您的团队能否及时捕获下一个零日?
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
端点检测和响应 (EDR) 是一种软件,它使用实时分析和 AI 驱动式自动化来保护组织的最终用户、端点设备和 IT 资产免受能突破防病毒软件和其他传统端点安全工具的网络威胁。
EDR 可从网络上的所有端点(包括台式机和笔记本电脑、服务器、移动设备、IoT(物联网)设备)持续收集数据。它会实时分析这些数据以查找已知或可疑网络威胁的证据,并可自动进行响应以规避或最大限度减少所发现威胁造成的损害。
EDR 于 2013 年首次获颁 Gartner 奖项,如今则已在各大企业中得到广泛采用,而这一切的背后自有其充分的理由。
有研究估计,多达 90% 的成功网络攻击和 70% 的成功数据泄露均源于端点设备。虽然防病毒软件、反恶意软件、防火墙和其他传统终端安全解决方案在不断发展,但它们仍然仅限于检测已知、基于文件或基于签名的终端威胁。例如,它们在阻止社会工程攻击方面的效果明显差强人意;比如,用于引诱受害者泄露敏感数据或访问包含恶意代码的虚假网站的网络钓鱼消息。(网络钓鱼是最常见的勒索软件传送方式。)此外,它们无力抵御越来越多的“无文件式”网络攻击。此类攻击只能在计算机内存中运行,以完全逃避文件扫描或签名扫描。
最为重要的是,传统的端点安全工具无法检测或消除能悄悄绕过它们的高级威胁。如此一来,这些威胁便可在网络中潜伏和徘徊数月,从而收集数据并发现漏洞,以便为发动勒索软件攻击、针对零日漏洞的利用或其他大规模网络攻击而进行准备。
EDR 可有效弥补此类传统端点安全解决方案的缺陷。它的威胁检测分析与自动响应功能(通常无需人工干预)可在潜在威胁造成严重破坏之前,便对其加以识别并遏制其渗透到网络外围。此外,EDR 还提供相关工具以供安全团队自行发现、调查和预防可疑威胁和新出现的威胁。
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
虽然不同供应商之间存在差异,但 EDR 解决方案通常会结合五种核心功能:持续端点数据收集、实时分析和威胁检测、自动威胁响应、威胁隔离和补救,以及威胁搜寻支持。
EDR 可从网络上的每个端点设备持续收集有关流程、性能、配置更改、网络连接、文件和数据的下载或传输、最终用户或设备行为的数据。这些数据会存储在中央数据库或数据湖中,且通常托管在云端。
大多数 EDR 安全解决方案会通过在每个端点设备上安装轻量级数据收集工具或代理来收集这些数据。而其中某些解决方案可能会依赖端点操作系统中的各项功能。
EDR 使用高级分析和机器学习算法来实时识别用于表明已知威胁或可疑活动的相关模式。
一般来说,EDR 会寻找两类指标:其一为入侵指标 (IOC),它们是指与潜在攻击或泄露事件相一致的操作或事件;另一个则是攻击指标 (IOA),它们是指与已知网络威胁或网络罪犯相关的操作或事件。
为识别这些指标,EDR 会将其自己的端点数据与来自威胁情报服务的数据实时关联起来,而这些服务会提供有关新网络威胁和近期网络威胁的持续更新信息(这些网络威胁采用的计策、它们利用的端点或 IT 基础设施漏洞等等)。威胁情报服务的形式包括:专有(由 EDR 提供商运营)、第三方或基于社区。此外,很多 EDR 解决方案还将数据映射到 MITRE ATT&CK,这是一个可免费访问且由美国政府提供支持的全球知识库,其中包含黑客们所采用的网络威胁计策和技术。
EDR 分析和算法也可自行进行侦查,从而将实时数据与历史数据和既定基线进行比较,以识别可疑活动、最终用户异常活动以及任何可能表明出现网络安全事件或威胁的内容。此外,它们还可以将“信号”(或称“合法威胁”)与误报的“噪音”区分开来,这样安全分析师便可专注于重要事件。
很多公司将 EDR 与 SIEM(安全信息和事件管理)解决方案相结合,而该解决方案可收集 IT 基础设施中各层(不仅包括端点,还包括应用程序、数据库、Web 浏览器、网络硬件等)的安全相关信息。SIEM 数据可通过额外的情境来丰富 EDR 分析,以便识别威胁、确定威胁优先级、调查威胁并对其进行修复。
