什么是 EDR?

端点检测和响应 (EDR) 是一种网络安全保护软件,可检测组织中最终用户设备(端点)上的威胁。在全球规模庞大、喧嚣的网络安全解决方案领域,EDR 作为一类独特的遥测工具脱颖而出,它提供对端点的持续监控,以识别和管理恶意软件和勒索软件等对抗性网络威胁。 EDR 技术有时也称为端点检测和威胁响应 (EDTR)。 作为网络遥测工具,EDR 解决方案从端点收集数据作为威胁监控的一部分,并可以将整个基础设施(包括其端点工具和应用程序)的数据关联起来。因此,EDR 工具作为威胁防护和攻击上下文技术以及强大的端点安全措施,可以非常强大。

EDR 如何运作?

EDR 分析和监控连接到网络的设备的所有正在进行的活动,并为安全团队提供实时威胁检测和自动威胁响应的可见性,以进行威胁搜寻。

EDR 安全:定义、历史和基本目的

managed-edr EDR 工具最初由 Gartner 的 Anton Chavukin 于 2013 年命名,并专门定义为部署到以下用途的端点保护:

  • 记录和存储端点系统级行为
  • 使用各种数据分析技术来检测可疑的系统行为
  • 提供上下文信息
  • 阻止恶意活动
  • 提供修复选项以应对威胁以恢复受影响的系统

EDR 技术是一类端点监控软件,经过专门训练,可以检测端点上的可疑和/或异常活动。早期,这种类型的检测立即将 EDR 与防病毒 (AV) 工具和 EPP(端点保护平台)分开 - AV/EPP 主要倾向于识别恶意软件的特定签名和哈希(已知良好和已知不良签名实例)并对其采取行动)。 AV 和 EPP 解决方案会阻止或隔离已知的不良对象和文件。但 EDR 会监视并关联端点上的异常和可疑活动,然后发出包含上下文和严重性详细信息的检测警报,安全团队、网络威胁情报团队和威胁搜寻团队可将其用于调查和补救/响应。 2014 年,《纽约时报》报道称,反病毒工具“49% 无效”。攻击者开始使用无法通过签名或哈希识别的“无文件”内存策略,而不良行为者则秘密利用应用程序和进程中的漏洞来勒索或窃取 IP 或数据。 威胁形势正在迅速演变(现在仍然如此),虽然防病毒解决方案(AV 和下一代防病毒 (NGAV) 以及 EPP(端点保护平台)专注于预防,但 EDR 已成为综合可见性和攻击上下文的引人注目的提供商,还将人类分析技能带入网络安全基本功能组合中。人类专家分析师自然而然地导致了托管 EDR,其中安全运营团队 (SOC) 为其客户处理所有端到端网络安全管理。

EDR 的 5 个主要功能

Primary-Functions-of-EDR 如今,卓越的高性能 EDR 工具和 EDR 端点保护平台的主要功能和功能包括:

  1. 高级威胁检测和恶意活动检测
  2. 遏制受感染端点的网络安全威胁
  3. 事件数据搜索和调查 – 具有高保真警报的警报分类
  4. 可疑活动验证和补救指导
  5. 威胁搜寻以保护端点免受未来攻击

EDR 技术一直在稳步发展,包括先进的预防功能以及持续监控、实时检测和全谱可见性、分类和响应功能。

EDR 软件的关键组件

大多数最先进的 EDR 工具现在默认对所有可疑、异常或主动阻止的威胁执行根本原因分析。在每种情况下,EDR 技术都会识别可疑事件,然后生成警报,帮助安全团队阻止威胁并最大程度地减少网络安全攻击造成的损害。 EDR 功能的关键组成部分包括:

  1. 行为分析
  2. 可操作的威胁情报
  3. 托管威胁追踪
  4. 实时可见性
  5. 警报和警报分类
  6. 果断的补救和事件响应

让我们依次快速浏览一下 6 个基本 EDR 安全组件。

1. EDR 和行为分析

最好的 EDR 技术解决方案结合并关联所有设备(包括 IoT 和远程端点)的全谱端点可见性数据,以分析活动并提供有关妥协指标 (IoC) 和攻击指标 (IOA) 的详细信息。 这些指标通常是犯罪现场的证据。这些真实世界的数据应用于行为分析(算法和机器学习)以检测异常和可疑行为。 跟踪单个操作和事件使 EDR 工具能够集成来自其全球威胁情报数据库的安全逻辑,以实时确定一系列异常或事件是否与任何已知的 IoA 或 IoC 匹配。这种高级威胁检测组件可以将活动识别为恶意或异常,并自动生成检测警报。

2. EDR 可操作的威胁情报

EDR 安全通常与全球网络威胁情报数据库集成,作为了解威胁背景和指导可行响应的关键工具。全球威胁数据的集成和关联查询可以快速检测应用于端点保护的恶意策略、技术和程序 (TTP)。 这是 EDR 技术的一项关键编译功能,可生成杀伤链进展报告和 MITRE ATT&CK 映射或可视化。此威胁情报数据还应用于有关攻击者的行为和上下文信息以及警报分类和响应期间使用的来自端点的攻击。

3. EDR 和托管威胁追踪

持续监控和主动搜索端点以查找威胁、攻击或妥协的迹象称为威胁搜寻。威胁搜寻通常使用基于规则的自动化来进行分析和报告功能,并从笔记本电脑、PC、移动设备和物联网设备等端点以及在某些情况下从云工作负载(云中的 EDR)持续分析和关联事件。 生成威胁搜寻警报供 SOC 团队和分析师进行调查。一些 EDR 平台要求人工威胁搜寻团队根据所遇到的威胁的性质以及累积的和相关的基于上下文的数据分析来验证并建议防御未来攻击所需的额外基础设施范围的修复和强化。

