EDR(Endpoint Detection and Response)终端检测和响应解决方案最早由 Gartner在2013年提出,并在近几年飞速发展,成为了国际国内市场最炙手可热的信息安全名词。随着勒索软件和APT的常态化,EDR技术俨然成为保护终端的最有力武器。代表性厂商Crowdstike上市短短2年时间便成为全球市值第一的安全公司,这也充分证明了目前的市场热度。
一时间,各种宇宙大厂们纷纷通过收购或自研的方式进行市场布局以及推广,仿佛没有EDR解决方案就配不上大厂的偶像地位,出门都不好意思打招呼😅
2021 MITRE Engenuity Participants
2021年 安全牛第八版中国网络安全行业全景图—计算环境安全
然后便是先有鸡还是先有蛋的灵魂话题。是甲方真实需求刺激了乙方推广,还是厂商不断造势推动了甲方需求?在双方摩拳擦掌、甚嚣尘上之际,不妨来看看下面几条搞砸EDR项目的“小妙招”~
根本上并没有搞清楚啥是EDR 01
虽然专家、媒体和厂商在不断科普不断进行信息对称,但认知差异(请阅“往期阅读”)客观存在,没搞清楚自身需求和产品能力的差异通常是搞砸项目的第一步。通常,EDR和目前大多数企业正在使用的EPP(Endpoint Protection Platform)的主要区别如下 从市场趋势来看,EPP和EDR正在融合,逐渐开始作为一体化解决方案来保护终端安全。认为EDR只是一个小小agent软件而不清楚它日常会做点什么的朋友,注意咯,吞噬终端资源的怪兽们正在合体成为一个大大怪兽…
没有正确预估部署实施的工作 02 顾名思义,EDR关注的是”Endpoint”终端,而江湖上也总有终端项目脱层皮的都市传说。在当前没有不错的资产管理和终端管理能力之前,盲目上EDR项目必然能够搞砸项目!为了搞砸项目我们完全可以不去考虑终端在未知,OS信息、部门组织、移动终端、终端数量、资源消耗…什么,这些从来没搞清楚过?完美。 此外,由于威胁和环境随时间而变化,部署团队又可能缺乏时间来正确配置以及调整与其安全要求相匹配的策略,这可能导致端点解决方案只能部分部署且配置不正确,从而导致保护方面的差距,使组织容易受到破坏。 据不完全、单方面、小数据主观臆测,可能超过90%的组织并没有有效配置和管理组织内的端点安全产品,大家搞砸EDR项目的基础非常好。
并没有能力和团队处理告警 03 EDR类产品通常会生成大规模的告警和数据内容,相对传统杀毒软件、EPP等,EDR的数量可以是压倒性的,即使对于那些有专门的安全团队或安全人员运营中心(SOC)来说,它也需要大量人力管理警报,同时,管理人员必须具有足够的网络安全专业知识,了解警报并确定如何正确进行回应。 但很遗憾,大多数组织都缺乏人力以及专业知识… 强大的“Detection”能力带来了同样强大的告警数量,从告警恐慌到告警疲劳,进而告警无视,只要我们无视它,告警就不存在,告警不存在威胁就不存在,搞砸EDR的核心逻辑闭环!😝 不同厂商的告警样例左右滑动查看更多
专业知识和技能缺失 04 EDR所需要的运营管理能力与传统的EPP类产品的差异是巨大的,EDR需要组织具备更大的资源量以及更专业知识与高级威胁进行抗争,同时,还需了解威胁性质和范围并及时处理事件。技能缺失极可能意味着安全事件没有得到及时调查、纠正、或处理,从而导致组织受到损害。 在庞大而琐碎的终端数据面前,进行调查、取证、分析和处置都是需要丰富的技巧和经验的。 让缺乏技能的团队组合操作诸如IOC/IOA编写、网络遏制,哈希预防、删除/修改注册表项值(和/或)停止/禁用/重新启动服务等行为是不现实的。在那些“区区”但极其重要的5%关键时刻,搞砸的可能性无限趋于100%… 不同厂商的数据检测样例左右滑动查看更多
事件响应流程并不健全 05 EDR事件响应流程需要组织建立一支能力较强的团队,并建立相对成熟的安全策略。然而这是一项漫长而复杂的工作,从组建合适的人团队、到运用适当的技术来定义政策并创建事件响应(IR)流程,整个工作可能需要花费几个月甚至数年。更何况,这类流程在大多数企业都被放到优先级较低的位置,传说中的响应流程永远在需要的时候缺失…🤷♂️
综上,搞砸EDR项目看起来并不困难,因为大多数组织本身都具备了大多数条件… 然而,依然有一种方式也许可以帮助正在期待使用EDR产品的企业,可以做到: 最佳实践:通过优化安全配置和产品能力的有效运用更有效地抵抗潜在的攻击。 威胁狩猎:通过持续的托管威胁搜寻,识别并阻止隐藏的复杂威胁。 快速响应:通过实时的监控和分析,进行针对性的响应和补救措施。 遏制整治:可以更有效地应对威胁,并将端点恢复到已知的良好状态。 降低投入:将甲方人员从反应性和重复性事件响应工作重定向到更具战略意义的项目。 覆盖面广:7×24的时间跨度以及多分支站点的全面覆盖 这就是MDR(Managed Detection&Response),作为一种第三方托管服务,MDR提供者为用户交付7×24威胁监控、检测和轻量响应服务,其中结合了部署在主机和网络层的技术、高级分析技术、威胁情报,以及在事件调查和响应中的专家能力(Garnter)。 Gartner预测到2024年,25%的组织会使用MDR服务,到2024年40%的中型企业会使用MDR,而现在还不到5%… 云纷已于2020年正式推出MDR服务,目前已累计帮助客户运营和托管数千台EDR终端,涉及多种主流EDR产品,我们正处于从5%到40%的挑战中。
关于我们 云纷科技自成立以来,将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”,高效整合人、技术和流程,为不同的企业客户提供符合现状和中远期发展的安全运营能力。同时,以十年安全管理经验为依托,我们的安全托管服务(MSS)可以为企业提供7*24小时全天候安全保障,全面提高企业安全抵御能力,为抵抗威胁建立可靠屏障。 云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,协同利用开发能力、开发并调用各类自动以及半自动化工具,为客户提供最切合实际的安全运营服务,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。
云纷(上海)信息科技有限公司
专注于安全运营与管理 长按二维码关注我们
Share this content:
Comments are closed