什麼是端點偵測與回應 (EDR)?

 

端點偵測與回應 (EDR) 為端點安全解決方案,其中包括即時監控與收集端點安全性資料的功能,並具備自動威脅回應機制。

 

「端點偵測與回應」是由 Gartner 公司提出的術語,係指一種功能強大的新興安全性系統,可偵測並調查主機和端點上的可疑活動;其運用高度自動化功能來通知安全性團隊並快速回應,藉此實現端點偵測與回應。

端點偵測與回應

推動端點保護現代化改造,並擺脫傳統挑戰

立即下載 

端點偵測與回應系統提供五大主要功能,包括:

  1. 主動監控端點,並針對具有威脅跡象的活動收集資料
  2. 對收集的資料執行分析,以識別是否有任何已知的威脅模式
  3. 針對所有已識別威脅產生自動回應,以移除或遏止威脅
  4. 自動向安全性人員通知已偵測到威脅
  5. 利用分析和鑑識工具,針對可能導致其他可疑活動的已識別威脅執行研究

 

端點偵測與回應為什麼至關重要?

威脅態勢瞬息萬變,每天都會出現新的病毒、惡意軟體和其他網路威脅。為了因應這些持續演化的威脅,即時收集和偵測可能的異常也愈發重要。

 

隨著行動員工越來越多,相關挑戰也愈發棘手。當員工從遠端連線時 (新冠肺炎疫情更加快了這股趨勢),用於存取組織數位資產的端點通常是由員工所有。由於員工的家人可能會共用這類用戶自攜裝置,且其可能位於員工家人共用的網路上,因此用戶自攜裝置可能會在員工不知情的情況下,感染惡意軟體。

 

透過採用端點偵測與回應,組織即可透過以下方式協助緩和相關挑戰:

  • 識別並封鎖可能執行惡意行動的執行檔
  • 防止 USB 裝置遭用於進行未經授權的資料存取,或用於下載機密或受保護的資訊
  • 封鎖可能感染端點裝置的無檔案惡意軟體攻擊手法
  • 控制指令碼的執行作業
  • 防止惡意電子郵件承載觸發其附件
  • 防範零時差攻擊,並防止其造成損害

端點偵測與回應也可搭配協力廠商的威脅情報服務運作,且由於其集體情報可加強端點偵測與回應識別零時差攻擊和其他多層攻擊的功能,因此可提高其端點安全性解決方案的有效性。現在,許多端點偵測與回應解決方案都整合了機器學習和人工智慧 (ML/AI),以透過「學習」組織的基線行為,並在偵測到攻擊時使用該資訊來解譯發現,進一步將流程自動化。

 

 

端點偵測與回應如何運作?

端點偵測與回應的運作方式為監控網路和端點上的流量,以將可能與安全問題相關的資訊收集至中央資料庫內,以供稍後進行分析,且端點偵測與回應也可協助回報威脅事件並對其進行調查。

沒有完全一模一樣的端點偵測與回應解決方案,其可執行的活動範圍會因廠商不同而各有差別。一般端點偵測與回應解決方案的關鍵元件,包括:

  • 資料收集代理程式。 安裝在端點上的代理程式可針對執行的流程、網路和裝置的連線、活動量和資料傳輸等項目,進行監控並執行資料收集作業
  • 中央中樞。  這個整合中樞會收集、關聯並分析所收集的端點資料。中央中樞也會負責協調對當下威脅的警示和回應
  • 回應自動化。 端點偵測與回應系統會利用通常為預先設定的規則,這類規則可辨識具有已知威脅跡象的收集資料,並觸發自動回應,例如警示安全人員或將使用者從系統中登出等
  • 鑑識與分析。 端點偵測與回應可能包括鑑識工具,以協助杜絕威脅或執行事後分析,而即時分析則有助於迅速找出與現有預先設定規則不相符的威脅

 

端點偵測與回應以及防毒有何不同?

端點偵測與回應解決方案可視為傳統防毒程式的母集,與較新的端點偵測與回應解決方案相比,傳統防毒程式的涵蓋範圍有限。就此而言,防毒軟體是屬於端點偵測與回應解決方案的一部分。

 

防毒軟體可執行如掃描、偵測和移除病毒等基本功能,而端點偵測與回應則可執行許多其他功能。除了防毒之外,端點偵測與回應會包含多種功能,例如監控、列出允許清單 / 拒絕清單等,這都是為了針對已知威脅和新興威脅,提供更全方位的保護。

由於數位網路藩籬已擴展至無所不在,因此傳統的防毒軟體已無法保護用於存取公司資源的各種不同裝置。就防範進階網路攻擊而言,端點偵測與回應系統是更理想的選擇,且端點偵測與回應的自動回應功能,也有助於確保 IT 團隊不會為了保護組織免受攻擊影響,而承擔過多工作。

 

有鑑於威脅態勢迅速演化,這一點也顯得愈發重要。由於危險分子持續改進其攻擊行動,且會利用進階威脅來進入網路,因此簡單的簽章式防毒軟體無法及時偵測到零時差威脅或多層威脅;然而,端點偵測與回應系統可偵測到所有類型的端點威脅,並針對所識別的威脅提供即時回應。

 

 

端點偵測與回應具備哪些優勢?

在現代化安全團隊的檢查清單中,端點偵測與回應系統已成為檢查項目之一。端點偵測與回應能透過多種關鍵方式,防範已知和持續進化的威脅及安全問題,保護數位藩籬免受其影響。

 

首先,透過全方位收集監控資料,端點偵測與回應系統即可針對潛在攻擊彙整出全方位的洞悉。而在線上或離線持續監控所有端點,則可簡化分析和事件回應。如此一來,即可獲得深入的分析和洞悉,讓專業人員可瞭解組織網路的異常和弱點,以針對未來網路犯罪事件,做好更萬全的準備。傳統防毒軟體無法偵測到每個端點威脅,但端點偵測與回應則能對各式各樣的威脅提供即時回應,即使潛在攻擊和威脅持續演化,安全團隊也可將其視覺化,而且能夠即時執行。

 

如此就可在發生嚴重損失或入侵事件前,於攻擊的初始階段就截斷攻擊,進而防止造成損失。即時回應也可讓組織找出網路上的可疑行為或未經授權的行為,以在威脅影響營運之前,找出威脅的根本原因。最後,端點偵測與回應系統可與其他安全性工具整合,將來自端點、網路和 SIEM 的資料建立關聯,以針對危險分子試圖在未經授權下存取數位資產時所使用的實務和手法,有更深入的理解。

VMware 端點偵測與回應 (EDR) 相關產品、解決方案和資源

VMware Carbon Black Cloud™ Endpoint

透過可根據您需求調整的雲原生端點保護功能,協助推動資安轉型。整合多個端點安全功能,且作業速度更快

Anywhere Workspace 解決方案

讓員工無論在任何地點工作,都能享有安全順暢的體驗。

企業端點偵測與回應:搜尋威脅和事件回應

為了能取得所需端點資料以進行調查,並主動搜尋異常行為,企業安全性團隊總是疲於奔命。

促進 IT 和安全團隊之間的協同合作

安全和 IT 團隊將促進合作列為來年的優先要務。