EDR“向未来” | 360 EDR实现SaaS化、智能化双轮驱动_天极大咖秀
早在2013年,Gartner便首次提出了EDR的概念,认为它是一种面向未来的终端安全解决方案。此后连续多年,EDR都被Gartner列为十大技术之一。作为终端安全领域的风向标之一,EDR能否不负重望呢?2022年初,希腊比雷埃夫斯大学公布了一项针对国外26家顶级网络安全厂商EDR产品的评测报告,其结果让人大跌眼镜,许多厂商未能检测到高级持续威胁参与者使用的一些最常见的攻击技术和勒索软件团伙。即使最先进的EDR也无法预防和记录测试中使用的大部分攻击。我们不禁要问:问题到底出在哪儿?
真正的EDR产品必备能力是什么?
结合Gartner给出的定义,EDR其实是从预测、防护、检测和响应四个维度,实现持续性安全防护,并且贯穿安全威胁事件的整个生命周期。抛开那些稍显晦涩的技术细节描述,EDR只谈了三件重要的事:大数据存储及处理能力、安全分析能力,还有人的因素。
EDR标准架构设计
具体来看,若想实现快速的检测和响应,数据的支撑是不可或缺的。在这里我们强调的大数据的存储及处理能力,其核心目标是不丢失与终端安全相关的重要数据,并能通过分析原始终端安全数据而形成全局的、缜密的、连贯的攻击视图。在EDR中,端点采集的各类安全行为数据是终端安全防御、检测和响应的核心依据,也是应对APT攻击的重要手段,通过对多维度、高质量的大数据进行自动化、智能化地关联分析和运营,才能有效追溯攻击过程,寻找漏洞源和攻击源。