EDR
EDR,即终端检测与响应,是传统杀毒软件安全套件的现代替代品。数十年来,组织和企业投资于杀毒软件套件,希望解决企业安全挑战。然而,随着恶意软件威胁的复杂性和普及率在过去十年间的增长,现在被称为“传统”杀毒软件的局限性变得显而易见。
作为回应,一些供应商重新思考了企业安全挑战,并提出了解决杀毒软件失败的新解决方案。EDR与杀毒软件有何不同?EDR为什么比杀毒软件更有效?以及如何替换传统杀毒软件,采用先进的EDR?您将在本文中找到这些问题及更多问题的答案。
EDR 与防病毒软件有何不同?
为了充分保护您的企业或组织免受威胁,了解 EDR 与传统或“旧式”防病毒软件之间的区别非常重要。这两种安全方法从根本上是不同的,只有其中一种适合应对现代威胁。
杀毒软件的特点
在那些每天新恶意软件威胁可以舒适地用电子表格文档来计数的日子里,杀毒软件为企业提供了一种方式,通过检查(或扫描)文件在计算机设备上写入磁盘时来阻止已知的恶意软件。如果文件“已知”于杀毒软件扫描器的恶意文件数据库中,软件将阻止恶意软件文件执行。
传统杀毒软件数据库包含一组签名。这些签名可能包含恶意软件文件的哈希值和/或规则,这些规则包含文件必须匹配的一组特征。这些特征通常包括恶意软件可执行文件内的可读字符串或字节序列、文件类型、文件大小和其他类型的文件元数据。
一些杀毒软件引擎还可以对运行中的进程进行原始的启发式分析,并检查重要系统文件的完整性。在每天涌现大量新恶意软件样本的情况下,许多杀毒软件产品后来增加了这些“事后”或感染后检查,以应对杀毒软件供应商无法及时更新数据库的问题。
鉴于威胁不断增长以及杀毒软件方法效果下降的现状,一些传统供应商尝试通过添加其他服务(如防火墙控制、数据加密、进程允许和阻止列表等杀毒软件“套件”工具)来补充杀毒软件。这些解决方案通常被称为“EPP”或终端保护平台,但其基础仍然是基于签名的方法。
EDR的特点
虽然所有杀毒软件解决方案的重点是引入系统的(潜在恶意的)文件,但相反,EDR侧重于从终端收集数据并实时检查这些数据以发现恶意或异常模式。正如其名称所示,EDR系统的理念是检测感染并启动响应。EDR能够在无需人工干预的情况下越快进行此操作,其效果就越好。
优秀的EDR还将包括阻止恶意文件的能力,但更重要的是,EDR意识到并不是所有现代攻击都是基于文件的。此外,主动的EDR为安全团队提供了杀毒软件中找不到的关键功能,包括自动响应和对终端上发生的文件修改、进程创建和网络连接的深度可见性:这对于威胁猎杀、事件响应和数字取证至关重要。
杀毒软件的缺陷
杀毒软件解决方案无法跟上今天企业面临的威胁有很多原因。首先,如上所述,每天见到的新恶意软件样本数量比任何人类签名编写团队能够跟上的数量更多。
鉴于杀毒软件解决方案必然无法检测到许多这些样本,企业必须假定他们将面临杀毒软件无法检测到的威胁。
第二,即使没有重新编写其恶意软件,威胁行为者通常也能轻松绕过杀毒软件签名的检测。由于签名只关注少数文件特征,恶意软件作者学会了如何创建具有变化特征的恶意软件,也被称为多态恶意软件。例如,文件哈希是最容易改变的文件特征之一,但内部字符串也可以在每个恶意软件版本中以不同的方式随机化、混淆和加密。
第三,以金融为动机的威胁行为者,如勒索软件运营者,已经超越了简单的基于文件的恶意软件攻击。内存或无文件攻击已经变得普遍,而像Hive这样的人为操作的勒索软件攻击,以及诸如Maze、Ryuk等的“双重勒索”攻击,可能始于被入侵或暴力破解的凭据,或者利用远程代码执行(RCE)漏洞,可能导致通过数据外泄而最终丧失知识产权,而不会触发基于杀毒软件签名的检测。
