為什麽資安團隊需要EDR端點偵測及回應?
整體而言,當前安全領導廠商的端點保護解決方案已經非常出色。與過去相比,現代的端點保護工具可以比以往阻止更多的惡意軟體和更多類型的威脅。安全領導廠商已經結合了人工智能(AI)、機器學習(ML)和自適應啟發式技術,遠遠超出了靜態且易於繞過的“病毒特徵比對”防護。
現在,預執行前偵測、執行時阻止、執行後終止是頂級端點保護產品的必備功能。總體來說,誤報更少,偵測更快更精準,能對偵測的內容和原因進行更好的解釋。
但是,每個安全領導者都應牢記,端點保護有其不足之處。當規劃網路安全戰略時,您應該詳細了解。
端點保護的不足之處
在每次攻擊開始之前,偵測和阻止攻擊,查殺所有病毒是任何安全團隊都希望達到的理想狀態,但是回顧歷史,證明這是一個遙不可及的目標。防護率從未達到100%,“完美的安全”永遠無法實現。
無檔案攻擊和瀏覽器攻擊不會在硬碟中存儲任何文件,許多高級的、多階段、多向量攻擊只會以某種方式展開,看起來像正常的行為,從而使偵測它們變得異常困難,甚至無法阻止。其中許多攻擊只能在進行中或事後偵測。
具體來說,端點保護的不足之處包括:
- 偵測的太少,太遲了:端點保護可能會進行偵測,但僅在惡意軟體已經部分或全部成功到達電腦時,才偵測,且只告訴你已經阻止,要不就是沒有偵測到任何威脅、攻擊成功、電腦失陷、威脅運行。
- 丟失資安事件關聯的線索:端點保護可能會生成許多警報,但是每個警報都是獨立的,沒有關聯。分析師看不到完整的事件或相關事件鏈。
- 被綁架勒索了,該怎麽辦?惡意軟體可能已被端點保護阻止,但分析人員不知道該漏洞的嚴重程度,它是否存在於其他電腦上,或者是否需要清除其他任何內容。
為什麽需要在防護堆疊中使用EDR
消除關鍵的安全漏洞
端點保護對於合規性以及消除外部惡意軟體和常見威脅是必需的,但對於防禦進階、複雜或針對性的攻擊,還遠遠不夠。如果您擁有重要的知識產權、個人身份資訊PII/個人健康資訊PHI、客戶或財務數據,那麽EDR不再是奢侈的東西,現在已成為必需品。
對進階威脅(APT)的防護不足
端點保護通常無法提供針對進階威脅的足夠防護。複雜的攻擊通常使用正常的行為,例如:打開文檔、建立遠端連接、從Internet下載資源等,但隨後才表現出可疑或惡意行為。
缺乏警報分類和回應功能
端點保護會生成許多警報,但看不到攻擊的所有元素。儘管每個警報都代表端點保護阻止了威脅,但是安全團隊可能需要採取後續措施,進行調查和採取糾正操作,而不是僅僅刪除發現的惡意檔案。如果你使用端點保護方案,你從哪裡開始著手?
發現漏洞後修補緩慢
端點保護提供很少的攻擊預警訊號,幾乎沒有有關威脅評估的詳細資訊。用戶可能會注意到電腦的行為異常,或者網路工程師可能會看到異常的流量模式或數據高峰,但是沒有提供有關因果關係的詳細資訊。
無法識別根本原因並防止攻擊再次發生
好的,您的端點保護解決方案已經阻止了惡意軟體。但是,還不是慶祝的時候。您是否可以確定整個攻擊是被阻止的還是僅某些攻擊被阻止了?其餘的攻擊是否逃避了偵測並攻擊成功了?攻擊的入口點是什麽?它從哪里來的?我們如何關閉那條攻擊鏈路,使攻擊不再發生?
無法了解攻擊者使用的MITRE ATT&CK TTP/入侵指標IOC
這是一次性事件還是在企業中的許多受害機器上都有這樣的事件,會不會是系統性事件?是否已經多次發生相同或相似的攻擊?攻擊是否仍在組織中的其他電腦上進行?您能否在整個系統範圍內使用入侵指標進行搜索?
有沒有關於主動改善安全狀況的建議?您如何改善安全狀況並加強防護,以防止將來被入侵?您是否可以識別會給您的組織帶來風險的操作系統配置錯誤、應用程式漏洞和人為風險因素?一旦確定,您是否可以根據改進指標來衡量和修正?
