恶意软件,在最早期,病毒种类数量少,杀毒软件防病毒是哈西恶意文件获得MD5值,属于一对一对比,改动文件名都会导致MD5值的变化,随着病毒种类增多,md5略显乏力,后来安全人员发现某些病毒有同样的特征,所以反病毒发展到了特征值匹配阶段,目前各安全厂商也在维护自己的病毒特征库,但实际上特征值更像是md5的升级版,无非是从一对一升级成了一对多个。

  但近年来病毒变种呈指数级增长,维护特征库更新特征库这种被动防御方式效果甚微,所以反病毒进入了启发式监测,即总结病毒入侵主机后的一系列共性行为为恶意行为(此行为特征与HIDS不同,HIDS的入侵检测更多是指真实攻击者入侵主机后可能在系统层面做的恶意行为,比如可疑命令、异常登录、反弹shell、上传webshell等,而启发式检测只是总结了一些恶意文件执行后的共同行为),当针对性、持续性的APT攻击增多,勒索病毒泛滥,被动的防御建设已经无法阻止病毒的渗入,为了弥补传统防病毒的不足,就诞生了新的技术指向,即EDR, EDR 在 2014 年就进入 Gartner 的 10 大技术之列。

  什么是EDR(Endpoint Detection and Response)?

  端点检测与响应(Endpoint Detection and Response,EDR)根据Gartner给出的定义,EDR是记录和存储端点系统级行为,通过使用多种数据分析技术检测可疑系统行为,提供关联信息,从而阻止恶意行为并为受影响的系统提供修复建议的一种解决方案。 Gartner认为,EDR解决方案需要有以下四个关键能力:检测安全事件、遏制威胁、调查安全事件、提供修复指导。

  EDR与传统防病毒的不同:

  1、安全理念不同

  传统防病毒专注于预防,但对攻击期间发生的情况一无所知。 它们被设计用来在坏的东西进入你的网络之前捕捉它们。 但是即使它们正确地做到了这一点,它们也不能告诉你恶意软件来自哪里,以及它们是如何在系统中传播的。

  EDR不在仅仅是预防,更多的是强调“检测”与“响应”,能及时发现异常并进行处置,将损害限制在可控范围内。EDR 描述的是整个攻击过程,并且不再只是着眼于单个终端的防御,而是能够对各个终端上事件的关联分析,还原整个攻击的流程,描绘出攻击事件的全貌。

  2、技术路线不同

  传统防病毒是基于特征库进行攻击比对,防御效果依赖于特征库,主要对已知威胁进行检测和防护。

  EDR是通过对操作系统行为记录和存储,根据行为规则IOA和外部特征库IOC来对漏洞攻击和无文件攻击等高级威胁进行关联分级及检测,对威胁的疑似主机进行遏制和修复,能对已知和未知威胁进行检测和防护。

  近两年,EDR(端点检测与响应)产品在全球信息安全行业中的热度居高不下。国外很多EDR产品趋于成熟,国内市场也慢慢进入了状态。对于厂商来说,怎么把EDR做好很难。怎么做好EDR产品这类商业机密不会有真正的干货公开分享。那么我们就从用户的角度出发,尝试解决用户应该如何采购的难题。

  一、EDR工具及服务真正的价值在哪里?

  采取主动防御的方式保护端点安全越来越有必要。

  很多企业都逐渐意识到要想把恶意攻击者完全拦截在企业环境之外不像部署防火墙和防病毒软件那么简单。现在大多数恶意黑客都能够利用定制的恶意软件绕过传统的防病毒解决方案,所以我们需要采取更为主动强大的方法来保护端点。这种方法应该兼备实时监控、检测、高级威胁分析及响应等多种功能。

  市面上有很多EDR工具(下文将详细介绍几款经过我们测试的产品),但是由于缺少足够的IT人员,很多企业都卡在了部署实施的环节上。CounterTack的首席技术官Mike Davis和Trustwave的产品总监Charles Arnett在CISSP上分析了IT专业人士在考虑和实施EDR平台时需要了解的EDR技术与最佳实践。

  1.现状与EDR的强大功能!

