搜索
搜索

关于

/
/
抽丝剥茧 | 扒一扒“当红炸子鸡”EDR背后的真相~
全部分类

抽丝剥茧 | 扒一扒“当红炸子鸡”EDR背后的真相~

  • 分类:公司新闻
  • 作者:
  • 来源:
  • 发布时间:2020-05-11 10:00
  • 访问量:

【概要描述】

抽丝剥茧 | 扒一扒“当红炸子鸡”EDR背后的真相~

【概要描述】

  • 分类:公司新闻
  • 作者:
  • 来源:
  • 发布时间:2020-05-11 10:00
  • 访问量:
详情
 
终端安全界的“当家花旦”
EDR
你了解多少?
小编今天就来抽丝剥茧
给大家扒一扒这个
当红炸子鸡~
 
 
 
ETDR(Endpoint Threat Detection and Response,端点威胁检测和响应)于2013 年 7 月由Gartner 的 Anton Chuvakin 提出, 2015 年正式更名为 EDR,从此便火的一发不可收拾。近两年,这把火烧也到了中国,各个网安厂商纷纷进场下注,推出各自的 “ EDR ” 产品,造成了市场鱼龙混杂,产品良莠不齐。
 
为什么EDR会被市场选中
 
成为当红炸子鸡?!
 
[hold住] [hold住] [hold住] 
 
新型威胁层出不穷,
传统防护手段束手无策
 
 
国家互联网应急中心( CNCERT )发布的《2019年上半年我国互联网网络安全态势》中数据表明,2019年上半年 CNCERT 新增捕获的计算机恶意程序样本数量约 3200 万个,平均每日传播次数高达 998 万次,我国境内受计算机恶意程序攻击的IP地址约 3762 万个。
 
与此同时, 2019 年上半年国家信息安全漏洞共享平台( CNVD )收录的通用型安全漏洞数量中,“零日”漏洞收录数量占比 43.3%,同比增长 34.0%。2019 年上半年检测到的无文件攻击事件约710733个,较2018年上半年增加了 265%。可见基于“零日”漏洞的攻击行为和无文件攻击行为已经逐渐成为黑客主要的攻击手段之一。可想而知,未来黑客攻击将更迅速、更隐蔽,传统基于特征值进行检测的安全手段将无法满足企业信息安全的需要。
 
 
EDR的出现
似乎成了新晋“救世主”
市场前景广阔
 
根据“ 端点检测和响应-全球市场展望(2017-2026)”报告,基于云和本地EDR解决方案将以每年 26% 的速度增长,到 2026 年其价值将达到 7.32626亿美元。此外,根据 Zion Market Research 的《网络安全市场中的人工智能(AI)报告》,到 2025 年,机器学习和人工智能的作用将创造 309 亿美元的网络安全市场。因此,EDR 既是响应安全威胁发展的必然产物,也是网安厂商新型安全能力的攻坚方向。
 
 
聊了这么久
EDR 到底是什么,还是不明白?
别着急,是网红就会有绯闻
EDR也不例外~
 
● 绯闻1 :能够检测到勒索病毒,就是 EDR!
● 绯闻2: 能够扫描和修复漏洞,就是 EDR!
● 绯闻3: 有了 EDR,就不需要杀毒产品了!
● 绯闻4: 有了 EDR,就不需要桌管产品了!
● ...
 
 
未见其人,先闻其声
绯闻这么多
到底哪个才是真的?!
官方澄清到了
来人~
上干货!
 
证据1:Gartner 官方定义 EDR
 
Gartner 将“端点检测和响应解决方案市场”定义为“记录和存储端点系统级别的行为,使用各种数据分析技术来检测可疑的系统行为,提供上下文信息,阻止恶意活动并提供补救建议以恢复受影响系统的解决方案” 。
 
简单来说,EDR 解决方案必须提供以下主要功能:检测安全事件,存储端点处的事件,调查安全事件并提供补救指南。
 
Gartner认为,大多数的EDR解决方案应该具备以下功能:
 
● 具有检测和阻止隐藏漏洞利用的进程(这种进程能够逃避传统AV检测能力,不容易被简单的签名和特征检测到。)
 
● 威胁情报
 
● 跨终端的可见性,以检测恶意活动并简化安全事件响应流程
 
● 警报的自动化以及防御性响应,例如在检测到攻击时关闭特定进程
 
● 取证功能,因为一旦攻击者进入内部,就需要深入研究其活动的能力,以便能够了解其活动轨迹并最大程度地减少破坏的影响
 
● 数据收集以建立用于分析的存储库
 
证据2:EDR 顶尖厂商的说明
 
Gartner 2019年EDR上榜的10位厂商和产品分别是:
 
 
 
上榜两次的 VMware Carbon Black 是如何定义 EDR 的呢?
 
VMware Carbon Black 定义EDR核心方面包括:
 
● 全面统一的数据(能够帮助安全分析人员提供对应的数据,帮助他们调查和发现复杂的威胁,在威胁事件发生前发出警报。)
 
● 最大化的可见性(可以帮助安全分析人员了解全局的环境和数据,进行关联)
 
● 实时响应的能力
 
● 能够跟其他安全工具集成或联动
 
综上所述
 
对于勒索病毒的检测、漏洞的扫描和修复都属于传统终端安全产品的安全手段。EDR对于未知威胁的检测、终端全量数据的采集与记录、IOA规则匹配、安全事件的挖掘和关联、溯源、响应补救的能力都是传统安全产品所不具备的。
 
杀毒软件可以准确地抓取恶意代码,但是它不能追踪恶意软件来自哪里,以及攻击是如何在系统中传播的。EDR能够描述整个攻击过程,当一个恶意软件被杀毒软件或者桌管软件阻止,EDR可以提供分析的能力。因此,在进行终端安全防护的时候,到底要怎么选择?
 
 
褪去绯闻的EDR
 
在国内市场的发展又如何?
 
 
 
中国市场的 EDR 工具提供商大体分为三类:
 
● 以“杀毒”维度包装EDR产品,可以理解为本土化抢占EDR概念,快速推向市场的一个执行思路。然而,既然这类产品的核心是杀毒,在对未知威胁的检测和响应方面就显得能力不足。
 
● 以“主机 IDS” 维度的 EDR 产品,可以补充本土化 EDR 检测部分入侵威胁的能力,但EDR不应该是单纯的HIDS,尽管是EDR应该具备的能力,但并不应该是全部能力。
 
● 以“溯源”维度的 EDR 产品,与 Gartner 定义的 EDR 产品思路比较接近,在对威胁进行检测与响应的同时,提供较强的溯源能力,找到安全事件的发生源头,给整改提供有力的数据支撑。
 
 
 
看到此处
是不是get了辨别EDR的火眼金睛?
由于市场鱼目混珠
用户对EDR概念和用途并不了解
一不小心
就会购买到披着EDR 概念外壳的
 EPP、杀毒或者主机 IDS 产品
因此,读过本文后
一定要牢记在心
擦亮双眼哟~
 

扫二维码用手机看

这是描述信息

服务热线:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀区东北旺西路8号中关村软件园21号

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

版权所有:北京网御星云信息技术有限公司    京ICP备05080314号     

这是描述信息