被误解的EDR 端点安全怎样拨云见日
发布时间:2022-06-01 09:06:49 所属栏目:安全 来源:互联网
导读:无文件病毒、无文件挖矿、无文件勒索近年来,一种被称为无文件攻击的渗透形式与日俱增,它的流行给用户的网络安全带来了巨大威胁。面对这种披着合法外衣悄悄进行地攻击,许多端点防护平台(Endpoint Protection Platform,EPP)纷纷失效,这让更多信息安全管理
|
无文件病毒、无文件挖矿、无文件勒索……近年来,一种被称为无文件攻击的渗透形式与日俱增,它的流行给用户的网络安全带来了巨大威胁。面对这种"披着合法外衣"悄悄进行地攻击,许多端点防护平台(Endpoint Protection Platform,EPP)纷纷失效,这让更多信息安全管理者决定,在端点保护中融合检测和响应解决方案(EDR)。这会成为新的端点防护趋势吗? 网络攻击,由来已久,且总是带着一些铜臭的味道。当然,每个无底线的攻击者却有着一条铁定的契约,这就是《最小成本法则》。首先,网络攻击者无时无刻不在找寻渗透企业IT环境的途径,其中一个最容易的通道,就是利用终端上的漏洞,这是最具吸引力、成本最小、最柔软脆弱的目标。同时,网络罪犯会寻找阻力最小的途径实施攻击,而无文件攻击可以轻易绕过基于黑白名单和感染指标(IoC)的防病毒(AV)系统,这也正是越来越多的网络罪犯效仿它的原因所在。 作为反击,EDR (Endpoint Detection & Response )正式出场。顾名思义,EDR技术聚焦的是高级威胁的检测与响应,它填补了传统防病毒产品在高级威胁检测及响应方面的技术空白。从本质上来看,EDR技术通过对操作系统行为高清记录和长期存储,根据行为规则IOA和外部特征库IOC来对漏洞攻击和无文件攻击等高级威胁进行关联分级及检测,通过绘制进程事件树实现攻击可视化,对威胁的疑似主机进行远程遏制和修复。 一流的 EDR 系统不仅可以检测、分析和验证常见威胁,还需要对无文件攻击、零日威胁和APT攻击提供有效的溯源。比如,通过分析黑客进攻的时间、路径、工具等所有细节,其特征提取出来,自动上传并到 "沙箱" 的隔离测试区域 "引爆"、"验伤",然后再进行遏制、清除、恢复和优化等。因此,很多人认为,拥有如此强大的EDR,完全可以替代反毒软件(AV )。 事实上,这两种技术在保护你的网络方面有着不同的用途。AV专注于预防,被设计用来在"坏东西"进入你的网络之前捕捉它们,但是它对攻击期间发生的情况一无所知。所以,即使AV软件可以准确的抓住了恶意代码,也不能告诉它(他)们来自哪里,以及攻击是如何在系统中传播的。 而EDR 描述的是整个攻击过程,当一个攻击行为被AV阻止,或者针对无文件型的恶意软件、零日漏洞、APT高级持续性威胁防控失败的时候, EDR 会为你提供洞察能力。因此,在EPP和EDR的选择关口,并不是要做一道"二选一"的判断题,它是"全选题"。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号