  我们建议企业应该提高对终端设备的关注,包括攻击者的活动以及员工在其设备上的行为。每当发生攻击事件,大家往往会认为似乎只有预防措施才是避免损失的最佳方式,因为很多情况下我们都无从获取解决和管理攻击事件所需的具体情境。

  然而EDR技术功能强大:

  检测更为深入——深度检测与响应;

  不间断性——持续检测、威胁捕捉、修复措施;

  实时可视化程度更高——发现高级攻击行为、实时观测该攻击行为对用户造成的影响。

  各个端点保护解决方案的功能差异也比较大,从经典的基于签名的防病毒软件到通过大数据技术生成很多扩展功能的更为成熟的解决方案。成熟的解决方案包括深度安全监控、威胁检测和事件响应功能。

  2. EDR检查表:你所在企业的各个端点是否容易受到攻击?

  在决定采纳EDR解决方案之前,首先应该确定自己的“易感性水平”,即是否容易受到端点攻击,明确以下几个问题可能会对你产生帮助:

  你的最终用户是否拥有你无法监测到的移动设备或其它高风险设备?

  你的用户是否在你的网络之外连接笔记本电脑和移动设备?

  你的用户是否可以自由选择想要访问的网站?

  你的员工是否与其它人(如家庭成员和客户)共享他们的联网系统?

  你所处行业是否属于高风险领域,如关键基础设施行业、政府和政务相关行业、医疗业、金融业或为这些行业提供支撑的相关领域?

  3. 根据以往经验明确你可能会遭遇的威胁

  牢牢掌握可能影响你所在机构的攻击类型至关重要。我们可以尝试问自己以下这些问题:

  是否经常遇到攻击事件?

  如果是,攻击是持续性的吗?

  攻击痕迹是否难以彻底清除?

  是否已经遭遇过数据泄露事件?如是,严重性如何?攻击者窃取了什么资料?

  发生攻击事件以后,你是否能够收集与攻击或泄露事件相关的记录和信息?

  4. 采取EDR解决方案的难点在哪里?

  列完检查表并且开始进入评估环节后,你可能会发现利用各种可用的端点防护技术并将其与已有安全产品整合的成本十分昂贵,并且会出现难以管理的局面。归根结底还是因为缺乏专业的IT人员,所以新技术的整合成了大难题。

  5. 外包——为人才缺乏问题减压!

  如今只购买最新最好的技术已经远远不够。企业或机构需要有全职员工对他们所采购的技术进行有效管理,确保其正常运行,实现价值的最大化。但是另一方面,想要在企业内部找到管理EDR和其他技术的信息安全人才非常困难,因为全球网络安全行业缺乏技术人员的就业岗位数量达到一百万以上。

  为了解决这样的情况,很多信息安全企业正在向托管安全服务提供商(MSSP)转型。朔方信息前身就是某业界知名企业旗下的安全服务项目部,起步早,经验丰富,口碑享誉华东地区。

  6. 可视化程度不断提高

  很多安全厂商的威胁情报可视化程度低,情报价值也不高。用户在选择威胁情报产品之前可以与可靠的咨询公司合作,争取利益最大化、获得最有价值的资源:访问全球威胁情报,利用EDR解决方案主动查找客户环境中的攻击指标。选择可靠的MSSP,获得功能管理服务与关键的威胁情报资源。

  二、10大高级端点防护工具

  (注:以下内容为Network World于前几年发布的文章,不具有时效性,仅供大致参考。)

  基于传统反恶意软件工具这样简单的端点防护的时代已经过去。取而代之的是高级端点检测和响应(EDR)工具,其功能实现能甩传统防护手段几条街。例如,评估大型生态系统中的威胁,结合网络入侵检测的最佳功能,检查每台计算机上每项进程的具体情况。为给读者带来福利,我们选择了10种EDR产品进行了使用测试,测试结果是这10个产品都比较给力,但遗憾的是没有一个产品完全具备所有功能。在这种情况下,每个用户只能根据自己已安装的安全工具以及员工的技能水平来选择合适的EDR产品。以下就是这10个高级端点保护产品的详细介绍:

