端点安全的“第二春”：EDR

随着数字化转型的深入，企业业务和威胁所处环境也在发生变化。企业正不断采用新技术，以提高产量、降本增效，并为员工提供更大的自主权。

与此同时，企业过去为保护基础设施、数据、人员建立的安全机制正在面临不断变化的数字环境和不断升级的攻击威胁的双重挑战。

许多企业仍然沿用传统的防病毒软件来保护端点，但过于依赖基于签名的安全分析意味着企业无法跟上网络攻击不断发展的脚步。对此，网络安全业界开出的“药方”是EDR（端点检测和响应系统）。

简单来说，EDR能帮助安全团队更有效地调查和解决端点安全问题。

端点攻击可能来自电子邮件、勒索软件、网站、社交媒体、受恶意软件感染的图像、软件漏洞、黑客等，当攻击者成功突破其他防御层后，EDR安全解决方案是企业的最后一道防线。EDR可以抵御各种威胁，包括无文件恶意软件、多阶段攻击和恶意内部人员。

不断变化的业务风险环境

IBM最新的数据泄露成本分析发现，企业响应数据泄露的平均时间为277天，平均成本为435万美元，其他损失还包括声誉受损带来的持续伤害。因此，即便是中小企业也需要尽力保护每个网络节点，免受日益复杂的黑客和网络犯罪攻击的侵害。

Ponemon Institute最近的一项研究发现，近70%的公司经历过导致数据泄露或系统受损的端点攻击。根据德勤的数据，电子邮件网络钓鱼导致了91%的数据泄漏。根据Verizon的研究，82%的安全事件与人为因素有关。

这些违规行为包括对手机、BYOD设备、销售点终端（POS）和物联网（IoT）联网设备的攻击。到2025年，全球会有大约270亿个物联网设备，这为黑客提供了大量新的攻击途径。

此外，大量员工也需要更多的安全知识来保护企业端点。BYOD设备存在安全隐患，而疫情推动的远程办公让这个问题变得更加严重。这些变化都对企业的端点安全策略和能力提出了更高的要求。

企业端点面临的关键威胁

防病毒软件在防止恶意可执行文件的执行方面非常出色，恶意可执行文件曾经是企业面临的最严重的安全风险。

然而，如今威胁场景越来越多地转移到用户和业务流程的日常行为，从而逃避传统的保护措施。

如今，网络钓鱼、基于漏洞利用的入侵、移动恶意软件以及将典型操作系统组件的功能武器化的脚本等攻击都是常见的攻击媒介，许多安全漏洞也可以追溯到内部威胁和人为错误。

企业的端点安全问题是更大的生态系统的一部分，企业采取何种安全措施取决于攻击将给企业带来的损失。例如，日益猖獗的勒索软件攻击对企业信息系统的打击可能是灾难性的，因此作为勒索软件的一道关键防线，端点安全得到了格外的重视。

安全防御的一个关键环节是监控端点上运行的进程。在最先进的EDR工具的帮助下，安全管理员可以使用机器学习等前沿技术，通过行为分析来发现新的危险。

端点保护的重要性日益增加

端点安全市场正迎来“第二春”。这种“复兴”源于前文提到的数字化转型、安全边界消失、数字资产快速增长，以及远程工作的快速普及。

随着越来越多的公司将运营转移到网上，数据被存储在云中，遭遇网络攻击的风险越来越高。先进的智能检测和响应系统对于保护数据和系统免受攻击是非常必要的。

EDR可以提供这种防御，它可以检测和阻止传统安全防御遗漏的威胁。

事件和行为分析是EDR的核心，它能够发现由已知和未知威胁与漏洞引起的异常行为。企业整体安全性取决于企业将这些功能应用于端点安全的能力。

即便是在云计算时代，（员工）对网络的访问也是通过端点实现的。通过部署EDR巡查网络边界，可以阻止绝大多数潜在威胁。随着网络应用的激增，这变得更加重要。

实施EDR的五大好处

EDR的集中式防御在保障端点安全的同时，也保护了整个企业网络。EDR给企业安全防御带来的五大好处如下：

1.模块化的工作时间表

自带设备（BYOD）和混合工作等概念改变了现代工作场所。今天的员工希望企业为他们的日程安排和工作地点提供更大的灵活性，例如模块化的工作时间表。

尽管更加现代化、敏捷化、去中心化的现代办公模式令人鼓舞，但由于端点作为攻击目标的普遍存在，给IT安全团队带来了新的挑战。

EDR正是为这种挑战而生。EDR可防御端点威胁，保护企业业务的连续性。EDR的自动监控和响应，也将大大减少企业IT部门的工作量。

在EDR安全工具的帮助下，企业可以自信地调整其工作环境（现场办公、远程办公或混合办公），并为员工提供更多自由。

2.查找隐蔽的攻击

仅靠预防措施不足以确保网络安全，检测威胁的能力也至关重要，这恰恰是EDR的核心功能之一。

通过查看可能被忽视的安全事件，EDR为企业的整个网络安全系统提供了额外的一层安全网。通过扫描入侵指标（IOC），EDR可帮助IT部门检测到隐蔽的攻击。

EDR工具还能编制可疑事件的报告，并根据其对网络的潜在风险对每个事件进行排名。安全团队可以专注于导致攻击的最关键因素。

3.预防成本低于补救成本

通过实施强健的安全防御措施来防止威胁比事后修复攻击损害的成本要低很多。EDR解决方案能够主动搜索威胁，在攻击者执行恶意代码并对目标系统造成损害之前检测和阻止攻击。

机器学习、人工智能和自动威胁检测都是现代EDR工具中常见的功能。

4.避免进一步的攻击

在发生攻击时，检测和消除有害文件是恢复正常运营的最快做法。然而，在许多情况下，分析师想知道危险是如何进入系统的，以及攻击者在被发现之前做了什么。

EDR解决方案提供的“威胁档案”解决了这个问题。EDR可以识别和跟踪威胁检测之前的所有事件，这有助于分析人员了解攻击的起点和路径。

只有了解了攻击者的路径和起点，企业防御体系才能有效地应对和响应事件。最重要的是，这有助于帮助防御体系形成“免疫力”，抵御未来的攻击。

5.减少数据泄露的损失

分析师调查攻击所花费的平均时间为4-5小时，这大大延缓了响应时间。EDR可以极大减少分析师手动执行多项任务的需要，从而大大加快了响应速度。

EDR可以设置为按需隔离，在检测到威胁后，企业可以尽快消除并控制威胁，以免殃及整个系统。

EDR工具可执行引导式调查并提供补救措施来帮助安全团队，以加快事件响应并减少成功入侵造成的损害。

声明：本文来自GoUpSec，版权归作者所有。