EDR:全称 Endpoint Detection and Response,即端点检测与响应。它于2013年由 Gartner 提出,被认为是一种面向未来的终端解决方案,以端点为基础,结合终端安全大数据对未知威胁和异常行为进行分析,并作出快速响应,后来被业界通称为端点检测和响应 (EDR)。标准定义如下:
EDR tools provide an ability to analyze and search detailed, current and historic endpoint data for traces of malicious activity and bring the high-risk data to an analyst's attention with additional capabilities to actively respond to those activities if necessary.
首先什么是端点?
端点包括台式机、笔记本电脑、移动设备、工作站、服务器和任何网络入口点,几乎任何连接到组织网络的东西都应该被视为端点。
EDR与传统杀毒软件的区别?
首先,对于终端安全,传统杀毒软件是怎么做的?
1. 传统杀毒软件是基于签名的,所以它只识别已知的威胁;
2. 传统杀毒软件可以包括定期或定期扫描受保护设备,以检测已知的威胁;
3. 协助清除更基本的病毒,如蠕虫,木马,恶意软件,广告软件,间谍软件等;
4. 基于数据库来提供关于可能恶意网站的警告。
EDR又是怎么做的?
1. EDR包括对威胁的实时监控和检测,包括那些可能不容易被标准反病毒识别或定义的威胁。此外,EDR是基于行为的,因此它可以基于不正常的行为检测未知的威胁;
2. 基于大数据和人工智能的数据收集和分析系统,以此确定威胁模式,并向用户发出威胁警报;
3. 附带取证功能,可以帮助确定在安全事件中发生了什么攻击行为;
4. EDR可以包括对某些威胁的自动修复或移除,例如主机的微隔离,通过控制主机的进出站流量,实现对异常主机的隔离。
EDR和传统防病毒软件之间存在一些重叠,但总体而言,防病毒软件本身是一个不太全面的解决方案。
杀毒软件解决方案传统上非常依赖称为签名匹配的东西来确定对设备的威胁,反病毒软件将文件与已知的“恶意”文件数据库进行比较。当找到匹配项时,该文件被识别为威胁。反病毒软件也可以使用启发式(基于行为的预测)来尝试查看文件或进程的行为,但检测/保护的主要方法是签名数据库。
EDR则颠覆了该模型——主要依赖于对端点上发生的事情的行为分析。例如,如果一个 Word 文档产生一个 PowerShell 进程并执行一个未知的脚本,这种行为是非常可疑的。那么,该文件就将被标记和隔离,直到确认该过程的安全性。
EDR会对系统的很多数据进行提取和分析,如:
终端设备的基本元数据:包括CPU、内存、网卡(IP、MAC)、操作系统、安装软件、硬件数据、Device数据等。
网络数据:包括终端设备上的DNS和ARP表以及其它实时网络数据、开放的端口以及相关的进程数据、终端的网络连接数据、可访问终端的URL数据等。
运行时数据。包括终端上运行的进程/线程以及其对应的元数据、用户登录注销数据、进程间通信(IPC)数据、进程行为数据(例如数据读写)等。
存储数据。文件(通常只包含特定的文件或者可执行文件)以及文件元数据(比如文件名/大小/类型、校验和等)、文件变更信息、syslog、主引导记录(MBR)信息等。
其它数据。比如加载的DLL、激活的设备驱动程序、已加载的内核模块、CMD或者PowerShell历史命令等数据。
因此,不严重依赖签名文件可以让 EDR 软件更好地应对新的和高级威胁。在面对海量化的终端数量和软硬件资产信息时,EDR更加轻量级,也更方便,且更难恶意攻击者所被逃脱和绕过。
此外,EDR一般会利用大数据、人工智能等新技术来对对攻击者行为进行分析,方便对未知威胁和可疑行为进行快速检测与阻止,如端口扫描攻击、暴力破解攻击、恶意脚本攻击、系统漏洞攻击、Webshell攻击等可疑行为,以及一些可能不太容易被标准防病毒软件识别或定义的威胁,因为EDR 是基于行为的,因此它可以根据不正常的行为检测未知威胁,而非做简单的数据规则匹配。