  1. Comodo Advanced Endpoint Protection v 5.1

  代理:需要

  价格:每年每位用户$31~$54

  功能描述:反恶意软件+移动设备管理+补丁管理

  Comodo Advanced Endpoint Protection (AEP)源于该公司的反恶意软件业务。其代理范围最为广泛,设置方式也是我们测试产品中最简单、最方便的。该产品还具有基于主机的防火墙、基于云的沙箱和基于主机的入侵防御规则等功能。另外,它还有两项补充服务:Viruscope能够自动分析运行程序并记录其活动;Valkyrie能够看到可疑文件,并根据人类或机器几十种不同行为和其它分析对它们进行风险评级。AEP最大的缺点是它生成的报告是一稿数用的,质量较差。

  2. CounterTack Sentinel v5.5

  代理:需要

  价格:常规终端设备——每年$50;服务器——每年$100~$125

  功能描述:实时威胁分析+大数据分析

  Sentinel能够对你的终端设备进行实时的威胁分析,而且能与无论是自身的还是第三方的大数据分析工具进行集成,几乎无限制地、定制化地与实时安全情报展开协同工作。Sentinel适用于Linux和Windows系统的端点。其管理控制台的界面非常整洁,用于情报概述、搜索、配置和报告的菜单栏也非常清晰。Sentinel的执行仪表板显示了检测到的内容和严重性情况。另外,它的搜索功能也非常强大,能够通过许多安全事件来展示整体情况的全局图。几乎所有关于Sentinel的内容都是可定制的。但是它也有一个缺点,使用该系统必须掌握Cyber Observable Expression(Cybox)XML开源脚本语言。

  3. CrowdStrike Falcon Host

  代理:需要

  价格:每个终端设备每年$30

  功能描述:对可执行文件的自动拦截

  CrowdStrike Falcon Host(CrowdStrike的猎鹰主机)将几个不同的功能组合在一个包中。它也是安装方法最为简单的产品之一。 Falcon Host的关注重点不在于扫描你的终端是否收到感染,而是确定以前是否碰到过此哈希值(hash)。当找到匹配的哈希时,会立即对可执行文件采取自动拦截的措施。其主控台的界面也十分整洁,包含各种仪表板,例如综合安全事件实时更新的推送界面、在端点中检测到的内容概况界面、可用于评估任何哈希或文件的筛选工具、一个调查控制台以及一系列的配置设置。检测展示屏幕是需要花费用户大量时间的地方,用户可以在这里看到感染设备并采取应对措施,或者利用其它工具分析漏洞。

  4. Cybereason

  代理:需要

  价格:每个终端设备每年$75起

  功能描述:恶意程序实时捕捉

  Cybereason拥有支持直接从基于Web的管理控制台下载的Windows、Linux和Mac端点的代理。它为恶意软件的实时“狩猎”而生,并具备一系列可视化的界面来帮助你了解攻击情况。该控制台也非常简洁清爽。如果你找到了一个漏洞,只要点击屏幕右下角小小的“修复(remediate)”按钮即可。每次受到感染都只需要完成这个简单的步骤。但是,Cybereason需要一个分辨率很高的显示器(1920x1200为最佳)来查看其控制台。如果它能适应较小的屏幕,市场反响应该会更好。代理可以从管理控制台进行远程更新,管理员享有禁用数据采集或重新启动代理的权限。

  5. ForeScout CounterAct

  代理:不需要

  价格:设备价格$4,995~$182,000不等

  功能描述:NAC(网络访问控制)+策略执行+与其它软件的编排(orchestration)

  ForeScout的CounterAct拓展了网络访问控制(NAC)市场,这一功能相对还是传统化的,当然你在使用该工具时也可以选择不启用NAC功能。其代理均适用于Windows,Mac和Linux系统的端点,当然你也可以在不安装代理的情况下操作CounterAct。由于该产品不限于代理,所以它能够监控无头式物联网和其它嵌入式设备。CounterAct分为两部分:基于Linux的设备、物理服务器或虚拟机,以及基于Windows的管理服务器。两者同时工作的功能也有所涉及。但是这款产品的用户界面简直是个噩梦。如果你的网络合规性规则非常明确,这是一款很好的产品,可以将这些规则直接编码到其保护功能中。

