XDR 是甚麼?

用戶端偵測與回應結合實時持續監控、用戶端數據搜集及進階關聯,以偵測及回應在主機及用戶端的可疑活動。此方法令保安團隊可以快速辨識及關聯活動,並採取手動及自動化回應選項進行高準度偵測。

用戶端偵測與回應(EDR)

用戶端是網絡上最易受攻擊的端點之一,根據 Ponemon Institute 最近一項研究,68% 的機構都曾受最少一次用戶端攻擊,並導致資料或整個基建被入侵。同一報告亦指出,68% 資訊科技人員都表示攻擊較之前一年已增加不少。

隨著勒索程式及惡意程式攻擊日漸頻繁及更具侵略性,不同規模機構採用偵測與回應系統以協助查找及調查潛在威脅已經是不可或缺。

用戶端偵測與回應以持續掃瞄可疑活動來緩解這些威脅,並警示保安團隊任何需要消除的潛在威脅。它讓機構可以持續監控用戶端、伺服器及主機登入點,並恆常搜尋任何可能造成威脅的事物。

EDR 保安方案記錄了用戶端上的所有活動及事件,有些廠商更會將此服務擴展至任何連接網絡的工作負載。這些記錄或事件目錄會被用作找出未被偵測事故之用,令系統可以更快實時偵測威脅,以免擴散至其他用戶端。

用戶端偵測與回應的優勢包括加快調查、更快速辨識漏洞及可使用手動或自動化選項來更快回應任何惡意活動。

不過,隨著擴展式偵測與回應(XDR)方案發展至涵蓋電郵、網絡、雲端工作負載及其他保安層,EDR 已變成一個被孤立的方式。它不再是偵測與回應策略上的必要一環,而只是另一個為 XDR 提供資料的系統。將用戶端假設為居所的門,就可簡單說明用戶端偵測與回應系統的運作方式。

簡單而言,在一個安全環境中用戶端偵測與回應會是緩解風險的重要一環,但機構在建構強大的風險管理策略時也要考慮涵蓋其他保安層。

持續及全面的視野

網絡保安團隊的任務非常重要,除了要確保網絡穩定及安全外,他們也要監控任何可能持續出現的威脅及事故。

透過用戶端偵測與回應,保安團隊可實時收到不時出現的潛在事故的警示,包括未預期的用戶端活動或試圖以惡意程式或勒索程式感染用戶端的行為。由於網絡保安威脅每年都在持續增加,機構必須慎重為保安團隊提供適當工具,讓他們持續監察網絡上一切活動。

偵測、調查與檢討

透過 EDR,您的保安科技可以偵測及追蹤環境內潛在威脅的動向,在偵測到活動後,它們會被分派予保安團隊作進一步調查。由於 EDR 可以監察用戶端、伺服器及工作負載,調查與回應已偵測威脅的能力就成為能否提供安全業務平台的關鍵。

利用在所有用戶端的持續而全面視野,EDR 可發現潛藏的攻擊者,並讓機構全面了解用戶端的活動,從而更容易回應出現的異常情況。

EDR 能為保安團隊提供的有用資訊包括:

  • 直接或透過遙距登入的用戶帳號
  • 對 ASP 鑰匙、執行檔及其他管理工具所作的變更
  • 程序執行清單
  • 建立檔案記錄,包括 .ZIP 及 .RAR 檔案
  • 使用可移動媒體的記錄,例如 USB 手指
  • 所有連接主機的本域或外部地址

EDR 讓您完全監察用戶端保安相關程序,令保安團隊可以專注於實時事件,與及監察可能在用戶端上使用的指令或程序。

主動防禦

用戶端偵測與回應為機構網絡帶來更主動的防禦,讓威脅搜索人員搜尋可能出現在網絡或不同用戶端的威脅。他們可以搜尋及調查系統偵測到的任何威脅,並知會保安團隊所發現的事件及問題,讓他們可以快速進行處理。

警示疲勞

保安警示是網絡威脅管理的關鍵成份,可提供機構環境內所發生事件的最即時的視野。但同時亦可能造成警示疲勞,影響如平均回應時間(MTTR)及平均偵測時間(MTTD)等主要表現指標。

警示疲勞亦可能發生在經常面對大量警示的保安團隊身上,長遠而言這會令分析師超出負荷及影響回應時間。

單獨來看,機構通常都不用太擔心警示,但當多個警示定時出現時,分析師需要花更多時間調查誤測,讓那些可能造成更大破壞的保安事故乘虛而入。

在日常監控方面,分析師可透過篩選不同警示來緩解網絡風險。但長遠而言,大量需要回應的警示會導致保安團隊難於應付,而 EDR 及選擇最佳化的自動化回應就可以協助減低警示疲勞。

以 EDR 保安方案進行持續監控、搜集用戶端資料及客製自動化回應,可以減輕分析師的壓力,讓他們可以在較低壓力情況下執行任務。

加速修正

用戶端偵測與回應利用了深層分析及鑑證技術,以處理事件中最複雜的部份,讓保安團隊可以專注於對所有事件盡快採取回應行動。這可以加速修正程序,減低潛在風險存在於網絡內的時間。EDR 讓保安團隊在威脅全面入侵前已將之辨識及處理。

預防並不足以阻擋所有威脅

假如您的保安組合並未包括 EDR,您可能未能盡全力主動監控可疑事件。如果傳統的單一產品及防禦系統失效,又未有部署 EDR,歹徒可能在保安團隊不知情的情況下登入您的系統並逗留一段長時間。EDR 可以透過實時監控來清除任何繞過防禦措施的事件,協助減低風險。

正如前述,沒有可持續監控機構環境的科技,令歹徒就可以登入您的網絡及隨意進出,及利用惡意程式和勒索程式來搜集資料或讓外人存取機密資料。有了 EDR,您的系統會經常被監察,而任何試圖潛入的威脅都會被辨識,並在擴大影響前已被處理。

單是資料並不足夠

在用戶端搜集的威脅資料有時並不足夠,因此保安團隊應配備所有工具來處理出現的事件及威脅。缺乏可作行動參考的情報,威脅可能不會被處理,令歹徒可能取得重要資料。

EDR 為保安團隊提供前所未有的全新系列工具,讓他們以最高質素及速度執行任務。快速回應威脅與辨識威脅同樣重要。

利用 EDR,保安團隊可以結合實時監控系統及已有數據,協助精確找出威脅來源、威脅如何進入系統及已影響那些系統等資訊。這在現時機構面對越來越多網絡保安事件的環境下就變得更為重要。

此外,EDR 也可以讓保安團隊加快整個程序,因為假如要很長時間才可進行修正,最終開支可能會變得昂貴。如果攻擊涉及勒索程式,您損失的不單是資料,更可能包括金錢。透過 EDR,您的系統會受到持續監控,讓保安團隊專注處理威脅,以防止它們存取敏感資料及浪費時間與金錢。

雲端防護

大部份 EDR 系統都以雲端方案方式提供,確保不會影響用戶端的效能。在偵測到威脅或一個用戶端被移除後,雲端 EDR 系統仍會運作如常,而您的保安環境也會維持同一程度的完全監控及風險保護。

此外,雲端 EDR 系統的實時監控及其他重要保安功能不會因不同用戶端發生的事件而停頓。

XDR

相關資料