端點偵測與回應(Endpoint Detection and Response, EDR)指的是為了防止威脅發生而持續偵測端點狀況的技術,市場上能自己開發防毒軟體引擎的廠商一雙手數得出來,但到了EDR概念出來後,一堆阿沙布魯公司都說自己可以做EDR,還能偵測未知威脅。這句話與吹說有了AI輔助就能百分之百防堵惡意程式的廠商一樣不能相信。如果無法偵測,怎麼可能做出回應?
如果端點強大,EDR的幫助也會更加強大(或更小)。強大是因為偵測得多,可以看到惡意程式觸發的行為,在這些關聯中找到命令和控制伺服器(Command and Control, C&C or C2)、IoC,但端點都可以自動處理完了,如果沒有時間深入調查,EDR也就沒有太大功用。
我們可以看Any Run這個互動式沙箱+EDR的工具,公司剛好有一個客戶中毒後用email寄送惡意程式,在沙箱執行該樣本後,觸發mmsd.vbe。卡巴斯基第一時間可以偵測「MS-0301-2405 – ProLogium 輝能詢價_金旺.exe」,但無法偵測mmsd.vbe,經過回報說明關聯性後,將mmsd.vbe加入病毒碼。
Any.Run執行MS-0301-2405 – ProLogium 輝能詢價_金旺.exe之流程:https://app.any.run/tasks/ef7033a0-e78b-425a-bcc0-2872bf46e417/
從上面例子得知,若能活用EDR,可以從已知威脅的執行緒再往下追查到未知威脅,這才是廠商宣稱EDR可以找到未知威脅的原因。
卡巴斯基的偵測與回應方案有很多種,包括入門的優選版、完整的專家版、擴展式偵測與回應的反針對攻擊平台(含網路偵測與回應),這裡我們來看優選版的功能。
綜合以上案例,優選版適合初階系統管理員進行簡單調查,如果要進行深入調查,還得購買專家版,而新版的方案Kaspersky Next已經包含了優選版功能,不用額外購買。
