EDR(终端检测与响应)
EDR 使用实时分析和基于 AI 的自动化技术来保护组织免受那些突破防病毒软件和其他传统终端安全技术安全防线的网络威胁。
使用计算机的人的等距图
什么是 EDR?

终端检测和响应 (EDR) 是一款软件,旨在自动保护组织的最终用户、终端设备和 IT 资产免受那些突破防病毒软件和其他传统终端安全工具安全防线的网络威胁。 

EDR 将从网络上的所有终端(台式机和笔记本电脑、服务器、移动设备、IoT(物联网)设备等)中连续收集数据。 它将实时分析这些数据以查找已知或疑似网络威胁的证据,并且可以自动作出响应以防止或尽可能减少所识别威胁造成的损失。


组织使用 EDR 的理由

EDR 于 2013 年首次获得 Gartner 的认可,如今已被企业广泛采用,这些都充分证明它的不凡之处。 

研究估计,多达 90% 的成功网络攻击和多达 70% 的成功数据窃取都源自终端设备。 尽管防病毒软件、反恶意软件、防火墙和其他传统终端安全解决方案都会随着时间的推移而不断发展,但它们仍然仅限于检测基于文件或基于签名的已知终端 威胁。 比如,它们在预防社会工程攻击(例如,诱使受害者泄露敏感数据或访问包含恶意代码的虚假网站的网络钓鱼消息)方面的效果就不太理想。 (网络钓鱼是勒索软件最常见的传播方式。) 而且,它们对于越来越多的"无文件"网络攻击也无能为力,这类攻击专门在计算机内存中运行,可以完全避开文件或签名扫描。

最重要的是,传统终端安全工具无法检测或消除从它们身边溜走的高级威胁。  因此,这些威胁可以在网络中潜伏并漫游数个月,收集数据并识别漏洞,为发起勒索软件攻击、零日漏洞攻击或其他大规模网络攻击做准备。

EDR 弥补了这些传统终端安全解决方案的不足。 它提供了威胁检测分析和自动响应功能,通常无需人工干预即可识别并遏制各种渗透到网络边界的潜在威胁,从而避免造成重大损失。 EDR 还提供了一些工具,可供安全团队用于自行发现、调查和预防疑似威胁和新出现的威胁。


EDR 的工作方式

虽然 EDR 解决方案的功能因供应商而异,但 EDR 解决方案通常组合了五个核心功能:持续终端数据收集、实时分析和威胁检测、自动威胁响应、威胁隔离和补救,以及威胁搜寻支持。

持续终端数据收集

EDR 将从网络上的各个终端设备中持续收集数据 - 关于流程、性能、配置更改、网络连接、文件和数据下载或传输、最终用户或设备行为的数据。 这些数据存储在中央数据库或数据湖中,通常托管在云端。 

大多数 EDR 安全解决方案都通过在每个终端设备上安装轻量级数据收集工具或代理来收集这些数据;而有些解决方案可能会依赖终端操作系统中的功能。

实时分析和威胁检测

EDR 使用高级分析和机器学习算法,在已知威胁或可疑活动发生之前实时识别指示这些活动的模式。 

一般来讲,EDR 会查找两种类型的迹象:感染迹象 (IOC)(即与潜在攻击或违规行为一致的操作或事件)以及攻击迹象 (IOA)(即与已知网络威胁或网络犯罪分子相关的行动或事件)。 

为了识别这些迹象,EDR 会将自己的终端数据与来自威胁情报服务的数据实时关联,而威胁情报服务会提供关于最新网络威胁的持续更新信息 - 它们使用的策略、它们利用的终端或 IT 基础架构漏洞等等。 威胁情报服务可以是专有服务(由 EDR 提供商运营)、第三方服务或基于社区的服务。 此外,许多 EDR 解决方案还将数据映射到 Mitre ATT&CK,后者是一个由美国政府资助的、可免费访问的全球黑客网络威胁策略和技术知识库。

EDR 分析和算法还可以自行执行侦查,将实时数据与历史数据和已建立的基线进行比较,确定出可疑的活动、异常的最终用户活动以及任何可能指示网络安全事件或威胁的内容。 这些算法还可以将"信号"或合法威胁与误报的"噪音"区分开来,以便安全分析师可以专注于重要的事件。

许多公司都将 EDR 与 SIEM(安全信息和事件管理)解决方案集成在一起,该解决方案可收集 IT 基础架构各个层的安全相关信息 - 不仅是终端,还有应用、数据库、Web 浏览器、网络硬件等。 SIEM 数据可以通过附加上下文来丰富 EDR 分析,以便识别威胁、划分威胁的优先级、调查并修复威胁。

EDR 在中央管理控制台(也用作解决方案的用户界面 (UI))中汇总重要数据和分析结果。 通过这个控制台,安全团队成员可以全面了解企业范围内的每个终端及终端安全问题,并启动涉及任何和所有终端的调查、威胁响应和补救措施。

自动威胁响应

EDR 通过自动化技术引入"响应"机制(实际上是"快速响应")。 根据安全团队设置的预定义规则(或机器学习算法随时间推移"学习"的规则),EDR 解决方案可以自动

  • 提醒安全分析人员注意特定威胁或可疑活动
  • 根据严重性对警报进行分类或划分优先级
  • 生成"追溯"报告,以跟踪事件或威胁在网络上的完整轨迹,一直追溯到其根本原因
  • 断开终端设备的连接,或从网络注销最终用户
  • 停止系统或终端进程
  • 阻止端点执行(引爆)恶意/可疑文件或电子邮件附件
  • 触发防病毒软件或反恶意软件,以扫描网络上的其他终端来查找相同的威胁

