来自碳黑
一位客户(上海方面)最近向我们咨询了一个网络安全问题。
我们的客户是一家在日本和世界各地经营室内装饰材料的公司、
去年客户的新加坡分公司在前所未有的网络攻击中内部数据被加密(勒索软件)。黑客索要高额赎金进行勒索。
事件发生后,日本总公司立即要求各分公司尽快加强网络安全部署。
该项目详情如下。
1. 加强防火墙部署、UTF 更新和日志存储
2. 在所有分支办事处使用 EDR 软件主动进行病毒防护
3. 制定后备战略
随后介绍电子数据记录仪的功能。
↓↓↓
EDR最近已成为企业需要解决的基本安全解决方案之一。作为应对非恶意软件攻击和传统端点安全产品无法覆盖的未知恶意软件的一种对策,它正日益受到关注。那么,EDR 与传统的端点安全反病毒产品有哪些区别呢?本期 EZ-net 将介绍 EDR 的具体功能。
EDR指
EDR 是 “端点检测和响应 “的缩写,是一种安全解决方案,可帮助检测端点终端的威胁,并在事件发生时做出响应。作为一种相对较新的安全解决方案,它的出现是为了应对未知恶意软件和非恶意软件攻击等传统反病毒产品基于签名匹配恶意软件检测技术无法覆盖的高级威胁。
EDR 是一种加强对这些端点监控的解决方案,能够检测网络攻击并立即采取恢复行动。与传统的反病毒产品和外围防御安全解决方案不同,EDR 的目的是通过在早期阶段检测和应对威胁,而不是阻止威胁进入系统,从而将损失降到最低。
电子数据记录程序的基础知识及其工作原理
虽然互联网在许多情况下都变得越来越方便,但互联网特有的安全风险也变得显而易见,例如计算机病毒(恶意软件)以及可以劫持和冒充用户的网络攻击。因此,安全措施必不可少。
如今,EDR 已成为企业在考虑安全措施时必须采用的一项基本安全措施。本节将以通俗易懂的方式介绍 EDR 的基本知识及其工作原理。
与反病毒软件的区别
下表总结了 “端点检测和响应 (EDR) “与 “反病毒 “之间的区别。
很明显,电子数据存贮器和杀毒软件不仅在工作方式上不同,而且从一开始就是两种作用截然相反的产品。
传统的反病毒产品不能发挥作用吗?
到目前为止,我们已经详细解释了 EDR 的工作原理。但是,已经采取了严格保安措施的公司官员可能会问,是否真的有必要使用 EDR,或者他们一直使用的保安产品(防病毒产品)是否足够。
下文将介绍传统反病毒产品存在的问题以及 EDR 如何解决这些问题。
传统反病毒产品的特点是基于签名匹配的恶意软件检测。因此,它们可以拒绝已被识别且其信息已被共享的恶意软件,但对没有可用信息的未知恶意软件却无能为力。
此外,考虑到未知恶意软件的感染情况,除非更新用于检测恶意软件的签名,否则恶意软件一直不会被检测到,因此破坏会迅速蔓延。如果任其发展,一个端点上的恶意软件感染可能会扩散到公司的所有端点。由于新的恶意软件层出不穷,签名创建跟不上步伐,”预防网络攻击 “的想法已经达到极限。
EDR 现已成为主流,可提供一系列功能,支持快速检测活动威胁和随后的事件响应。这使管理员能够利用 EDR 快速检测和遏制威胁,并确定影响范围和根本原因。
不过,需要注意的是,EDR 是一种在入侵后检测威胁并支持响应的工具,并不具备威胁防御功能;通过与除 EDR 之外还具有更强防御功能的终端应对措施结合使用,可以减少需要响应的事件数量。最近,还出现了通过将传统防病毒产品的功能与 α 功能相结合来提供更强保护的下一代防病毒产品,建议与这些产品结合使用,或引进具有这两种功能的产品。
近年来,由于新型冠状病毒的影响,远程工作也变得越来越普遍。与办公室工作相比,远程工作需要更加重视安全措施,因为员工使用的是办公室以外的网络。EDR 对于保护每一个终端也非常重要。
此外,日本信息技术振兴机构(IPA)在其《网络安全管理指南 2.0 版实践集》中建议引入 EDR,作为事后应对的准备工作之一。何不借此机会考虑引入 EDR?
