EDR指的是端點偵測和回應(Endpoint Detection and Response, EDR),,是一種持續監控「端點」(桌上型電腦、筆記型電腦、手機、物聯網設備等)以緩解威脅的安全技術。
在《企業端點完美防禦》20-EDR小試牛刀:卡巴斯基端點偵測與回應優選版、與《企業端點完美防禦》22-綜觀全局:卡巴斯基反針對攻擊平台,我們看到了EDR的執行方法:收集端點資料、分析、加入偵測規則。雖然卡巴斯基把EDR分為優選版、和專家版,但差別在於優選版是針對端點可以偵測到的威脅進行調查,而專家版則是把端點上所有資料收集下來,經由機器學習分類為安全(綠色)、低危險性(灰色)、中危險性(黃色)、高危險性(紅色),系統管理員可以對每個事件進行調查。
然而,我們已經在網路上看到太多吹噓自己EDR有多強、在MITRE Engenuity吹噓又拿到幾個100%的可視性,但即使已經使用了在該測試裡的100%防禦產品,資訊安全事件還是層出不窮。
EDR之後,又可以聽到擴展式偵測與回應(eXtended Detection and Response, XDR),也就是這個分析平台可以將網路流量、電子郵件流量都納入偵測與回應中,讓系統管理員知道整個企業的全貌,進行更加全面的防禦。如果系統管理員對系統的執行程序非常了解,最快可以10秒內判斷是否為可疑行為,然而對於沒有專職的資安團隊公司,可以使用MDR方案,請委外專家代管EDR,我們又能看到廠商吹噓自己有多少資安人員可以幫忙代管。
然而在業界已經聽過有警告就提醒、沒警告就沒事的MDR團隊,或是看到EDR只有正常事件檔就當作企業沒有問題,在國家級攻擊下,安全的行為到了最後一步才會出現高危險行為,這些駭客可能早就潛伏已久,直到異狀發生才了解整個攻擊鏈。
所以我對現在市面上的EDR產品所做的過度吹噓有點排斥,原廠是否有能力從分析惡意程式、持續發現國家級進階滲透、除了藍隊能力外是否有紅隊能力,都是評估一款產品的重點,而不是用可以無限次數事件調查、價格比其他家便宜當作宣傳重點。
因為駭客從來不管你有多少錢,只要被選中,會把你打到屍骨無存。