端點檢測和響應 (EDR) 是一種端點安全解決方案，包括實時監(jiān)控和使用自動威脅響應機制收集端點安全數(shù)據(jù)。端點檢測和響應是 Gartner 提出的一個術語，用于描述一類新興的安全系統(tǒng)，用于檢測和調(diào)查主機和端點上的可疑活動，這可以通過利用通知安全團隊并實現(xiàn)快速響應的高度自動化來實現(xiàn)。

端點檢測和響應系統(tǒng)提供五個主要功能，它們是：

• 主動監(jiān)控端點并從可能表明存在威脅的活動中收集數(shù)據(jù)
• 對收集的數(shù)據(jù)進行分析，以識別任何已知的威脅模式
• 對所有已識別的威脅生成自動響應，以刪除或遏制它們
• 自動通知安全人員已檢測到威脅
• 利用分析和取證工具對可能導致其他可疑活動的已識別威脅進行研究

端點檢測和響應有什么好處？

端點檢測和響應系統(tǒng)已成為現(xiàn)代安全團隊的清單項目。EDR 以多種關鍵方式保護數(shù)字邊界免受已知和不斷演變的威脅和安全問題的影響。

首先，監(jiān)控數(shù)據(jù)的全面收集使 EDR 系統(tǒng)能夠編譯潛在攻擊的完整視圖。對所有端點（在線和離線）的持續(xù)監(jiān)控簡化了分析和事件響應。這可以進行深入的分析和洞察，使專業(yè)人員能夠了解組織網(wǎng)絡的異常和漏洞，從而更好地為未來的網(wǎng)絡犯罪事件做好準備。對每個端點威脅的檢測都超越了傳統(tǒng)的防病毒軟件，EDR 能夠?qū)Ω鞣N威脅提供實時響應，讓安全團隊能夠?qū)崟r可視化潛在的攻擊和威脅，即使它們正在演變。

這可以通過在發(fā)生嚴重損失或妥協(xié)之前在初始階段切斷攻擊來防止損失。實時響應還可以讓組織發(fā)現(xiàn)網(wǎng)絡上的可疑??或未經(jīng)授權的行為，在威脅影響運營之前找到威脅的根本原因。最后，EDR 系統(tǒng)可以與其他安全工具集成，使來自端點、網(wǎng)絡和 SIEM 的數(shù)據(jù)相互關聯(lián)，從而更深入地了解不良行為者試圖獲得未經(jīng)授權訪問數(shù)字資產(chǎn)的做法和技術。

為什么端點檢測和響應很重要？

威脅形勢不斷變化，新病毒、惡意軟件和其他網(wǎng)絡威脅每天都在出現(xiàn)。為了應對這種不斷演變的威脅，實時收集和檢測可能的異常變得越來越重要。越來越多的流動勞動力加劇了這些挑戰(zhàn)。當員工遠程連接時——Covid 大流行加速了這種情況，用于訪問組織數(shù)字資產(chǎn)的端點通常是員工所有的。 這些 BYOD 設備可能由員工的家人共享并在其共享的網(wǎng)絡上，因此可能在員工不知情的情況下感染惡意軟件。

通過采用 EDR，組織可以通過以下方式幫助緩解這些挑戰(zhàn)：

• 識別和阻止可能執(zhí)行惡意行為的可執(zhí)行文件
• 防止 USB 設備被用于未經(jīng)授權的數(shù)據(jù)訪問或下載機密或受保護的信息
• 阻止可能感染端點設備的無文件惡意軟件攻擊技術
• 控制腳本的執(zhí)行
• 防止惡意電子郵件有效負載引爆其附件
• 防止零日攻擊，并防止它們造成損害

EDR 還可以與第三方威脅情報服務合作，以提高其端點安全解決方案的有效性，因為它們的集體情報可以提高 EDR 識別零日攻擊和其他多層攻擊的能力。許多端點檢測和響應解決方案現(xiàn)在正在結(jié)合機器學習和人工智能 (ML/AI)，通過“學習”組織的基線行為并在檢測到攻擊時使用該信息來解釋結(jié)果，從而進一步自動化流程。

端點檢測和響應如何工作？

端點檢測和響應的工作原理是監(jiān)控網(wǎng)絡和端點上的流量，將可能與安全問題相關的信息收集到中央數(shù)據(jù)庫中以供以后分析，并促進對威脅事件的報告和調(diào)查。

并非所有 EDR 解決方案都是平等的——它們執(zhí)行的活動范圍可能因供應商而異。典型 EDR 解決方案的關鍵組件包括：

• 數(shù)據(jù)收集代理。這些代理安裝在端點上，監(jiān)控并收集正在運行的進程、與網(wǎng)絡和設備的連接、活動量和數(shù)據(jù)傳輸?shù)臄?shù)據(jù)
• 中央樞紐。 這個集成的中心收集、關聯(lián)和分析收集的端點數(shù)據(jù)。中央樞紐還協(xié)調(diào)對直接威脅的警報和響應
• 響應自動化。 EDR 系統(tǒng)利用規(guī)則（通常是預先配置的）識別收集的數(shù)據(jù)何時表明存在已知威脅并觸發(fā)自動響應，例如提醒安全人員或?qū)⒂脩糇N系統(tǒng)
• 取證和分析。 EDR 可以包括取證工具，以幫助根除威脅或執(zhí)行事后分析，實時分析有助于快速發(fā)現(xiàn)與現(xiàn)有預配置規(guī)則不匹配的威脅

EDR 和防病毒軟件之間的區(qū)別

EDR 解決方案可被視為傳統(tǒng)防病毒程序的超集，與較新的 EDR 解決方案相比，其范圍有限。這樣，防病毒軟件就成為了 EDR 解決方案的一部分。

防病毒執(zhí)行基本功能，例如掃描、檢測和刪除病毒，而 EDR 執(zhí)行許多其他功能。除了防病毒之外，EDR 還可能包含多種功能，包括監(jiān)控、白/黑名單等，所有這些都旨在針對已知和新出現(xiàn)的威脅提供更全面的保護。

由于數(shù)字網(wǎng)絡邊界已擴展到任何地方，傳統(tǒng)的防病毒軟件無法再保護用于訪問公司資源的所有各種設備。端點檢測和響應系統(tǒng)更適合防御高級網(wǎng)絡攻擊，而 EDR 自動響應有助于確保 IT 團隊不會因為試圖保護組織免受攻擊而超負荷工作。

由于威脅形勢的快速演變，這一點變得越來越重要。由于不良行為者正在改進他們的攻擊并利用高級威脅進入網(wǎng)絡，簡單的基于簽名的防病毒軟件無法及時檢測到零日或多層威脅，而 EDR 系統(tǒng)可以檢測到所有類型的端點威脅，提供對已識別的人的實時響應。