何謂端點偵測及回應 (EDR)?

端點偵測及回應 (EDR) 結合了即時的持續監控、端點資料蒐集,以及進階交叉關聯,來偵測並回應主機和端點連線的可疑活動。這套方法可讓資安團隊快速發掘並交叉分析各種活動來產生高可信度的偵測事件,並提供手動和自動化回應選項。

EDR

端點是您網路上最脆弱的環節之一,根據 Ponemon Institute 所做的一份最新研究顯示,68% 的企業都曾遭遇一次或多次攻擊而導致資料外洩或整個基礎架構受損。此外,同一份報告也指出,68% 的 IT 人員發現這類攻擊事件較去年增加。

隨著勒索病毒與惡意程式攻擊日益頻繁且更加積極,建置一套端點偵測及回應系統有助於確切掌握和調查可能潛藏的威脅,而這對任何規模的企業都是絕對必要。

端點偵測及回應能持續掃描可疑行為,並在出現任何可能需要處理的威脅時通知資安團隊,如此有助於防範這些威脅。EDR 讓您隨時監控端點、伺服器以及主機存取點,持續搜尋任何可能的威脅。

EDR 解決方案會記錄端點上發生的所有活動和事件。某些廠商或許還會將這項服務延伸至任何與您網路相連的工作負載。然後,這些記錄 (或事件記錄檔) 可用來發掘原本不會被發現的資安事件。即時的監控可以更快偵測威脅,不讓威脅有機會擴散至使用者端點之外。

端點偵測及回應的效益包括:加快調查速度、迅速發掘漏洞、更快手動或自動回應任何惡意活動。

但隨著 XDR 解決方案的持續發展並延伸至其他防護層,如:電子郵件、網路、雲端工作負載等等,EDR 似乎很快就變成了一種單打獨鬥的方法。它不再是您偵測及回應策略的一切,而是 XDR 的其中一項資料輸入來源。要了解端點偵測及回應系統的運作方式,一個簡單的方法就是將端點想像成您房子的大門。

簡單來說,在一個安全的環境中,端點偵測及回應是防範風險的一種重要策略,但當您要建立一套嚴密的風險管理策略時,重要的是還要考慮到其他的防護層。

持續而完整的可視性

您的網路資安團隊有一項重要的任務,除了確保網路安全穩定之外,他們還必須監控任何可能的慢性威脅或問題。

有了端點偵測及回應,您的資安團隊就能在環境可能出現慢性問題時,立即收到警報。這包括一些不預期的端點活動,或是惡意程式或勒索病毒試圖感染您端點的情況。由於網路資安威脅每年都在不斷成長,因此您最好讓您的資安團隊擁有必要的工具來隨時掌握並密切監控您網路上所發生的一切。

偵測、調查與重新檢視

有了 EDR,您的資安技術就能偵測並追蹤潛在威脅在您環境內部移動的情況。一旦偵測到這類問題,就能通知您的資安團隊來進一步調查。由於 EDR 解決方案能監控端點、伺服器與工作負載,因此想要為您的企業提供一個安全的平台,關鍵就在於能夠調查並回應已經偵測到的威脅。

EDR 能發掘行蹤隱匿的駭客,這要歸功於它持續而完整地掌握您所有端點的可視性。換句話說,您將全面掌握您端點上所發生活動,並且能輕鬆回應任何異常的狀況。

例如以下是 EDR 能為您資安團隊提供的一些實用資訊:

  • 已登入的使用者帳號,包括直接登入或從遠端存取。
  • 任何對於 ASP 金鑰與執行檔的變更,以及使用其他系統管理工具的情況。
  • 執行中的處理程序清單。
  • 檔案建立記錄,包括:.ZIP 和 .RAR 檔案。
  • 使用可卸除式媒體的情況,如 USB 隨身碟。
  • 所有連上主機的本機與外部位址。

EDR 讓您全面監督您端點的資安相關流程。如此完整的掌握可讓您資安團隊即時深入追蹤問題,並且查看任何端點上正在使用的指令或處理程序。

主動防禦

端點偵測及回應能為您的網路提供更主動的防禦,讓威脅追蹤人員搜尋您網路與各端點上可能出現的威脅。追蹤人員可搜尋並調查任何系統偵測到的威脅,提醒您的資安團隊注意這些問題和活動,並迅速處置。

