什么是端点检测和响应 (EDR)?

 

端点检测和响应 (EDR) 是一种端点安全解决方案,包括通过自动威胁响应机制实时监控和收集端点安全数据。

 

EDR 是 Gartner 建议的一个术语,用于描述一类新兴的安全系统,这种系统可通过利用向安全团队发送通知并实现快速响应的高度自动化机制检测和调查主机和端点上的可疑活动。

端点检测和响应

对端点保护进行现代化改造并摆脱传统挑战

立即下载 

EDR 系统提供五项主要功能,分别是:

  1. 主动监控端点并从可能表明威胁的活动中收集数据
  2. 对收集的数据进行分析,以识别任何已知的威胁模式
  3. 针对所有识别到的威胁生成自动响应,以消除或遏制威胁
  4. 自动通知安全人员已检测到威胁
  5. 利用分析和取证工具对可能导致其他可疑活动的已识别威胁进行研究

 

为什么端点检测和响应很重要?

威胁形势在不断变化,每天都会出现新的病毒、恶意软件和其他网络威胁。为了应对这种不断发展的威胁,实时收集和检测可能的异常情况变得越来越重要。

 

移动作业员工的增多放大了这些挑战。当员工远程连接时(新冠疫情加速了这种趋势),访问企业数字资产的端点通常为员工所有。员工的家人可能会共用这些 BYOD 设备并与这些设备共享网络,因此可能会在员工不知情的情况下让设备感染恶意软件。

 

通过采用 EDR,企业可以通过以下方式帮助缓解这些挑战:

  • 识别并拦截可能执行恶意行为的可执行文件
  • 防止使用 USB 设备进行未授权的数据访问或者下载机密或受保护的信息
  • 拦截可能感染端点设备的无文件恶意软件攻击技术
  • 控制脚本的执行
  • 防止恶意电子邮件负载数据引爆附件
  • 防范零日攻击并预防损失

EDR 还可以与第三方威胁情报服务合作,以提高端点安全解决方案的有效性,因为它们的集体情报可以提高 EDR 识别零日攻击和其他多层利用的能力。许多 EDR 解决方案现在都整合机器学习和人工智能 (ML/AI),通过“学习”企业的基准行为并在检测到攻击时使用这些信息来解释调查结果,进一步实现流程自动化。

 

 

端点检测和响应的工作原理是什么?

EDR 的工作原理是,监控网络和端点上的流量,将可能与安全问题相关的信息收集到中央数据库中以供后期分析,并促进威胁事件的报告和调查。

 

并非所有 EDR 解决方案都是同等创建的,它们执行的活动范围因供应商而异。典型 EDR 解决方案的关键组件包括:

  • 数据收集代理。 这些代理安装在端点上,监控正在运行的进程、与网络和设备的连接、活动量和数据传输并收集相关数据
  • 中央信息中枢。 这个集成式信息中枢收集端点数据,并关联和分析收集的数据。中央信息中枢还协调警示并响应即时威胁
  • 响应自动化。EDR 系统利用规则(通常是预先配置的)来识别收集的数据何时表明已知威胁的存在,并触发自动响应,例如向安全人员发出警示或将用户从系统中注销
  • 取证和分析。EDR 可以包括取证工具,以帮助根除威胁或执行事后分析,而实时分析则有助于快速发现与现有预配置规则不匹配的威胁

 

EDR 和防病毒软件有什么区别?

EDR 解决方案可视为传统防病毒程序的超集,后者与较新的 EDR 解决方案相比范围有限。因此,防病毒软件是 EDR 解决方案的一部分。

 

防病毒软件执行扫描、检测和删除病毒等基本功能,而 EDR 还执行许多其他功能。除了防病毒之外,EDR 还可能包含监控、允许列表/拒绝列表等若干功能,所有这些功能旨在更全面地防御已知和新出现的威胁。

 

由于数字网络边界已扩展得无处不在,因此传统的防病毒软件无法再保护用于访问企业资源的各种设备。EDR 系统更适合抵御高级网络攻击,EDR 的自动化响应有助于确保 IT 团队不会因试图保护企业免受攻击而过载。

 

由于威胁形势发展很快,所以这一点变得越来越重要。由于恶意行为者正逐步改进攻击技术并利用高级威胁攻入网络,因此基于简单特征的防病毒软件无法及时检测到零日威胁或多层次威胁,而 EDR 系统可以检测到所有类型的端点威胁,并实时响应识别到的威胁。

 

 

端点检测和响应有哪些优势?

EDR 系统已成为现代安全团队必不可少的一项工具。EDR 通过多种重要方式保护数字化边界免受已知和不断演变的威胁及安全问题的影响。

 

首先,EDR 系统通过全面收集监控数据,能够编译出潜在攻击的完整视图。通过持续监控所有端点(在线和离线)简化分析和突发事件响应。如此可实现深入分析和洞察,让专业人员能够了解企业网络的异常和漏洞,从而更好地预防未来的网络犯罪事件。检测每个端点威胁超出了传统防病毒软件的能力范围,而 EDR 能够实时响应各种威胁,让安全团队能够实时掌握甚至还在演变中的潜在攻击和威胁。

 

如此可在发生严重损失或破坏之前切断初始阶段的攻击,进而防止出现损失。实时响应还使企业能够发现网络上的可疑或未经授权的行为,在威胁影响到运营之前找到其根本原因。最后,EDR 系统可以与其他安全工具集成,支持关联来自端点、网络和 SIEM 的数据,以便更深入地了解恶意行为者试图对数字资产进行未授权访问所采用的做法和技术。

与 VMware 端点检测和响应 (EDR) 相关的产品、解决方案和资源 

VMware Carbon Black Cloud™ Endpoint

借助可满足您需求的云原生端点保护实现安全转型。整合多项端点安全功能并加快运维速度

改善 IT 和安全团队之间的协作

安全和 IT 团队将改进协作列为来年的首要任务。

企业级 EDR:威胁追踪和突发事件响应

企业安全团队很难获得所需的端点数据来调查...

Anywhere Workspace 解决方案

使员工能够随时随地开展工作并获得安全顺畅的体验。