EDR 可以自动执行威胁调查和补救活动(见下文)。 它可以与 SOAR(安全统筹与自动化响应)系统集成在一起,以自动执行涉及其他安全工具的安全响应运行手册(事件响应序列)。

这整个自动化流程有助于安全团队更快地响应事件和威胁,最大限度地减小它们对网络造成的损害。 它还有助于安全团队与其下属员工一起尽可能高效地工作。

调查和补救

一旦确定存在威胁,EDR 就会提供一些功能,以供安全分析人员用来进一步调查威胁。 例如,取证分析可帮助安全分析师查明威胁的根本原因,识别受其影响的各种文件,并确定攻击者进入并使用网络获取认证凭证访问权或执行其他恶意活动时利用的一个或多个漏洞。

有了这些信息,分析人员就可以使用补救工具来消除威胁。 补救措施可能涉及

  • 销毁恶意文件并将其从终端清除
  • 复原损坏的配置、注册表设置、数据和应用文件
  • 应用更新或补丁以消除漏洞
  • 更新检测规则以防止再次发生
威胁搜寻支持

威胁搜寻(也称为"网络威胁搜寻")是一项主动式安全活动,安全分析师可通过这种活动在网络中搜索未知威胁或者组织自动网络安全工具尚未检测或修复的已知威胁。 请记住,高级威胁可能会在被检测到之前潜伏数个月,收集系统信息和用户凭证,为大规模入侵做准备。 有效且及时的威胁搜寻可以缩短检测和修复这些威胁所需的时间,并减小或防止攻击造成的损害。

威胁搜寻者可以使用各种策略和方法,其中大多数策略和方法都依赖于 EDR 在威胁检测、响应和补救时使用的相同数据源、分析和自动化功能。 例如,威胁搜寻分析人员可能希望根据取证分析来搜索特定文件、配置更改或其他工件,或者搜索用于描述特定攻击者方法的 MITRE ATT&CK 数据。

为了支持威胁搜寻,EDR 可通过 UI 驱动的方法或编程方式向安全分析人员提供这些功能,以便他们可以执行临时搜索数据查询、与威胁情报进行关联以及进行其他调查。 专用于威胁搜寻的 EDR 工具包括从简单脚本语言(用于自动执行常见任务)到自然语言查询工具的所有工具。


EDR 与 EPP

终端保护平台 (EPP) 是一个集成的安全平台,它将下一代防病毒软件 (NGAV) 和反恶意软件与 Web 控制/Web 过滤软件、防火墙、电子邮件网关和其他传统终端安全技术相结合。 

同样,EPP 技术主要侧重于在终端上防止已知威胁或以已知方式发起的威胁。 EDR 能够识别和遏制那些突破传统终端安全技术安全防线的未知或潜在威胁。 然而,许多 EPP 经过演变后现在都包含 EDR 功能,例如,高级威胁检测分析和用户行为分析。 


EDR 与 XDR 和 MDR

与 EDR 一样,XDR(扩展检测和响应)和 MDR(托管式检测和响应)都是基于分析和基于 AI 的企业威胁检测解决方案。 它们在提供的保护范围和交付方式方面与 EDR 有所不同。

XDR 将安全工具集成到组织的整个混合基础架构(不仅包括终端,还有网络、电子邮件、应用、云工作负载等)中,因此,这些工具可以在网络威胁预防、检测和响应方面进行互操作和协同工作。 与 EDR 一样,XDR 集成了 SIEM、SOAR 和其他企业网络安全技术。 XDR 是一种仍处于新兴状态但发展迅猛的技术,它通过将安全控制点、遥测、分析和操作统一到单一的中央企业系统中,可以使不堪重负的安全运营中心 (SOC) 变得更加高效和有效。

MDR 是一种外包的网络安全服务,可以保护组织免受那些突破其网络安全技术安全防线的威胁。 MDR 提供商通常提供了全天候 (24 x 7) 的威胁监控、检测和补救服务,这些服务由一支使用基于云的 EDR 或 XDR 技术远程工作的高技能安全分析师团队提供。 对于需要超出员工现有知识储备的安全专业知识或超出预算的安全技术的组织而言,MDR 可能是一种极具吸引力的解决方案。


相关解决方案

IBM Security ReaQta

基于 AI 的自动化终端安全解决方案,可帮助您近乎实时地检测和修复威胁。


检测和响应 (MDR) 托管服务

基于 AI 的托管式预防、检测和响应服务,可跨终端更快地防御威胁。


端点安全管理服务

现代化的终端管理,旨在保护最终用户及其设备免受最新的网络安全威胁。


统一终端管理 (UEM)

采用开放云 AI 方法,并通过 UEM 解决方案来保护和管理任何设备。


网络检测与响应 (NDR) 解决方案

网络检测和响应解决方案通过实时分析网络活动为安全团队提供帮助。


身份和访问管理 (IAM)

利用 IBM Security Verify IAM 解决方案,将每个用户与正确的访问级别关联在一起。


事件响应解决方案

在发生网络攻击时协调事件响应,以统一整个组织的行动。


零信任解决方案

发现围绕每个用户、每个设备和每个连接的安全解决方案。


IBM Security QRadar SIEM

提供集中可见性和智能安全分析功能,可检测、调查和响应您的关键网络安全威胁。