网络犯罪已实现工业化。且该行业正在蓬勃发展。如今,恶意软件像其他任何产品一样被批量生产、营销并在线销售——即买即用,非针对性,且价格比以往任何时候都更实惠。这才仅仅是开始。零日漏洞、先进持续性威胁(APTs)、恶意软件即服务、暗网市场及本地工具攻击正进一步提升风险。
问题已不再是您的企业是否需要全面的网络安全策略,而是您的现有策略是否足够。现实是,没有任何端点安全工具能够阻止100%的威胁。即使是检测准确率高达99%的最先进下一代杀毒软件,也只是关键的第一道防线,但阻止攻击进入与检测并消除已进入的攻击是完全不同的。那漏掉的1%正是 端点检测与响应(EDR) 专门为解决此问题而设计的。
什么是端点检测与响应?
端点检测与响应(EDR)是一种端点安全解决方案,持续监控并审计端点活动,利用行为分析和高级数据分析实时发现可疑活动。一旦发现威胁,就会产生无尽的问题,因为你无法解决不理解的问题。这是什么?它是如何进入的?何时发生的?传播范围多广?但检测只是故事的一半。威胁确认后,EDR会迅速行动,限制、消除威胁,并将端点恢复到攻击前状态。
EDR如何工作?
EDR基于一个核心原则:假设被攻破思维。不是如果威胁进入,而是何时进入。
EDR实时持续监控端点,提醒安全团队潜在威胁,并使其能快速响应。它基于三个基本支柱:检测、调查和响应。
全面威胁覆盖
实时威胁检测
简单来说,检测就是意识。对端点上每一个动作、每一个进程和每一个事件的实时感知。EDR不孤立地看待事件——它将它们连接起来,构建事件序列,揭示整体情况,并在恶意行为有扩散风险前发现它。
- 实时端点可视化
EDR监控并记录组织多个维度的活动数据:用户、端点、文件、进程和网络。利用行为分析、攻击指标(IoAs)、妥协指标(IoCs)和MITRE ATT&CK框架,持续分析端点活动,区分正常行为和可疑活动,以及实时识别威胁。
- 可搜索的端点数据
Endpoint Central EDR保留30天的端点活动,为您的安全团队提供追溯威胁起源所需的历史背景。借助Zia AI驱动的事件搜索,您可以使用自然语言寻找威胁。自定义IoA规则功能更进一步,允许您定义特定可疑行为,并使用灵活的基于查询的条件触发警报。
- 威胁情报集成
掌握最新战术、技术和程序(TTPs)对有效发现威胁至关重要。Endpoint Central EDR内置威胁情报数据库,随着威胁态势的发展实时更新您的防御。为扩大覆盖,它还支持第三方威胁情报集成,可引入外部IoC源。
AI驱动的威胁调查
每一项可疑活动都会被标记为警报。若只有少量端点,手动筛查警报虽耗时但可行。想象一个拥有数千端点的企业——警报量会令人不堪重负,进而导致警报疲劳,而警报疲劳会导致攻击被漏报,尤其是被大量低优先级通知掩埋的时效性攻击。
解决方案不言自明:优先级排序的老方法。Endpoint Central EDR利用Zia AI对所有警报进行分诊和排序,基于严重性、潜在风险及时间敏感性优先处理。最重要、需要您关注的警报会在恰当时机被突出显示。
Zia AI更进一步,从入侵初始点到影响最远点重构完整攻击时间线。它识别根本原因,映射当前进展,并为您的安全团队提供制定下一步正确决策所需的一切信息:严重度、真正阳性确认、威胁摘要和推荐的修复措施。
限制和响应
检测告诉你威胁存在。调查告诉你它是什么。响应决定它对你的代价。响应的速度与效果是定义威胁对企业影响的唯一因素。
- 网络隔离
一旦发现被感染端点,关键是隔离它们,防止威胁扩散到网络其他部分。Endpoint Central EDR自动隔离受影响端点,切断攻击者横向移动能力,限制威胁进一步扩散。
- 消除攻击
大多数攻击共有一点:恶意文件在后台静默运行。Endpoint Central EDR彻底移除受影响端点上的恶意文件,从源头消除威胁,防止重复执行。
- 数据恢复
若发生勒索软件攻击或数据敲诈,攻击者可能要求支付赎金换取企业数据。Endpoint Central EDR提供一键恢复企业数据功能,助您重新掌控数据,而无需屈服于攻击者的要求。
为什么选择Endpoint Central EDR
威胁层出不穷,问题是您的安全策略是否能够处理所有威胁,而不仅仅是大部分威胁。
大多数EDR解决方案仅检测威胁并提供信息,Endpoint Central EDR则直接提供解决方案。发现追溯到未打补丁的漏洞?Endpoint Central会识别并提供补丁,协助您部署。攻击通过未授权USB设备进入?被阻止。这就是独立EDR工具和结合端点管理增强的端点安全之间的区别。
“我们不仅获得了端点的威胁情报,还从现有的MDM服务商迁移到一个解决方案。管理约10,000个端点变得轻而易举。”
信息安全主管,
评测由Gartner Peer Insights收集并托管。