EDR 商業驅動
以下是需要在您的端點防禦系統中添加EDR的主要商業驅動因素:
- 無法確保100%防護高級入侵,以防止入侵者潛伏在您的系統中
- 一旦發現潛在的入侵指標,您無法終止可疑活動或隔離受感染的機器
- 缺乏可操作的情資來採取行動,也沒有循序漸進的建議來指導如何處理已識別的入侵行為
- 缺乏集中的威脅數據庫,無法跨系統進行協調的攻擊分析和補救措施
- 無法掌握基礎架構面臨的系統漏洞風險,也不知道如何主動改善與修補
EDR 產品類型
端點偵測和回應提供單獨的價值,並具有自己的優點,與端點保護相輔相成。將這兩種解決方案串聯起來防護,可以防範規避防禦的的最複雜攻擊。Bitdefender提供了豐富的EDR安全產品套裝:
- 端點保護EPP集成EDR,UltraSecurity旗艦版
- 獨立的EDR套裝,輕量級的解決方案,可與任何第三方端點保護解決方案兼容
- XDR,Ultra +網路流量安全分析
- MDR,外包式網路安全營運。MDR服務包含XDR,和Bitdefender安全分析師提供的7*24專業服務,持續監控網路的安全狀態,主動獵殺網路威脅。
您如何評價您的端點保護工具?
所有端點保護解決方案都各有利弊,需要權衡利弊。哪個陳述最能描述您的端點保護狀況?
- 我對我的端點保護解決方案感到滿意,但是我意識到它在調查和修復方面的局限性
- 我對當前的端點保護解決方案不滿意,但是我現有的合約服務仍未到期
- 當前的端點保護解決方案很糟糕,需要立即替換
如果您符合上述三種陳述,我們建議您立即導入BitdefenderEDR,它帶來了前所未有的安全能力,而且比您想象的更簡單,更能發揮導入效益。
獨立的EDR
在以下情況下,安全領導者可能會認為獨立EDR是端點保護的重要補充:
- 安全分析師缺乏對端點和網路上可疑和惡意行為的了解
- 現有的端點保護解決方案缺少EDR、XDR或MDR
- 需要與現有端點保護解決方案兼容,需要事件偵測和報告功能
- 尋求具有輕量級代理且易於部署和管理的事件回應平台
- 希望簡化安全工作流程,以進行威脅取證和端點補救
Bitdefender EDR
攻擊者及其相關戰術、技術及流程TTP可視性
Bitdefender EDR提供了進階攻擊偵測及回應功能。傳統端點保護產品缺乏TPP的可視性。無法主動採取特定的補救措施,也沒有整合應對這些攻擊所需的工具。
MITRE ATT&CK 技術
MITRE ATT&CK是全球安全行業的標準,Bitdefender EDR整合了MITREATT&CK技術,可查看針對攻擊的每個階段所偵測到的事件和單一警報,包括:執行、持久化、提權、防禦逃避、訪問憑證、發現、橫向移動、收集、命令和控制,以及數據洩漏。當EDR與MITER ATT&CK技術的結合使用時,您就可以清楚地看到完整的攻擊畫面,並了解覆蓋範圍的“空白”區域。
IOC/IOA搜索和關聯
您通過什麽樣的跡象來查看機器是否受到攻擊或感染?安全團隊可以在EDR平台中查詢整個組織中的各個攻擊指標(IOA)和危害指標(IOC),以搜索受感染的電腦,這些電腦可能不會向其用戶或安全管理員生成任何被入侵的外部證據。
根本原因分析和完整攻擊可視性
從初始電子郵件攻擊媒介到第一個客戶端感染、提權、發現、橫向移動、數據收集和洩漏的完整逐一動作的播放。
防止再次被入侵
檢查成功攻擊(和部分成功)的攻擊路徑,並強調攻擊路徑,你可以快速關閉這些入口和訪問點,以便將來再次發生相同或相似的攻擊。
一鍵解決警報分類和優先級
EDR可幫助安全團隊快速識別事件並確定優先級,以進行操作和補救,通常採用一鍵操作來結束可疑程序、隔離惡意文件、將攻擊者域名列入黑名單等。
減輕營運負擔
Bitdefender EDR,易於部署、易於使用,無需專業的安全技能,也能輕鬆掌握,並且佔用系統資源極低,大大減輕了客戶的營運負擔。該產品靈活、可擴展、可滿足各種不同類型客戶的安全需求,例如獨立的EDR、端點保護整合EDR, XDR,MDR等。
縮小網路安全技能差距
通過易於遵循的內建工作流程來幫助組織彌補網路安全技能的鴻溝,高效的安全回應能阻止持續的攻擊並清除已造成的任何損害。威脅朔源與攻擊根本原因分析,最大程度地提高了客戶的回應能力。
管理和降低組織風險
Bitdefender EDR技術還可以幫助客戶評估並最大程度地降低總體組織風險(特別是在系統配置錯誤、操作系統漏洞、應用程式漏洞和人為風險等方面),從而向安全團隊準確顯示出現風險的位置,並為快速緩解這些風險確定必要的任務優先級。
