已经部署端点检测和响应(EDR)解决方案的企业中,有超过四分之一(28%)能够在事件发生后短短几小时甚至立即检测到网络攻击。
这比整体结果要高,因为平均只有19%的企业会这样进行威胁响应。这是卡巴斯基IT安全风险调查的发现结果。
及时检测到网络事件对于减少网络攻击造成的损失至关重要。网络罪犯在企业网络中未被发现的时间越长,他们收集的数据就越多,就越能接近公司的关键资产。缩短威胁的“停留时间”,能够在造成实质性危害之前,让企业控制住网络攻击。
卡巴斯基在2019年委托进行的一项针对IT业务决策者的调查中,全球有2,961家公司被问及发现前一年遭遇的网络攻击花了多长时间。对给出的回答进行详细分析后显示,EDR的部署与威胁停留时间有很强的相关性。
在使用EDR的公司中,有28%表示他们只花费了数小时或者更短时间就发现了攻击。在这一组别的企业中,14% 几乎立即就检测到攻击,这比行业内平均9%的结果要高很多。与此同时,14%的企业在几个小时内就发现了网络事件,相比之下,整体受访者的比例为10%。只有8%的EDR用户表示,他们花了几个月的时间才发现自己受到了攻击。
但是,大多数受调查者估计,无论是否使用 EDR,检测通常都需要几天时间。
图1——检测出来网络攻击/事件需要多长时间?
“EDR在端点基础架构上提供了更高级别的发现能力和可见性,并促进了有效的根本原因分析、威胁追踪和快速的事件响应。与此同时,EDR 将分析人员在检测和响应——处理活动中可能面临的日常任务自动化。但是,正如统计数据所显示的那样,对有些受调查者来说,EDR 并不能帮助缩短攻击的“停留时间”。原因可能在于,对可疑活动的警报需要安全分析师进行调查并决定某项行动是否会造成危险。所以,在没有内部专业知识来处理复杂事件的公司中,使用功能丰富的专业解决方案可能无法取得预期的效果,”卡巴斯基高级产品营销经理 Yana Shevchenko 评论说。
卡巴斯基提供两种EDR级别的解决方案,以满足不同类型客户的需求。针对 IT 安全成熟的企业,卡巴斯基 EDR为IT安全专家提供高级威胁发现、由威胁情报和MITRE ATT&CK框架图谱驱动的深度调查能力、威胁追踪以及对多阶段复杂攻击的集中响应。卡巴斯基EDR Optimum为资源和网络安全专业知识有限的企业提供核心EDR功能--包括更好的端点可视性、简化的根本原因分析和自动响应选项。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球250,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
