了解端点检测与响应

EDR 的含义和定义

端点检测与响应 (EDR) 是指一类对计算机工作站和其他端点上与威胁相关的信息进行持续监控的工具。EDR 的目标是实时识别安全漏洞，并对潜在威胁做出快速响应。端点检测与响应，有时称为端点威胁检测与响应 (ETDR)，描述的是一组工具的功能，具体功能可能因实施方式而异。

2013 年，Gartner 首次提出了这个概念，用于强调当时出现的一种新的网络安全软件类别。

EDR 是如何运作的？

EDR 侧重于端点。端点可以是网络中的任何计算机系统，例如最终用户工作站或服务器。EDR 安全解决方案提供实时可见性、主动检测和响应。这些解决方案通过多种方法保护端点的安全，其中包括：

收集端点数据：

这里指的是端点层面生成的数据，包括通信、进程执行和用户登录。这些数据会进行匿名处理。

将数据发送到 EDR 平台：

然后，匿名数据从所有端点发送到中央位置，这个中央位置通常是云端的 EDR 平台。根据组织的具体需求，该平台还可以在本地或采用混合云的方式来运行。

分析数据：

解决方案利用机器学习来分析数据并执行行为分析。经过分析得出的洞察用于建立衡量正常活动的标准，并以此为依据来识别代表可疑活动的异常。一些 EDR 解决方案还提供威胁情报，利用现实世界的网络攻击示例来提供背景信息。该技术将网络和端点活动与这些示例进行比较，从而检测出攻击行为。

标记可疑活动并做出响应：

该解决方案会标记可疑活动并向安全团队和相关人员发送警报。它还会根据预定触发条件来启动自动响应。例如，可能会将端点暂时隔离起来，以防止恶意软件在网络中传播。

保留数据以供日后使用：

EDR 解决方案会将数据保留，以用于支持日后的调查和主动威胁搜寻。分析人员和工具使用这些数据来调查现有的长期攻击或之前未发现的攻击。

EDR 正在日益普及——部分原因在于连接到网络的端点数量在增加，还有就是网络攻击变得越来越复杂，而且网络攻击通常将端点作为重点目标以降低入侵网络的难度。

EDR 解决方案中应关注的方面

EDR 功能因供应商而异，因此在为您的组织挑选 EDR 解决方案之前，必须先调查任何拟设系统提供的功能，以及其与现有整体安全功能的集成程度。一款理想的 EDR 解决方案应该能够提供最高级别的保护，同时只需要投入最少的精力和资金，从而在不占用大量资源的情况下为您的安全团队创造更大价值。以下是一些需要注意的关键属性：

端点可见性：

要确保所有端点可见，这样您就可以实时查看潜在威胁，从而立即阻止这些威胁。

威胁数据库：

有效的 EDR 解决方案需要从端点收集大量数据，并利用背景信息来丰富这些数据，以便能够通过分析识别出攻击迹象。

行为保护：

EDR 要提供查找攻击指标 (IOA) 的行为方法，并在发生漏洞之前提醒相关人员系统中存在可疑活动。

洞察和情报：

集成威胁情报的 EDR 解决方案可以提供背景信息，例如有关可疑攻击者的信息或有关攻击的其他细节。

快速响应：

能够对事件做出快速响应的 EDR 可以在攻击造成漏洞之前阻止攻击，确保您的组织能够继续正常运营。

基于云的解决方案：

基于云的端点检测与响应解决方案确保对端点不会造成任何影响，同时确保搜索、分析和调查功能可以准确实时地持续发挥作用。

EDR 系统的具体细节和功能可能因实施方式而异。您可以通过以下方式来实施 EDR：

• 将其作为一款专用工具；
• 将其作为更广泛的安全监控工具的一个小组件；或
• 与其他各类工具结合使用。

随着攻击者不断改进他们的攻击方法，传统的保护系统可能会失效。网络安全专家认为 EDR 是一种高级威胁保护方法。

为什么 EDR 对企业至关重要

大多数组织都有可能遭受各种网络攻击。这些攻击包括简单的机会主义攻击，比如恶意攻击者发送带有已知勒索软件的电子邮件附件，也包括更高级的攻击，比如恶意攻击者可能会利用已知的漏洞或攻击方法，并试图使用规避技术（如在内存中运行恶意软件）来隐藏攻击。

因此，端点安全是组织网络安全战略的一个重要方面。虽然基于网络的防御可以有效阻止很大比例的网络攻击，但有些攻击会偷偷侵入系统，还有些攻击（如可移动介质携带的恶意软件）可以完全绕过这些防御。基于端点的防御解决方案能让组织提升安全防御能力，并提高识别和应对这些威胁的成功率。

随着世界各地的组织越来越多地转向远程办公，强大的端点保护也变得更加重要。在家办公的员工可能无法获得像办公室人员一样的网络威胁防护水平，并且其个人设备可能没有安装最新更新和安全补丁。此外，远程办公人员对其网络安全可能不像对传统办公环境那么警惕。

