下一代EDR应该叫做XDR
作者:星期五, 九月 21, 20180

终端检测与响应(EDR)近几年来一直是很有价值的技术,但其有限的视野也留下了很多盲点。如今,是时候进化到XDR了。

安全人员试图在终端和主机上查找可疑行为或可疑行为的踪迹时,终端检测与响应(EDR)是一项很有用的重要技术。网络安全自计算机诞生之初就相伴左右,但EDR领域却尚处于萌芽阶段,第一款解决方案甚至仅追溯到5年前。

EDR技术监视终端,并将数据存储到中央存储库中供分析,?#21592;?#26816;测威胁。通常,EDR解决方案会要在主机系?#25104;?#23433;装软件代理,提供监视和报告要用到的数据。

现如今,用户面对的威胁越来越多,EDR在高级防护?#20852;?#22788;的位置也越来越重要。事实上,一位?#30340;?#39030;尖渗透测试员就曾透露,他通常可以在1小时内通过攻击用户和终端而侵入被测公司企业。商业领域中Windows系统广为使用,但其很多内部功能都可被恶意黑客用于控制主机或渗漏数据。

虽然EDR很有价值,但其可见性却并不很大。该技术类似于从轮船舷窗往外看,只能看到一小截地平线,视野相当有限。想要确定天气如何,如果周边岛屿环绕或有过往船只遮挡,从舷窗是看不出什么的,只能走上舰桥以获得全面的视野。

传统EDR视野狭隘

传统EDR的焦点只放在终端上,所?#21592;?#39035;进化到囊括一系列数据集的XDR才能跟上时代的发展。除了终端,云、威胁情报、网络数据、日志信息,甚至社区数据都应包含进来。来自更多实?#20540;?#30340;更多数据源,可以令安全团队和技术产品更快发现更多威胁,然后?#21491;?#38459;止。

这有点像是在舰桥上就能一切尽入眼帘一样。不同的是,XDR纵观攻击的所有元素,而不仅仅是在一台终端上发现的?#20999;?/strong>。XDR增加了转译不同数据?#35789;?#25454;所需的分析,令安全分析师的调查工作更有效率。

XDR看到一切

因为XDR解决方案对实施点?#20852;?#20102;解,也就可以从包含终端在内的不同位面,更快地响应并封堵威胁。而若使用的是传统EDR,终端上检测出的信息或许能昭示数据泄露,但我们能所能知道的也就只有终端上发生的?#20999;?#20102;。该解决方案可以看到终端发生的?#24405;?#24182;转到其他终端?#21491;?#35780;估。但如果源是外部的,EDR就毫无帮助,因为终端看不到网络数据,终端数据揭示不了任何东西。

我们需要的是对威胁的网络部分以及攻击不同阶段间联系的可见性。比如说,昭示管理员凭证被黑客从服务器A盗取又用于渗透服务器B的?#20999;?#35777;据。

XDR可对威胁追踪溯源

采用XDR,系统可以更好地追踪恶意流量来源,重建攻击全貌。这可以帮助安全团队更好地理解发生了什么,确定攻击发生的位置,在最有可能的实施点?#21491;?#21709;应。若缺乏XDR,我们所能知道的就只是攻击发生了,在某台终端上。还是用舰船来打?#30830;健?#33337;底有积水,?#24471;?#33337;漏水了。你可以把积水拖干,但如果不知道渗漏的源头,问题还是无法得到解决。

EDR最令人诟病的一点,在于其很大程度上只关注检测,如果你不是专家,EDR对响应其实帮助不大。而XDR检测与响应并重。EDR其实可以写作EDr——小写r?#21592;?#36798;其对响应的忽略。XDR则是D与R都大写,对所有潜在数据源都是检测与响应两手抓,能让安全团队在对抗恶意黑客时占据更大的赢面。

EDR兴盛时期,它确实是安全人员的工作利器,因为可供看清终端上所发生的事情,而终端当时确实是最大的攻击点。如今,我们生活在万物互联的世界,EDR只有进化成XDR,才能让安全团队视野更广,工作更趁手。如果正在规划安全团队的时间和预算,何不跳出终端,放眼更广呢?

相关阅读

终端安全需要?#26696;?#25928;能”

EDR:终端发现的三大原则和挑战

怎样选择终端安全产品?#31354;?#26159;一份怀疑论者指南

 

分享:
0

相关文章

写一条评论

 

 

0条评论