EDR的好处
由于其专注于为企业安全团队提供可见性,并配备自动检测响应功能,EDR能够更好地应对当今威胁行为者和他们带来的安全挑战。
EDR专注于检测异常活动并提供响应,因此不仅局限于仅检测已知的基于文件的威胁。相反,EDR提议的主要价值在于,威胁不需要像杀毒软件解决方案那样精确定义。EDR解决方案可以寻找意外、异常和不受欢迎的活动模式,并向安全分析师发出警报以进行调查。
此外,由于EDR通过收集来自所有受保护的端点的广泛数据来工作,它们为安全团队提供了将数据集中在一个便捷的中心化界面的机会。IT团队可以利用这些数据并与其他工具集成,进行更深入的分析,帮助确定组织在定义未来潜在攻击性质时的整体安全态势。EDR的全面数据还可以支持事后的威胁搜索和分析。
也许,先进的EDR最大的好处之一是能够获取这些数据,在设备上进行情境化处理,并在无需人工干预的情况下化解威胁。然而,并非所有EDR都能做到这一点,因为许多依赖将EDR数据传输到云端进行远程(因此有延迟的)分析。
EDR如何与杀毒软件相辅相成
尽管单独部署或作为EPP解决方案的一部分时存在限制,杀毒引擎可以作为EDR解决方案的有用补充,并且大多数EDR都会包含一定程度的基于签名和哈希的阻止功能,作为“深度防御”策略的一部分。
通过将杀毒引擎整合到更有效的EDR解决方案中,企业安全团队可以充分利用杀毒软件对已知恶意软件的简单阻止,并将其与EDR提供的高级功能结合起来。
通过主动EDR避免警报疲劳
正如我们之前提到的,EDR为企业安全和IT团队提供了对整个网络中所有端点的深入可见性,从而带来了许多优势。然而,尽管有这些优势,许多EDR解决方案未能如企业安全团队所期望的那样产生影响,因为它们需要大量人力资源来管理:而这些资源通常因人员配备不足、预算限制或网络安全技能短缺而不可用。
许多投资于EDR的组织发现自己不是在享受更高的安全性和减少IT和安全团队工作量,而是将资源从处理受感染设备转移到处理大量EDR警报。
然而,事实并非如此。也许EDR最宝贵的潜力之一是其能够在完全不需要人为干预的情况下自主化解威胁。通过利用机器学习和人工智能的力量,主动EDR可以减轻SOC团队的负担,并能够在端点上自主化解事件,而不依赖于云资源。
这意味着威胁可以在机器速度下被缓解 — 比任何远程云分析都更快 — 而且无需人类干预。
主动EDR对您的团队意味着什么?
考虑以下典型情景:用户在Google Chrome中打开一个标签页,下载并执行他们认为安全的文件。该程序利用PowerShell删除本地备份,然后开始加密磁盘上的所有数据。
对于使用被动EDR解决方案的安全分析师来说,工作可能会很困难。被警报淹没,分析师需要将数据整合成一个有意义的故事。而有了主动EDR,这项工作将由端点上的代理完成。主动EDR知道整个故事,因此它会在运行时缓解这个威胁,在加密开始之前。
当故事得到缓解时,所有故事中的元素都将得到处理,直到用户在浏览器中打开的那个Chrome标签页。它通过为故事中的每个元素分配相同的故事线ID来工作。这些故事然后被发送到管理控制台,为安全分析师和IT管理员提供可见性和便捷的威胁搜索。
升级您的安全性与EDR
一旦我们看到EDR系统相对于传统防病毒软件的明显优势,接下来该怎么办呢?选择合适的EDR需要了解您组织的需求以及产品所提供的能力。
同时,进行测试也非常重要,但要确保这些测试具有现实应用价值。这种产品在日常运营中将如何被您的团队使用?学习起来是否容易?在任何云服务不可用或无法访问时,它是否仍然能保护您的公司?
