端點防護發展到現在
我們常聽到這三個詞EDR、MDR、與XDR
究竟和以前的端點有什麼差別?
又是在R什麼?
端點偵測與回應(EDR)是Gartner公司提出的專有名詞
指的是「可以偵測(Detection)、調查主機和端點(Endpoint)的可疑活動,運用高度自動化來通知資安團隊並快速回應(Response)」
為了達到這個目的,系統必須提供五大主要功能
- 主動監控端點,並針對具有威脅跡象的活動收集資料
- 對收集的資料執行分析,以識別是否有任何已知的威脅模式
- 針對所有已識別威脅產生自動回應,以移除或遏止威脅
- 自動向安全性人員通知已偵測到威脅
- 利用分析和鑑識工具,針對可能導致其他可疑活動的已識別威脅執行研究
在《我是超級工具人》06-偵測未知威脅的謊言裡面講到
一個強大的端點防護,應該要把1~4項自動化處理
而安全人員只需花心力解決第5項
因此在設定上,發現威脅就刪除,是最輕鬆的方法
例如卡巴斯基EDR優選版就能看到威脅被清除的軌跡
如果發現有一台電腦病毒根深蒂固,我們可以選擇隔離主機後重灌
MDR則是由專家7×24代管EDR
對於沒有資安部門的企業來說不用額外培養人才
就能協助對抗進階持續滲透的未知威脅
XDR則是除了端點外,只要是和電腦有關的一舉一動
網路、雲端工作、email、端點全部收集並加以分析,是最全面的防護
但用在上萬人的企業,有自己的資安中心,才會顯現出效果
不然以中小企業的人員編制,資訊人員只有小貓兩三隻,看太多訊息也會疲勞,導致無法處理資安事件,造成防護下降
所以我們可以用一個句子來形容:
- EDR:我為了控制端點的混亂而忙碌不堪
- XDR:我為了控制每個地方的損害而疲於奔命
- MDR:我翹著腳喝咖啡看資安委外氣噗噗處理公司同仁丟來的爛攤,還能擺出超欠打的姿態