EDR 会在中央管理控制台中汇总重要数据和分析结果,而该控制台也会用作该解决方案的用户界面 (UI)。通过该控制台,安全团队成员可全面了解企业范围内的每个端点和端点安全问题,并启动涉及任意和所有端点的调查、威胁响应和修复。
自动化是实现 EDR 中所谓“响应”(真正的快速响应)的关键所在。根据安全团队设置的预定义规则(或通过机器学习算法在一段时间内“学习”的知识),EDR 解决方案可自动实现:
EDR 可自动执行威胁调查和修复活动(见下文)。此外,它可与 SOAR(安全编排、自动化和响应)系统集成,以自动执行涉及其他安全工具的安全响应运行手册(事件响应序列)。
所有这些自动化功能均有助于安全团队更快地响应事件和威胁,从而最大限度地减少它们对网络造成的损害。此外,这些自动化功能还可帮助安全团队尽可能高效地与现有员工协同工作。
一旦将威胁隔离,EDR 便会提供安全分析师可用于进一步调查此威胁的功能。例如,取证分析可帮助安全分析师查明威胁的根本原因,识别其影响的各种文件,以及确定攻击者为进入网络并在其内四处移动、获取对身份验证凭据的访问权限或是开展其他恶意活动所利用的一个或多个漏洞。
有了这些信息,分析师便可使用修复工具来消除此威胁。具体修复措施可能包括
威胁搜寻(也称为“网络威胁搜寻”)是一项主动采取的安全活动。在此活动期间,安全分析师会在网络中搜索目前未知的威胁,或是组织的自动化网络安全工具尚未检测或修复的已知威胁。请记住,高级威胁在被发现之前可能会潜伏数月,以便收集系统信息和用户凭据,从而为大规模泄露事件进行准备。有效且及时的威胁搜寻可缩短检测和修复这些威胁所需的时间,并限制或预防此攻击造成的损害。
威胁搜寻工具会使用各种计策和技术,其中大多数均依赖 EDR 用于威胁检测、响应和修复的相同数据源、分析操作和自动化功能。例如,威胁搜寻分析师可能想根据取证分析或用于描述特定攻击者所用方法的 MITRE ATT&CK 数据来搜索特定文件、配置更改或其他项目。
为了支持威胁搜寻,EDR 会通过 UI 驱动式方式或编程方式向安全分析人员提供这些功能,以便对方能进行临时搜索数据查询、威胁情报关联和其他调查。专用于威胁搜寻的 EDR 工具包括从简易脚本语言(用于自动执行常见任务)到自然语言查询工具。
EPP(即,端点保护平台)是一个集成安全平台,它可将下一代防病毒 (NGAV) 软件和反恶意软件与 Web 控制/Web 过滤软件、防火墙、电子邮件网关和其他传统端点安全技术相结合。
同样,EPP 技术主要侧重于在端点上预防已知威胁或以已知方式运行的威胁。EDR 能识别和遏制传统端点安全技术无法攻克的未知或潜在威胁。但是,很多 EPP 已实现发展从而纳入 EDR 功能,例如高级威胁检测分析和用户行为分析。
与 EDR 一样,XDR(扩展检测和响应)和 MDR(托管检测和响应)均为分析型与 AI 驱动型企业威胁检测解决方案。它们与 EDR 的不同之处在于可提供的保护范围和提供方式。
XDR 可将安全工具集成到组织的整个混合基础架构中,其中不仅包含端点,还有网络、电子邮件、应用程序、云工作负载等;因此,这些工具可在网络威胁预防、检测和响应方面实现互操作和协调。与 EDR 一样,XDR 集成了 SIEM、SOAR 和其他企业网络安全技术。XDR 是一项仍在快速发展的技术,且有可能通过将安全控制点、遥测、分析和运营统一到一个单一中央企业系统中,来使不堪重负的安全运营中心 (SOC) 更为高效和有效。
MDR 是一种外包网络安全服务,它可保护组织免受突破其自身网络安全运营的各种威胁。MDR 提供商通常会提供全天候威胁监控、检测和修复服务,以便由技能出众的安全分析师团队借助基于云的 EDR 或 XDR 技术进行远程作业。对于需要超出其现有员工知识储备的安全专业知识或是超过其预算的安全技术的组织来说,MDR 可能是一个很有吸引力的解决方案。