搜索
搜索

關于

/
/
抽絲剝繭 | 扒一扒“當紅炸子雞”EDR背后的真相~
全部分類

抽絲剝繭 | 扒一扒“當紅炸子雞”EDR背后的真相~

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2020-05-11 10:00
  • 訪問量:

【概要描述】

抽絲剝繭 | 扒一扒“當紅炸子雞”EDR背后的真相~

【概要描述】

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2020-05-11 10:00
  • 訪問量:
詳情
 
終端安全界的“當家花旦”
EDR
你了解多少?
小編今天就來抽絲剝繭
給大家扒一扒這個
當紅炸子雞~
 
 
 
ETDR(Endpoint Threat Detection and Response,端點威脅檢測和響應)于2013 年 7 月由Gartner 的 Anton Chuvakin 提出, 2015 年正式更名為 EDR,從此便火的一發不可收拾。近兩年,這把火燒也到了中國,各個網安廠商紛紛進場下注,推出各自的 “ EDR ” 產品,造成了市場魚龍混雜,產品良莠不齊。
 
為什么EDR會被市場選中
 
成為當紅炸子雞?!
 
[hold住] [hold住] [hold住] 
 
新型威脅層出不窮,
傳統防護手段束手無策
 
 
國家互聯網應急中心( CNCERT )發布的《2019年上半年我國互聯網網絡安全態勢》中數據表明,2019年上半年 CNCERT 新增捕獲的計算機惡意程序樣本數量約 3200 萬個,平均每日傳播次數高達 998 萬次,我國境內受計算機惡意程序攻擊的IP地址約 3762 萬個。
 
與此同時, 2019 年上半年國家信息安全漏洞共享平臺( CNVD )收錄的通用型安全漏洞數量中,“零日”漏洞收錄數量占比 43.3%,同比增長 34.0%。2019 年上半年檢測到的無文件攻擊事件約710733個,較2018年上半年增加了 265%??梢娀凇傲闳铡甭┒吹墓粜袨楹蜔o文件攻擊行為已經逐漸成為黑客主要的攻擊手段之一??上攵?,未來黑客攻擊將更迅速、更隱蔽,傳統基于特征值進行檢測的安全手段將無法滿足企業信息安全的需要。
 
 
EDR的出現
似乎成了新晉“救世主”
市場前景廣闊
 
根據“ 端點檢測和響應-全球市場展望(2017-2026)”報告,基于云和本地EDR解決方案將以每年 26% 的速度增長,到 2026 年其價值將達到 7.32626億美元。此外,根據 Zion Market Research 的《網絡安全市場中的人工智能(AI)報告》,到 2025 年,機器學習和人工智能的作用將創造 309 億美元的網絡安全市場。因此,EDR 既是響應安全威脅發展的必然產物,也是網安廠商新型安全能力的攻堅方向。
 
 
聊了這么久
EDR 到底是什么,還是不明白?
別著急,是網紅就會有緋聞
EDR也不例外~
 
● 緋聞1 :能夠檢測到勒索病毒,就是 EDR!
● 緋聞2: 能夠掃描和修復漏洞,就是 EDR!
● 緋聞3: 有了 EDR,就不需要殺毒產品了!
● 緋聞4: 有了 EDR,就不需要桌管產品了!
● ...
 
 
未見其人,先聞其聲
緋聞這么多
到底哪個才是真的?!
官方澄清到了
來人~
上干貨!
 
證據1:Gartner 官方定義 EDR
 
Gartner 將“端點檢測和響應解決方案市場”定義為“記錄和存儲端點系統級別的行為,使用各種數據分析技術來檢測可疑的系統行為,提供上下文信息,阻止惡意活動并提供補救建議以恢復受影響系統的解決方案” 。
 
簡單來說,EDR 解決方案必須提供以下主要功能:檢測安全事件,存儲端點處的事件,調查安全事件并提供補救指南。
 
Gartner認為,大多數的EDR解決方案應該具備以下功能:
 
● 具有檢測和阻止隱藏漏洞利用的進程(這種進程能夠逃避傳統AV檢測能力,不容易被簡單的簽名和特征檢測到。)
 
● 威脅情報
 
● 跨終端的可見性,以檢測惡意活動并簡化安全事件響應流程
 
● 警報的自動化以及防御性響應,例如在檢測到攻擊時關閉特定進程
 
● 取證功能,因為一旦攻擊者進入內部,就需要深入研究其活動的能力,以便能夠了解其活動軌跡并最大程度地減少破壞的影響
 
● 數據收集以建立用于分析的存儲庫
 
證據2:EDR 頂尖廠商的說明
 
Gartner 2019年EDR上榜的10位廠商和產品分別是:
 
 
 
上榜兩次的 VMware Carbon Black 是如何定義 EDR 的呢?
 
VMware Carbon Black 定義EDR核心方面包括:
 
● 全面統一的數據(能夠幫助安全分析人員提供對應的數據,幫助他們調查和發現復雜的威脅,在威脅事件發生前發出警報。)
 
● 最大化的可見性(可以幫助安全分析人員了解全局的環境和數據,進行關聯)
 
● 實時響應的能力
 
● 能夠跟其他安全工具集成或聯動
 
綜上所述
 
對于勒索病毒的檢測、漏洞的掃描和修復都屬于傳統終端安全產品的安全手段。EDR對于未知威脅的檢測、終端全量數據的采集與記錄、IOA規則匹配、安全事件的挖掘和關聯、溯源、響應補救的能力都是傳統安全產品所不具備的。
 
殺毒軟件可以準確地抓取惡意代碼,但是它不能追蹤惡意軟件來自哪里,以及攻擊是如何在系統中傳播的。EDR能夠描述整個攻擊過程,當一個惡意軟件被殺毒軟件或者桌管軟件阻止,EDR可以提供分析的能力。因此,在進行終端安全防護的時候,到底要怎么選擇?
 
 
褪去緋聞的EDR
 
在國內市場的發展又如何?
 
 
 
中國市場的 EDR 工具提供商大體分為三類:
 
● 以“殺毒”維度包裝EDR產品,可以理解為本土化搶占EDR概念,快速推向市場的一個執行思路。然而,既然這類產品的核心是殺毒,在對未知威脅的檢測和響應方面就顯得能力不足。
 
● 以“主機 IDS” 維度的 EDR 產品,可以補充本土化 EDR 檢測部分入侵威脅的能力,但EDR不應該是單純的HIDS,盡管是EDR應該具備的能力,但并不應該是全部能力。
 
● 以“溯源”維度的 EDR 產品,與 Gartner 定義的 EDR 產品思路比較接近,在對威脅進行檢測與響應的同時,提供較強的溯源能力,找到安全事件的發生源頭,給整改提供有力的數據支撐。
 
 
 
看到此處
是不是get了辨別EDR的火眼金睛?
由于市場魚目混珠
用戶對EDR概念和用途并不了解
一不小心
就會購買到披著EDR 概念外殼的
 EPP、殺毒或者主機 IDS 產品
因此,讀過本文后
一定要牢記在心
擦亮雙眼喲~
 

掃二維碼用手機看

這是描述信息

服務熱線:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀區東北旺西路8號中關村軟件園21號

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

版權所有:北京網御星云信息技術有限公司    京ICP備05080314號     

這是描述信息
永盛游戏官网