  6. Guidance Software Encase Endpoint Security v5.12

  代理:需要

  价格:$ 44,000起,包括一些专业的安装和咨询服务。

  功能描述:行为分析+威胁检测与修复

  Guidance Software Encase在功能实现上已经比较成熟,但是在可用性上还需要多加检验和优化。这是一个疯狂的功能集合工具,基于Web、Windows的仪表盘和控件,软件程序和似乎无止尽的子菜单。完全完成配置可能要花上几天的时间。总的来说,其目标是为你的安全事件提供具体情境,并了解端点正在发生的情况。如果你需要的是一个实时的安全监视器,那么不建议选择这款产品。它的主要作用是深入到你的端点中,找到恶意攻击者和恶意程序所做的更改。Encase还能够从一大批设备和应用程序中筛选出重要的安全警报和日志文件,大大减轻工程师的工作量。

  7. Outlier Security v2.1.2

  代理:不需要

  价格:每个终端设备每年$40

  功能描述:Windows系统的端点扫描与分析

  Outlier Security结合了SaaS和on-premise(预置型)的最佳功能。你可以使用Web浏览器连接到SaaS门户:在执行此操作之前需安装Microsoft Silverlight和.Net框架。然后下载他们的“数据库”,这个数据库位于用于在你的网络上启动扫描的本地Windows计算机上。Outlier是一款令人印象深刻的产品,因为它不需要代理,但缺点是仅适用于Windows系统的计算机。由于扫描一般都是定期进行的,因此这款产品适用于长期检测而非实时分析。

  8. Promisec PEM v4.1.2

  代理:不需要

  价格:每位用户每年$60起

  功能描述:基于策略的合规性、网段扫描

  Promisec的解决方案是运行一系列模块的端点管理(PEM)服务器,它不需要直接在端点设备上安装任何代理或传感器,而是在你要监视的每个网段上使用基于Windows的Sentries。这样的设计使得其分析范围更加全面,而不一定要满足对特定操作系统版本或嵌入式设备支持的要求。目标端点可以运行Windows、Linux和Mac OS等任何系统。它最多包含五个不同的模块:合规性、管理、自动化、电源管理器和清单。

  产品内置了很多扩展功能。唯一的缺点是该产品未做到真正的主动防御:黑客入侵以后我们才能发现攻击事件。

  9. SentinelOne Endpoint Protection Platform v1.6.1

  代理:需要

  价格:每个终端设备每年$45起

  功能描述:实时事件信息+深入分析

  SentinelOne的端点保护平台提供几乎实时的事件信息。一旦SentinelOne发现某个恶意软件,它就会告诉你网络上首次看到该恶意软件的位置,以及来自数十个安全服务的攻击方式的信誉度。另外,它也与VirusTotal相互连接,从中查看哈希值和漏洞利用的其它元数据。SentinelOne安装便捷,但也有一些特定的要求。其代理需要双核的CPU和至少2GB的内存。对于运行Windows系统的端点,使用时需要进行重启,并保持该软件在“控制面板”中显示为正在运行的应用程序。管理人员只有两种:“正宗”的系统管理员或帮助中心——后者无法修改配置设置、执行系统更新、添加或删除用户。

  10. Matrix Partners’ Stormshield Endpoint Security v7.204

  代理:需要

  价格:每位用户每年$15起

  功能描述:传统的反恶意软件+基于网络的IPS

  Stormshield Endpoint Security(SES)是微软的“好亲家”:你需要一个Windows Server、IIS、SQL Server、.Net Framework等等才能正常使用该软件。单独的Windows程序用于生成端点代理。该软件有三种保护机制:基于规则的策略、系统和网络活动的自动保护以及基于配置文件的行为策略(监视运行应用程序、阻止异常行为)。管理员创建的一切策略优先于所有自动化进程。SES是传统恶意软件端点防护手段和基于网络入侵防御方式的混合体。另外它也具备为可移动设备加密以及临时访问web的功能。因此用户可以在启动VPN连接之前完成公共Wi-Fi热点(如酒店)的身份验证。

很赞哦!

python编程网提示:转载请注明来源www.python66.com。
有宝贵意见可添加站长微信(底部),获取技术资料请到公众号(底部)。同行交流请加群 python学习会

文章评论

    什么是EDR?EDR的作用和优点文章写得不错,值得赞赏

站点信息

  • 网站程序:Laravel
  • 客服微信:a772483200