400-808-5829
网络安全一直是企业和个人所关注的重点问题,而随着恶意攻击的不断增多,其安全防御的要求也越来越高。作为一种新兴技术,EDR已逐渐得到广泛的应用。那么,EDR到底是什么?与传统的防病毒软件相比,有什么不同之处呢?接下来,爱陆通帮助你深入了解一下。
终端安全响应系统(EDR)是为了加强和补充传统终端安全产品在高级威胁检测和响应方面而发展起来的。通过威胁情报、攻防对抗和机器学习等手段,EDR能够综合评估企业网络中存在的未知风险,从主机、网络、用户和文件等多个维度来分析。其核心在于行为软件,利用威胁情报来缩短威胁从发现到处置的时间,有效地降低业务损失并提高整体安全能力。另外,EDR还能提高企业网络的可见性。
多年来,企业一直追求一套防病毒软件,以期在安全领域迎接挑战。然而,随着恶意软件威胁的复杂化和攻击范围的扩大,传统的防病毒软件的不足也变得十分突出。
为此,一些供应商开始重新思考企业所面临的安全挑战。EDR和传统防病毒软件有着哪些不同之处呢?
要充分保护企业或组织免受威胁,了解EDR与传统防病毒软件之间的差异非常重要。这两种安全方法在本质上存在着不同。
1.为企业提供了一种阻止已知恶意软件的方法,就是在将文件写入计算机设备的磁盘时对其进行检查或扫描。当防病毒软件的扫描程序在恶意文件数据库中找到该文件时,软件就会阻止该恶意文件的执行。
2.传统的防病毒数据库由一系列签名组成,这些签名可能包含对恶意软件文件的哈希值或要求文件必须匹配的一系列特征规则。这些特征通常包括在恶意软件可执行文件中找到的可读字符串或字节序列、文件类型、文件大小以及其他文件元数据等内容。
3.一些防病毒软件还可以执行原始启发式分析,对正在运行的进程进行检查,并核实重要系统文件的完整性。随着每天出现大量新的恶意软件样本,这些软件超过了传统的防病毒软件供应商数据库的更新能力,只能在事后或被感染后才能被添加到数据库中。
随着威胁不断增长且防病毒软件效力下降,一些传统供应商已采用其他服务来弥补其不足,例如防火墙控制、数据加密、进程允许和阻止列表等防病毒“套件”工具。这种解决方案通常被称为“终端保护平台”或“EPP”,然而其核心仍然基于签名方法。
1.高效性,能够快速捕获、分析和响应威胁事件。它能够及时检测到潜在的安全问题,并提供实时的保护措施,有效减少安全风险。
2.可靠性,它通过持续监控和记录系统活动来确保数据的准确性和完整性,以便进行后续分析和溯源。在面对复杂的攻击情景时,EDR能够提供可靠的数据支持,帮助安全人员迅速做出决策和应对措施。
3.安全性。它采用加密和权限控制等多种安全机制,保护收集到的敏感数据不被未授权者窃取或篡改。此外,EDR还能够与其他安全工具和系统集成,形成综合的安全防护体系。
4.可扩展性。它可以根据环境的需求进行部署和配置,适应不同规模和复杂度的网络环境。无论是小型企业还是大型组织,都可以根据实际情况选择使用EDR,并根据需求进行灵活的扩展和升级。
1.检测能力更强:EDR的检测能力不断加强,已经不仅仅是检测病毒、木马等传统恶意软件了,还能够识别未知的变异型恶意程序和新型攻击手段。
2.分析手段更丰富:通过对异常事件的采集、分析、管理,EDR能够更加深入地分析安全事件,得出更准确的结论和决策。
3.快速响应能力更高:传统的防病毒软件是无法迅速响应安全事件的,而EDR在检测到异常行为后,能够快速作出响应,并通过多种手段对安全事件进行跟踪和分析。
由于防病毒解决方案无法检测到许多样本,企业必须假设他们将面临无法被防病毒软件检测到的威胁。
下一点是,即使没有重新写恶意软件,攻击者通常也可以很容易地规避通过防病毒签名进行的检测。因为签名只关注一小部分文件特征,恶意软件开发者已经学会了如何创建具有不同特征的恶意软件,也被称为多态恶意软件。例如,文件的哈希值是最容易改变的文件特征之一,但是内部字符串也可以随恶意软件的每个版本构建进行随机化、混淆和加密。
最近,攻击者出于经济目的(比如勒索软件运营商)已经超越了简单的基于文件的恶意软件攻击。现在,内存中或无文件攻击已经非常普遍。一些攻击例如Hive,采用人为操作的勒索软件攻击方式,还有一些双重勒索攻击,例如Maze、Ryuk和其他攻击方式。这些攻击可能由于破坏或暴力强制凭证,或者利用远程代码执行漏洞(RCE)进行,而不会触发基于反病毒签名的检测。这些攻击可能通过数据泄露来损害知识产权。
企业可以通过专注于检测异常活动并提供相应措施,来利用EDR技术。EDR技术不仅限于检测已知的、基于文件的威胁。EDR技术的主要价值在于,无需像防病毒解决方案那样准确定义威胁。EDR解决方案能够寻找突发、异常和不需要的活动模式,并及时向安全分析师发出警报以供检测使用。
另外,由于EDR通过收集大量数据来自所有受保护的终端进行工作,因此它们为安全团队提供了一个方便、集中的界面,以可视化这些数据的机会。IT团队可以获取这些数据并与其他工具集成,以进行更深入的分析,这有助于了解组织的整体安全状况,从而帮助组织确定未来潜在攻击的性质。来自EDR的综合数据还可以用于追踪和分析威胁的溯源。
先进的EDR技术的一个最大优点可能在于能够获取相关数据并储存至设备中,在不需要人工干预的情况下减轻威胁。然而,并非所有EDR都能胜任这项任务,因为许多EDR必须将数据传输至云端进行远程分析。
尽管在单独使用或作为EPP解决方案的一部分时有局限性,但防病毒软件可以有效补充EDR解决方案,并且大多数EDR解决方案都会包含一些签名元素和基于哈希的阻止措施,作为其“深度防御”策略的一部分。
将防病毒软件纳入更高效的EDR解决方案,企业安全团队可以同时获得简单阻止已知恶意软件的好处,以及与必备的EDR高级功能相结合。
为了减少频繁的警报,可以采取主动EDR的方法来应对。
在实际情况中,很多依赖于EDR的组织并未为他们的IT和安全团队提供更高的安全性和更少的工作量。这是因为他们需要对受感染的设备进行分类,并且需要对堆积如山的EDR警报进行分析。
实际上,这是对EDR的错误应用,也许EDR的最有价值的潜力在于其能够自动缓解威胁,而无需人为干预。利用机器学习和人工智能的能力,主动EDR减轻了SOC团队的负担,并且可以在不依赖云资源的情况下自动缓解终端上的事件。
这表示威胁可以迅速减轻,比任何遥远的云分析都要快,并且无需人工干预。