传统的反病毒产品也将继续有效地打击已知危害,即已创建签名的已知恶意软件。然而,特征码的创建并没有跟上步伐,越来越多的非恶意软件攻击无法被基于特征码匹配的检测方法检测到。为了保护公司的宝贵资产免受网络攻击(未来可能会进一步发展),必须引入专门防止破坏蔓延的 EDR。
EDR 的实施效果。
本节介绍电子数据记录仪的实施效果。
1. 感染恶意软件后可采取的措施等。
即使感染了未知的恶意软件,EDR 也能让您放心地采取行动。EDR 可在早期阶段自动检测潜伏的恶意软件和其他威胁,以便迅速采取应对措施。
2. 最大限度地减少和预防网络攻击造成的损害。
EDR 可将服务器攻击造成的损失降至最低。当检测到终端(如个人电脑)受到网络攻击时,网络会立即关闭。通过隔离受恶意软件感染的终端,不仅可以防止破坏蔓延,还能有效防止二次破坏。
3. 可以确定恶意软件和其他入侵途径及破坏程度。
电子数据记录仪有助于直观了解损害情况,因为它可以识别恶意软件的进入路径和损害程度。情况一目了然,从而可以采取适当的行动。揭示的网络攻击原因可作为实施新安全措施的信息。
4. 能够查明事件原因
电子数据记录有助于澄清网络攻击的原因,这也有助于在事件发生时澄清事件的原因。在事件发生时,不仅可以快速处理利益相关者,还可以适当解释道歉和事件应对措施。
电子数据记录仪的功能
EDR 的基本功能是监控设备运行日志。在目标设备上部署一个称为代理或传感器的应用程序。代理与云中的管理服务器通信,实时监控设备状态。
通过监控日志,可以发现恶意软件与 C&C 服务器之间的通信、攻击的横向部署和信息删除等行为。实时监控还能更容易地应对恶意软件足迹的消除,并阻止快速的横向部署。
除 EDR 外,还有一些解决方案包括由被称为安全运营中心 (SOC) 的专家团队进行响应,SOC 负责在 EDR 检测到异常情况后对其进行分析和处理。
引入电子数据记录仪的要点
EDR 操作面临的挑战是在警报发生时难以做出响应。判断警报是误报还是严重事件需要有关攻击的知识和经验以及技术技能。不过,这些挑战可以通过从具有 EDR 操作专业知识的运营商处引入 EDR 来解决。即使您已经引入了 EDR,也可以只申请 EDR 操作服务。
事实上,解决方案制造商的销售宣传大同小异。不同产品的功能差异很大。
您到底应该根据什么做出决定? 在 EZ-net,我们认为在操作 EDR 时有两个要点需要考虑。
<”发生突发事件时的问责制
为了确保事故责任,有必要了解事故原因、承保范围和其他细节。
一个关键的选择点是,产品应 “能够调查相当于取证的情况”。
<选择点 2>”记录所有移动痕迹”。
电子数据记录仪产品有两种记录方式:持续记录和事件记录。
对于只记录事件的 EDR 产品来说,只有在检测到恶意软件时才会保留记录,即使事后尝试调查,也没有恶意通信的记录,因此无法调查感染途径。
一个重要的选择要点是,产品应是 “始终在线型,所有移动痕迹都会被记录”。
EDR 诞生的背景
电子数据记录程序的一个主要特点是,它提供的安全措施与传统的 “防止威胁进入 “理念不同,电子数据记录程序是随着计算机病毒和网络攻击造成的破坏日益严重而诞生的。
据说,计算机病毒产生于 20 世纪 90 年代。最初,它们并没有那么恶意,只是一些旨在给朋友带来惊喜的程序,但很快就被滥用来造成危害,如损坏硬件或窃取重要信息。
2000 年代,针对企业关键数据、个人数据和信用卡信息的网络攻击越来越频繁。
反病毒产品由此诞生。反病毒产品对计算机病毒进行分析,了解病毒的攻击模式,提前发现病毒并进行处理。因此,要实施反病毒措施,必须清楚目标病毒的详细信息。这意味着在分析完成之前,无法对未知病毒采取任何行动。反病毒产品供应商通过不断分析和更新其产品来应对各种计算机病毒。与此同时,网络犯罪分子也在不断创造新型攻击方法,因此两者之间一直存在着猫腻。
2013 年,一种新的安全解决方案思维方式诞生了:第一家倡导 EDR 并推出 EDR 产品的公司是 Carbon Black。(现已被 VMware 收购)。EDR 是一种用于检测和预防端点可疑活动的技术。通过不断检查端点上的可疑活动,现在可以应对传统安全软件无法应对的未知病毒。它的特点是专注于尽快发现和应对内部威胁,假定所有网络攻击都很难 100% 预防,因为攻击者会不断创造新的攻击方法。
摘要
端点检测和响应 (EDR) 与反病毒之间的区别已经说明。
如果您对 EDR 感兴趣,请联系 EZ-net。
查看以前的文章。