4. EDR 实时可见性

EDR 的遥测功能提供每个端点上发生的所有安全事件和活动的全面可见性。 记录所有安全事件,以跟踪和映射数百个相关侦察和危害活动,这些活动特定于端点上的硬盘驱动器访问和进程创建、注册表和/或内存更改、驱动程序上传、网络连接请求或异常互联网连接等。 此信息可以泄露外部命令和控制中心的 IP 地址、攻击者连接或尝试连接的所有本地主机 IP 地址、制定的任何进程执行和文件创建、使用的所有管理工具和可执行文件、使用的所有可移动 USB 介质,以及使用的任何进程级 DNS 请求、连接和端口。在许多情况下,安全团队可以了解攻击者采取的步骤和操作的整个过程,以及用于破坏或在组织中横向移动的所有命令和技术。

5. EDR 的警报和警报分类

当威胁搜寻或其他指标确实检测到威胁时,所有 EDR 工具都会生成警报,通知 SOC 和安全专家针对组织中的所有端点快速、大规模地调查和分类事件及其相关关系。 有关实时和历史活动的详细信息与情境情报相结合,有助于调查人员了解攻击并采取行动实施精确和立即的补救措施。 确实,EDR 技术可能会产生大量误报,并在分析人员对警报事件进行分类时产生沉重的警报疲劳衡量标准,但 EDR 安全供应商也开始解决端点网络安全的这一副作用。

6. 果断的补救措施和快速的事件响应

当检测到安全事件时,快速采取坚决、有目的的补救措施是高级 EDR 工具(或检测和威胁响应 (EDTR) 工具)的标志。 补救和快速响应是端点保护的目标,并且由于 EDR 技术提供的全谱可见性和上下文映射而成为可能。可见性可以实现补救和基于精确的事件响应,因为安全团队在恢复受损系统时可以清楚地看到并了解他们正在补救的攻击。

识别端点检测架构和层

破坏性的违规行为仍然存在,并且行业分析师预计未来几年将会恶化。许多组织正在考虑 EDR 技术来帮助他们应对和防御当前和未来的威胁形势。尽管 EDR 工具和端点保护平台在实现、性能和范围方面有所不同,但本质上都共享相同的检测层和架构。 每个 EDR 安全解决方案都包含以下层:

  • 部署在所有端点客户端上的 EDR 代理或传感器,用于持续监控所有与安全相关的行为模式
  • 如果需要,能够从多个其他来源(例如 SIEM、防火墙、服务器等)收集所有日志数据,以进行关联和基于上下文的数据分析映射
  • 一台主要 EDR 服务器,用于收集、记录和关联来自所有端点和其他来源的所有数据
  • 威胁情报数据库集成,将 IoC 和其他已知恶意软件信息等提供给主 EDR 服务器
  • Web 控制台,用于根据实时数据分析和修复操作进行报告、警报以及生成基于上下文的可视化和检测详细信息

端点代理或传感器提供持续的实时监控和端点数据收集。它将观察到的行为发送到主服务器。端点代理提供无签名检测。不像防病毒工具那样将签名推送到端点。该代理通常还包括对威胁的基于规则的自动响应,可以阻止执行,并对可疑或检测到的威胁实时采取行动。EDR 客户端端点传感器持续检测行为并将其报告给主服务器。 报告行为的处理在主 EDR 服务器上进行。数据分析通过跟踪网络连接和进程来跟踪攻击者可能如何进入端点设备。EDR 工具还记录进程历史记录,例如攻击者采取的操作和步骤、是否横向移动以及攻击者在侦察期间导航到的位置(进程详细信息)。此外,EDR 技术还报告如何响应威胁,例如隔离、阻止访问或添加到监视列表。 通过关注行为监控、攻击指标 (IoAs) 和异常活动,EDR 解决方案可以在可疑活动变成破坏性破坏之前发出警报。 端点技术可以概括为以下一组基本的 EDR 层:

  • 行为端点检测、跟踪、警报和报告的实时可见性
  • 与全球威胁数据库和网络威胁情报集成
  • 快速补救和事件响应

如何选择 EDR 安全解决方案?

选择具有高级威胁检测功能的端点安全解决方案时,以下要求至关重要:

  1. 端点监控的实时可见性。组织必须能够协调、实时地监控所有端点。所有跟踪和数据分析的结果必须通过完整的检测详细信息和上下文可见,并且所有威胁进展、映射和警报都必须可立即访问,以便采取可行的补救措施。如果没有实时可见性,安全专家就无法全面、快速地了解威胁的情况。威胁的范围、攻击的结果、或者如何最好地修复损害。
  2. EDR 工具与全球威胁数据库和网络威胁情报集成。获取可操作的情报对于通过充分知情的响应来补救和响应安全事件至关重要。最新的威胁情报、全球威胁数据库查询和来自受监控端点的数据分析的结合意味着您的所有基地都得到覆盖,并且您的 EDR 工具已准备就绪采取行动并准备应对即将到来的威胁。
  3. 快速修复和事件响应。速度对于 EDR 工具和端点保护至关重要。快速修复和事件响应是 EDR 技术产品的关键要素,因为当敌对性间谍手段无法检测时(这种情况经常发生),攻击者可以在环境中“驻留”数天、数周甚至数年,横向移动以危害其他主机、窃取凭证、并执行隐秘的数据泄露,或者更糟。

如果没有这些基本的 EDR (EDTR) 功能,组织和企业将被迫应对违规行为,从而造成严重的财务和声誉损失。

许可协议

本文采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。

分享文章

快来参与讨论吧~

本站由 Diebug 使用 Stellar 1.29.1 主题创建。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
本站总访问量 | 本站总访客数