警報疲勞

資安警報是資安威脅管理的一項重要元素,雖然這些警報可讓您掌握您環境當下正在發生的情況,但也可能造成警報疲勞的現象,進而影響到一些重要的效能指標,如:平均回應時間 (MTTR) 與平均偵測時間(MTTD)。

當資安團隊一直收到過量的警報時,就會出現警報疲勞的現象。長期下來,會讓分析師疲於奔命,進而影響回應時間。

通常警報本身並沒什麼值得特別擔心的事,但如果有多個警報規律地重複出現,那分析師可能就會花費大部分時間來調查一些誤判的情況,反而耽誤到那些可能嚴重或災難性的資安事件。

在日常的監控作業當中,分析師難免要過濾許多警報,畢竟這些警報就是為了降低資安風險。長期下來,這會導致他們疲於奔命,因為資安團隊經常要應付讓人應接不暇的警報通知。EDR 以及一些最佳化自動回應工具有助於減輕警報疲勞的現象。

將持續監視和蒐集端點資料的工作及客製化自動回應交給 EDR 解決方案來處理,可減輕分析師的壓力,讓他們在適度的壓力下完成自己的工作。

加速矯正

端點偵測及回應採用的是深度分析與鑑識技巧,由於 EDR 技術已搞定了繁重的工作,您的資安團隊就能集中心力針對可能的問題盡速採取回應行動。這樣就能加快矯正速度,縮短潛在風險在您網路內製造問題的時間。有了 EDR,您的資安團隊就能預先發掘並處理威脅,不讓它演變成真正的資安事件。

防範措施無法攔截所有的威脅

若您的資安防護仍未包含 EDR 解決方案,那麼您尚未盡到全力來主動監控所有可能的問題。假使傳統的單一面向產品和防範措施失效,在沒有 EDR 的情況下,駭客就可能在您的系統上隨意進出好幾個禮拜,甚至好幾個月,而您的資安團隊卻毫不知情。EDR 有助於降低這種可能性,藉由即時的監控來協助您發掘任何您的防範措施沒抓到的問題。

如前面提到,少了這樣的技術來持續監控您的環境,駭客就能自由進出您的網路,想來就來。這等於敞開大門讓惡意程式和勒索病毒進來蒐集您的資料或讓外人存取您的機密資訊。有了 EDR,您的系統將隨時受到密切監控,這表示任何已進入您環境的威脅都會被發現,並且在它們擴大地盤之前就獲得處理。

光有資料還不夠

光是蒐集端點上的威脅資料有時還不夠,您的資安團隊還應具備處理任何可能衍生問題或威脅所需的所有工具。少了可採取行動的情報,就無法妥善處置這些威脅,讓駭客有機會存取重要資料。

此外,EDR 會讓您的資安團隊擁有一套前所未有的全新工具來大展身手。EDR 可為您的資安團隊開啟一扇大門,讓他們展現最高的工作品質和速度。迅速對威脅採取行動,跟發掘威脅一樣重要。

有了 EDR,您的團隊就能將即時監控系統與他們手上現有的資料結合,協助他們準確判斷威脅從何而來、如何進入系統,甚至知道何種系統已經受到威脅的影響。這非常關鍵,尤其當您在對抗今日許多企業都日益面臨的網路資安問題時。

除此之外,EDR 還讓您的資安團隊加快流程。矯正作業如果拖得太久,代價可能相當昂貴。如果遇到的是勒索病毒攻擊,您不僅將損失資料,甚至將損失金錢。有了 EDR,您的系統將時時刻刻受到監控,因此您的資安團隊可以專心處理威脅,不讓威脅有機會存取機敏資料並造成您的時間與金錢損失。

雲端內的防護

大多數的 EDR 系統都是經由雲端式解決方案來供應,這一點很重要,因為雲端式解決方案可確保不會對端點造成衝擊。如果偵測到一項威脅,或是如果某個端點被離線,雲端式 EDR 系統還是可以照常運作,您的資安環境依然能夠維持相同程度的全面監控與防護來防範潛在風險。

此外,由於是雲端式 EDR 系統,所以即時監控和其他重要資安措施絕對不會被各種端點可能出現的問題所拖累。

相關文章