为什么安全团队需要 h t i g b u EDR 端点检测和响应 www.bitdefender-cn.com m o c . 5 为什么安全团队需要EDR 目 录 端点保护，必不可少但能力有限 ........................................................................................................................................... 3 预防和阻止已经不够 ........................................................................................................................................................... 3 端点保护的不足之处 ........................................................................................................................................................... 3 为什么需要在防护堆栈中使用EDR ....................................................................................................................................... 3 m o c . 5 消除关键的安全漏洞 ........................................................................................................................................................... 3 EDR 商业驱动 ..................................................................................................................................................................... 4 EDR产品类型 ............................................................................................................................................................................. 4 您如何评价您的端点保护工具？ ...................................................................................................................................... 5 b u 为什么需要独立的EDR ....................................................................................................................................................... 5 Bitdefender EDR................................................................................................................................................................ 5 h t i g EDR vs. SIEM 工具 .................................................................................................................................................................. 7 EDR针对安全团队进行了优化 .......................................................................................................................................... 7 为什么EDR是更好的选择................................................................................................................................................... 8 超越 EDR .................................................................................................................................................................................... 8 未来发展................................................................................................................................................................................ 8 2 为什么安全团队需要EDR 端点保护，必不可少但能力有限 预防和阻止已经不够 总体而言，当前顶级安全厂商的端点保护解决方案已经非常出色。 与过去相比，现代的端点保护工具可以比以 往阻止更多的恶意软件和更多类型的威胁。 顶级的安全厂商已经结合了人工智能（AI），机器学习（ML）和自 适应启发式技术，远远超出了静态且易于绕过的“病毒特征库”防护。 现在，预执行前检测，执行时阻止，执行后终止是顶级端点保护产品的必备功能。 总的来说，误报更少，检测 更快更精准，能对检测的内容和原因进行更好的解释。 但是，每个安全领导者都应牢记，端点保护有其不足之 处。 当规划网络安全战略时，您应该详细了解。 m o c . 5 端点保护的不足之处 在每次攻击开始之前，检测和阻止攻击，查杀所有病毒是任何安全团队都希望达到的理想状态，但是回顾历史， 证明这是一个遥不可及的目标 。 防护率从未达到100％，“完美的安全”永远无法实现。 无文件攻击和浏览器 攻击不会在硬盘中存储任何文件，许多高级的，多阶段，多向量攻击只会以某种方式展开，看起来像正常的行 为，从而使检测它们变得异常困难，甚至无法阻止。 其中许多攻击只能在进行中或事后检测。 具体来说，端点 b u 保护的不足之处包括： ◼ 检测的太少，太迟了：端点保护可能会进行检测，但仅在恶意软件已经部分或全部成功到达计算机时，才检 h t i g 测，且只告诉你已经阻止，要么就是没有检测到任何威胁，攻击成功，计算机失陷，威胁运行。 ◼ 丢失关联的线索：端点保护可能会生成许多警报，但是每个警报都是独立的，没有关联。 分析师看不到完 整的事件或相关事件链。 ◼ 出了问题，该怎么办？ 恶意软件可能已被端点保护阻止，但分析人员不知道该漏洞的严重程度，它是否存 在于其他计算机上，或者是否需要清除其他任何内容。 为什么需要在防护堆栈中使用EDR 消除关键的安全漏洞 端点保护对于合规性以及消除外部恶意软件和常见威胁是必需的，但对于防御高级，复杂或针对性的攻击，还远 远不够。 如果您拥有重要的知识产权，个人身份信息PII/个人健康信息PHI，客户或财务数据，那么EDR不再是 奢侈的东西，现在已成为必需品。 对高级威胁的防护不足 端点保护通常无法提供针对高级威胁的足够防护。 复杂的攻击通常使用正常的行为，例如：打开文档，建立远 程连接，从Internet下载资源等，但随后才表现出可疑或恶意行为。 3 为什么安全团队需要EDR 缺乏警报分类和响应功能 端点保护会生成许多警报，但看不到攻击的所有元素。 尽管每个警报都代表端点保护阻止了威胁，但是安全团 队可能需要采取后续措施，进行调查和采取纠正操作，而不是仅仅删除发现的恶意文件。 如果你使用端点保护 方案，你从哪里开始着手？ 发现漏洞后响应缓慢 端点保护提供很少的攻击预警信号，几乎没有有关威胁评估的详细信息。 用户可能会注意到计算机的行为异 常，或者网络工程师可能会看到异常的流量模式或数据高峰，但是没有提供有关因果关系的详细信息。 无法识别根本原因并防止攻击再次发生 m o c . 5 好的，您的端点保护解决方案已经阻止了恶意软件。 但是，还不是庆祝的时候。 您是否可以确定整个攻击是被 阻止的还是仅某些攻击被阻止了？ 其余的攻击是否逃避了检测并攻击成功了？攻击的入口点是什么？ 它从哪里 来的？ 我们如何关闭那条攻击链路，使攻击不再发生？ 无法了解攻击者使用的TTP/入侵指标IOC b u 这是一次性事件还是在企业中的许多受害机器上都有这样的事件，会不会是系统性事件？ 是否已经多次发生相 同或相似的攻击？ 攻击是否仍在组织中的其他计算机上进行？ 您能否在整个系统范围内使用入侵指标进行搜 索？ h t i g 有没有关于主动改善安全状况的建议？您如何改善安全状况并加强防护，以防止将来被入侵？ 您是否可以识别 会给您的组织带来风险的操作系统配置错误，应用程序漏洞和人为风险因素？ 一旦确定，您是否可以根据改进 指标来衡量和修正？ EDR 商业驱动 以下是需要在您的防护武器库中添加EDR的主要商业驱动因素： ◼ 您无法确保100％防护高级入侵，以防止入侵者留在您的系统中 ◼ 一旦发现潜在的入侵指标，您无法终止可疑活动或隔离受感染的计算机 ◼ 您缺乏可操作的情报来采取行动，也没有循序渐进的建议