随着黑客智能攻击技术的提高,即使是最好的攻击手段,防御技术也在不断提高。
像端点发现和响应(Endpoint Detection Response,EDR )这样的技术对于企业和托管服务提供商(managed service providers,MSPs )来说非常宝贵
3358 www.Sina.com/http://www.Sina.com/http://www.Sina.com /
端点发现和响应(EDR )是一种主动式安全方法,可实时监控端点,并发现渗透到企业防御系统中的威胁。 这是一项新技术,它可以更好地理解端点正在发生的事情,并提供攻击上下文和详细信息。 EDR服务可以知道攻击者什么时候进入你的网络,并在攻击发生时检测攻击路径,从而有助于在记录的时间内对事件作出反应。
什么是
“这不是在端点预防攻击,而是尽快抓住攻击和攻击的企图。 我们的目标是减轻损失,阻止通过受害者机器渗透到网络中的攻击行为。 ”
——jpdfg,Dark Reading
由于给定系统有许多端点,因此越来越难防止通过端点(如单个计算机或移动设备)进行入侵的高级攻击。 这通常是进行黑客攻击的地方,即使有最先进的保护也有可能进行攻击。 奇热影视根据国际数据公司(IDC )的报告,70%的成功数据泄露始于终端设备。 这些类型的攻击可能因名誉损失和财政破产而有害。 您的信息和网络安全需要得到保护,但许多中小型企业没有资源进行24/7监控。 因为越来越难保护它们免受这些攻击。 各种规模的企业都需要保护数据,以经济高效的方式更好地理解高级威胁。 这可以在EDR解决方案中实现。
http://www.Sina.com/http://www.Sina.com /
安装EDR技术后,您可以使用高级算法分析系统中各个用户的行为,并记住和连接活动。 正如你经常注意到的,当jqdxj周围的某个人感到奇怪或与众不同时,这项技术可以“感知”到你系统中特定用户的异常行为。 数据会立即过滤,受到丰富的监控,避免出现恶意行为的迹象。 这些征兆触发了警报,开始调查,确认了攻击是否是真的。 如果检测到恶意活动,该算法将跟踪攻击路径并将其重新构建到入口点。 然后,该技术将所有数据点整合到一个称为“恶意操作”(MalOps )的狭窄类别中,以方便分析人员查看。 如果发生实际攻击,客户将收到通知,并获得可采取行动进行进一步调查和高级取证的应对步骤和建议。 误报时,只需关闭警报,增加调查记录,不通知客户。
http://www.Sina.com/http://www.Sina.com /
EDR可保护用户免受无文件恶意软件、恶意脚本或被盗用户证书的侵害。 旨在跟踪攻击者使用的技术、战略和过程。 但它有更深的意义。 除了攻击者如何入侵你的网络外,还试图检测他们的活动路径:让他们如何了解你的网络,如何移动到其他机器,在攻击中实现他们的目标。 可以避免以下情况:
EDR恶意软件(犯罪软件、恐吓软件等)。
?无文件攻击
这有什么关系呢?滥用合法APP应用程序
EDR可疑用户活动和行为
http://www.Sina.com/http://www.Sina.com /
EDR是独特的,因为它不仅提供了检测和攻击威胁的算法,而且还提供了简化警报和攻击数据管理的算法。 使用行为分析实时分析用户活动,可以在不干扰端点的情况下立即检测到潜在威胁。 将攻击数据集成到可分析事件中,并与防病毒和其他工具一起使用,以提供安全的网络并提高取证分析能力。
3358 www.Sina.com/http://www.Sina.com/http://www.Sina.com /
EDR以创新的方式应对和应对威胁,简化分析师调查,ktv节省时间和成本。 该系统可监控成千上万个数据点或警报,并将其整合到一个名为MalOps的狭窄类别中。 然后,这些数据由人工智能引擎处理和过滤,并与以前数据集的模式和行为进行比较,以帮助识别以前未知或已知的恶意行为。 比较当前和过去的数据后,在AI引擎内部做出决定,发送事件相关警报,限制活动,消除威胁,修复损坏的系统。 通过使用MalOps
事件合并到一个窄类别中,分析师所需的调查时间大大减少。根据 Infosecurity Group 的数据,2017年每天至少有360,000个新的恶意文件被检测到,这意味着公司必须积极应对这些威胁,并拥有更加简化的检测和审查流程。 这使得分析师能够有效地打击和发现最大的威胁。
EDR 收集什么信息?
端点检测和响应通过安装在端点上的传感器运行而不需要重新启动。 所有这些数据被拼接在一起,形成了一个完整的端点活动图,无论设备位于何处。
为什么 EDR 优于传统的攻击事后分析方法?