考虑部署和推广也是很重要的。您能否自动化在所有设备上的部署?平台兼容性如何?您选择的供应商是否同样重视Windows、Linux和macOS?每个端点都需要受到保护;任何被忽视的端点都可能成为进入您网络的后门。
接下来,考虑集成。大多数组织拥有复杂的软件堆栈。您的供应商是否提供了强大而简单的集成方式,以便与您依赖的其他服务进行集成?
想要了解如何选择合适的EDR的更全面指南,请参阅免费电子书《The Secrets of Evaluating Security Products》。
超越EDR | XDR 实现最大的可视性与集成性
虽然主动型EDR对于那些尚未摆脱传统防病毒软件的组织来说是下一步,但那些需要在整个企业范围内实现最大可视性和集成性的企业应该考虑扩展检测与响应(Extended Detection and Response,简称XDR)。
XDR通过将所有可视性和安全控制集成到对您环境中发生的所有事物的完整综合视图中,将EDR提升到一个新的水平。通过单一的原始数据池,该数据汇集了来自整个生态系统的信息,XDR比EDR能够更快速、更深入、更有效地进行威胁检测和响应。
XDR从更广泛的源头收集和整理数据,使得企业能够实现更全面的威胁检测和响应,比单一的EDR系统具有更强的优势。
SentinelOne Singularity XDR
了解SentinelOne XDR如何在您的完整技术堆栈中提供端到端的企业可见性、强大的分析和自动化响应。
结论
威胁行为者早已超越了传统的防病毒和终端保护平台(EPP),组织需要认识到这些产品已无法应对今天活跃的威胁。即使是简单浏览新闻标题也能看到,许多大型、准备不足的组织在现代攻击如勒索软件面前束手无策,尽管它们已经投资于安全控制。作为防御者,我们的责任在于确保我们的安全软件不仅适用于昨天的攻击,还要应对今天和明天的威胁。
如果您想了解更多关于SentinelOne如何为您的组织提供先进保护的信息,请联系我们或申请免费演示。
喜欢这篇文章吗?在 LinkedIn、Twitter、YouTube 或 Facebook 上关注我们,查看我们发布的内容。
阅读有关网络安全的更多信息
- 7 Ways Hackers Steal Your Passwords :https://www.sentinelone.com/blog/7-ways-hackers-steal-your-passwords/
- Decrypting SentinelOne Cloud Detection | The Threat Intelligence Engine in Real-Time CWPP:https://www.sentinelone.com/blog/decrypting-sentinelone-cloud-detection-the-threat-intelligence-engine-in-real-time-cwpp/
Ransomware Evolution | How Cheated Affiliates Are Recycling Victim Data for Profit:https://www.sentinelone.com/blog/ransomware-evolution-how-cheated-affiliates-are-recycling-victim-data-for-profit/
What Are TTPs? Tactics, Techniques & Procedures – Inside the Mind of a Cyber Attacker:https://www.sentinelone.com/blog/inside-the-mind-of-a-cyber-attacker-tactics-techniques-and-procedures-ttps-every-security-practitioner-should-know/
The Changing Role of the CISO in 2024 | Navigating New Frontiers in Cybersecurity:https://www.sentinelone.com/blog/the-changing-role-of-the-ciso-in-2024-navigating-new-frontiers-in-cybersecurity/
Unseen Threats in Software Development | The Perils of Trojanized NPM Packages:https://www.sentinelone.com/blog/unseen-threats-in-software-development-the-perils-of-trojanized-npm-packages/
发表评论
您还未登录,请先登录。
登录