这样一来，组织及其员工便面临更大的网络安全风险。强大的端点安全解决方案至关重要，因为它可以保护员工免受威胁，并且可以防止犯罪分子使用远程办公人员的计算机来攻击组织的网络。

漏洞一旦形成再进行补救可能既麻烦，成本又高，也许这就是需要 EDR 的最大原因。如果没有 EDR 解决方案，组织可能要花费数周时间来决定采取什么行动。通常，他们唯一的解决方案就是对机器进行镜像重置，这可能会对业务的运转造成极大干扰，降低生产力并导致财务损失。

EDR 与反病毒的对比

尽管 EDR 可能具有反病毒功能或使用反病毒产品的数据，但它并不是反病毒软件。反病毒软件负责防范已知的网络威胁，而 EDR 解决方案可以识别正在运行的新漏洞，并检测攻击者在活动事件期间的可疑活动。也就是说，EDR 软件属于最新一代的网络安全产品。

EDR 最佳实践

在组织中实施 EDR 时，您需要综合考量各种最佳实践：

切勿忽视用户

用户是任何系统面临的最大风险之一，因为用户一旦出现不良意图或人为错误，就可能造成损害。您要对用户进行有关网络威胁和风险行为的知识宣传，以提高他们的安全意识，并尽量避免网络钓鱼或社会工程等手段带来的损失。定期培训或模拟威胁场景将提高用户对网络安全问题的认识，并在事件发生时加快响应速度。

如果 EDR 解决方案干扰到用户体验，一些用户可能会想办法变通，比如可能禁用防御功能以改善他们的体验。然而，如果解决方案对用户的请求过于“言听计从”，很有可能容易被攻击者操纵。EDR 解决方案可以对最终用户尽可能做到透明，确保用户了解这些解决方案的重要性。当需要用户交互时，通信应清晰直接。系统不应泄露不必要的系统信息，如个人数据或 IP 架构。

与其他工具集成

EDR 解决方案旨在保护端点，但不能为组织内的所有数字资产提供全面的安全保护。EDR 应作为整体信息安全策略的一个方面，与其他工具同时使用，如反病毒、补丁管理、防火墙、加密和 DNS 保护。

使用网络分段

虽然某些 EDR 解决方案在应对威胁时会将端点隔离，但这种做法不能取代网络分段。例如：

• 分段网络能够将端点限制到特定服务和数据存储库。这可以大大降低数据丢失的风险和攻击得逞可能造成的损害程度。
• Ethernet Switch Paths (ESP) 可为您的网络加筑安全防线。ESP 可以隐藏网络结构，确保攻击者无法轻易在网络分段之间移动。

采取预防措施

只对威胁做出主动响应是不够的，而是应该将主动响应与预防措施结合起来。借助全面的协议和依赖性列表确保系统保持最新状态并安装了补丁，从而减少需要防范的威胁数量。

定期审计系统，检查工具和协议已正确配置和应用。通过连续进行威胁建模和渗透测试，对系统和工具功能进行检验。

理想情况是，您的组织已经制定了全面的事件响应计划，规定在发生攻击时，由谁负责做出响应以及如何进行响应。制定这类计划将让您有更充裕的时间来对事件做出响应，并为您提供了数据分析结构，帮助您在事件发生后分析任何收集到的数据。

使用可用资源

如果您正在使用第三方工具，请充分利用 EDR 供应商提供的任何教育资源。许多供应商提供培训或网络研讨会，以便让客户了解最新功能和最佳实践。一些公司还提供有关各种安全主题的短期课程，收费很低或者免费。

您可以通过基于社区的资源和信息共享与分析组织 (ISAO) 来查找有用的工具和资源。一些知名社区组织在网站上提供有用的网络安全数据和见解，包括国家漏洞数据库 (NVD) 和开放式 Web 应用程序安全项目 (OWASP)。

EDR 与 XDR 的对比

传统 EDR 工具只关注端点数据，提供有关可疑威胁的信息。随着安全团队面临的挑战不断变化，如事件过多、工具的应对领域过于片面、缺乏集成、技能不足和时间太少，EDR 解决方案也在不断发展。

XDR，即扩展检测与响应，是新近出现的一种端点威胁检测与响应方法。“X”表示“扩展”，代表任何数据源（例如网络、云端、第三方和端点数据），突破了利用孤立的工具进行威胁调查的局限性。XDR 系统将分析、启发式分析和自动化等技术结合在一起，通过这些来源生成见解，安全防御能力相比孤立的安全工具得到了更大提升。使用 XDR 系统，您可以简化跨安全运营的调查，并减少发现、调查和应对威胁所需的时间。

相关产品：

• 卡巴斯基端点检测与响应 – 专家版
• 卡巴斯基端点检测与响应 – 优选版
• 卡巴斯基网络安全解决方案

延伸阅读：

• 什么是端点安全？
• 零信任概念如何大规模提升网络安全
• 什么是数据盗窃以及如何防范
• 如何在商业和个人使用融合的情况下在线保护您的隐私