随着攻击者技术的不断提高和方法的不断调整,传统的攻击事后分析方法已经不能满足需要。 首先是响应时间。
在被攻击之后,时间是至关重要的,缓慢的调查可能对你的公司有害
传统方法需要更长的调查时间ーー而攻击者可能会对你的网络造成更大的破坏,并将你的客户端和数据置于危险之中。 传统的方法也限制了调查的深度和广度。 即使它们能够确定受影响的区域,传统方法通常也无法显示攻击进入的位置和路径。 EDR 可以让你知道何时发生了攻击,但也可以编译行为数据来显示你的网络上的攻击路径,从它进入的位置到它采取的动作。 此外,EDR 编译数据的方式使分析人员更容易查看,大大减少了需要分析的数据量。 这反过来又减少了攻击事后分析的总体时间和成本。
传统反病毒软件 vs EDR
人们常问的一个问题是 EDR 与传统反病毒软件(AV)或下一代反病毒(NGAV)之间的区别。 在他们看来,他们不需要这两种技术。 但事实并非如此。 事实上,这两种技术在保护你的网络方面有不同的用途。 反病毒和下一代反病毒专注于预防,但对攻击期间发生的情况一无所知。 它们被设计用来在坏的东西进入你的网络之前捕捉它们。 但是即使它们正确地做到了这一点,它们也不能告诉你恶意软件来自哪里,以及它们是如何在系统中传播的。 EDR 描述的是整个攻击过程,并帮助你跟踪可执行文件是如何获得对计算机的访问权限并尝试运行的。 EDR 不仅提供了可见性,当一个攻击行为被 AV 阻止,或者是一个不错 NGAV 防控失败,那么在这种情况下,你最有可能处理发的是一个严重的攻击,如无文件型的恶意软件,零日漏洞,或高级持续性威胁。 这些类型的攻击不会留下签名,这使得它们更难防范,而且如果没有 EDR 这样的服务几乎不可能被发现。 它会警告你攻击未遂,当攻击者已经绕过你的所有防御措施并在你的网络中时,EDR 会为你提供洞察能力。
EDR 与 SIEM 的区别
另一个常见的问题是 EDR 与安全信息和事件管理(SIEM)之间的区别。 SIEM 是一种从防火墙、服务器和网络设备收集日志的技术。 它整合了你的所有网络日志,以帮助跟踪行为、识别威胁并进行调查。 但是,你必须设置规则和查询来告诉 SIEM 要查找什么以及要跟踪什么行为。 SIEM 是一个非常好的服务,可以全面地观察发生在你的网络上的活动。 EDR 专门整合和分析端点数据,为分析人员提供设备,xise而不是要求他们分析成千上万的日志或事件。 最终,这两种技术服务于不同的目的,并且可以在一个安全的网络环境中相互补充,但是 EDR 的主要目的是简化并有效地检测和应对威胁。
EDR 的额外好处
EDR 的创新性和有效性本身就证明了它的价值,但是还有比这项技术更深层次的好处。
· 更具成本效益。EDR 不是雇佣一个7*24 小时的内部安全团队或者让自己暴露在大规模攻击面前,而是允许你在公司的安全和数据上进行投资,这对于一个中小规模的团队来说是现实的。
· 节省时间 因为使用 MalOps 进行分析的警报较少,而且误报也较少,所以 EDR 允许分析人员花更多的时间研究合法威胁。
· 提高团队效率 EDR没有通过警报进行解析并将其与其他数据点进行比较,而是将数据点关联到一个攻击事件中,从而节省了分析人员大量的开销和时间。这使得团队能够更有效地处理数据并保护公司。
安全分析师扮演着什么角色?
EDR 的美妙之处在于它结合了先进的技术和分析师的专业知识
在检测、路径分析和横向移动阶段不需要人为因素。 对收集到的数据集进行分析和解释仍然很重要,但在检测到的事件的最初几秒钟内并不重要。 这样就可以加强对网络的保护,并允许安全分析师调查合法的威胁,而不是通过误报进行过滤。 由于使用 EDR 和 MalOps 对数据进行了整合,因此理解、诊断和补救问题更加容易和直观。 这使得分析师能够调查并提供合法威胁的解决方案。
如何安装 EDR?
安装很简单——只需一个可执行文件,就可以通过软件发布工具手动安装、编写脚本或部署。 一般来说,是通过 HTTPS 连接到主控台,这种方式不需要额外的防火墙规则。 所有警报都从主控制台监视和报告。
EDR 的影响
最终,EDR 可以对中小型公司产生巨大的影响,并为他们的业务、客户和数据提供保护和安全性。 随着黑客情报的不断增长,企业正面临越来越大的风险。 如果没有一个适当的端点检测和响应计划,那将是非常危险的。