EDR普及的關(guān)鍵:擊敗警報(bào)疲勞
據(jù)預(yù)測(cè),到2020年,終端檢測(cè)與響應(yīng)(EDR)解決方案將成企業(yè)重要安全技術(shù),大型企業(yè)中有80%會(huì)投資EDR,中型企業(yè)是25%,小型企業(yè)中投資EDR的比例則是10%。對(duì)可檢測(cè)高級(jí)威脅的事件響應(yīng)工具的需求將推動(dòng)EDR市場(chǎng)增長(zhǎng),預(yù)計(jì)2015-2020年間,EDR市場(chǎng)年復(fù)合增長(zhǎng)率(CAGR)將達(dá)45.27%。
EDR市場(chǎng)已步入高速增長(zhǎng)期,2015年的年?duì)I業(yè)收入還只是2.38億美元,到2016年就倍增到了5億美元,2020年成長(zhǎng)為10億美元市場(chǎng)并不是空穴來(lái)風(fēng),甚至還有可能匹敵歲入32億美元(2015年)的終端防護(hù)平臺(tái)(EPP)市場(chǎng)。
盡管市場(chǎng)增長(zhǎng)迅速,EDR這種預(yù)防性控制措施依然不是中小企業(yè)負(fù)擔(dān)得起的。因?yàn)镋DR需要專門的安全運(yùn)營(yíng)中心(SOC)團(tuán)隊(duì)人工調(diào)查事件警報(bào),而這一高成本障礙目前只有大型企業(yè)才有足夠的資源去跨越。但是,真的是這樣嗎?
對(duì)抗警報(bào)疲勞
EDR解決方案誕生的前提是:不可能防止所有威脅。也就是說(shuō),EDR的目標(biāo)是最小化感染所致的宕機(jī)時(shí)間,同時(shí)盡可能減少所造成的破壞。然而,人手不足的IT團(tuán)隊(duì)很容易被如今越來(lái)越多的安全警報(bào)數(shù)量壓垮,調(diào)查決策要么是信息不足的情況下做出的,要么是倉(cāng)促的即審判決。這種粗線條的方法可能導(dǎo)致整個(gè)網(wǎng)絡(luò)都被侵入,尤其是在傳統(tǒng)EDR管理不善或沒完全發(fā)揮功效的情況下。
由于EDR代理通常安裝在現(xiàn)有EPP代理和SIEM、IDS和IPS等其他安全技術(shù)之上,安全團(tuán)隊(duì)往往會(huì)被來(lái)自多個(gè)安全控制臺(tái)的成千上萬(wàn)條警報(bào)狂轟濫炸,這種情況下想要給安全事件分個(gè)輕重緩急幾乎是不可能的。安全控制臺(tái)的各自為戰(zhàn)只會(huì)讓安全大而無(wú)當(dāng),對(duì)增加可見性和提升企業(yè)整體安全態(tài)勢(shì)毫無(wú)幫助。
EDR應(yīng)只有一個(gè)代理,只用一個(gè)管理控制臺(tái),只專注真正重要的安全事件,而不是分散稀釋掉本就不充裕的人力資源。畢竟,EDR應(yīng)能讓你的“安全特警隊(duì)”專注對(duì)付真正的網(wǎng)絡(luò)匪徒,而不僅僅像片警一樣巡個(gè)街查個(gè)戶口。
飛入尋常百姓家的EDR
EDR代理提供的高級(jí)威脅追捕能力需要警報(bào)分級(jí)和專業(yè)團(tuán)隊(duì)的人工調(diào)查,所以其實(shí)際使用成本往往會(huì)超出最初的購(gòu)買和部署價(jià)格。想要讓EDR解決方案運(yùn)營(yíng)成本親民,就得利用終端代理的內(nèi)建智能來(lái)檢測(cè)高級(jí)攻擊。這么做可以讓管理員只專注在突破了其他預(yù)防層的特定高級(jí)威脅上,避免他們?cè)谡`報(bào)上浪費(fèi)時(shí)間。這種增強(qiáng)版的安全運(yùn)營(yíng)可以自動(dòng)歸類真正重要的安全事件,無(wú)需全職安全專家團(tuán)隊(duì)調(diào)查每一起事件或異常。
因?yàn)闄z測(cè)出的隱秘威脅以上下文豐富的方式呈現(xiàn),事件可視化和調(diào)查過程也能被大幅簡(jiǎn)化,管理員可以在數(shù)秒內(nèi)評(píng)估威脅的影響。這種簡(jiǎn)化直接轉(zhuǎn)化成了快速事件響應(yīng)策略,管理員能夠精準(zhǔn)地刪除或隔離威脅,控制威脅的蔓延。
這種進(jìn)階預(yù)防方法還帶有從事件響應(yīng)工作流微調(diào)控制措施防護(hù)級(jí)別的功能,能夠通過專注真正重要的警報(bào)來(lái)降低事件響應(yīng)成本。與傳統(tǒng)EDR不同,智能EDR解決方案沒有那么多噪聲,不會(huì)讓本就資源不足的IT團(tuán)隊(duì)更加捉襟見肘,卻能以高精確度提供同樣的早期檢測(cè)功能,而且任何公司企業(yè)都能入手——無(wú)論企業(yè)規(guī)模如何,所處行業(yè)是什么,IT團(tuán)隊(duì)有多少人。
真正需要擔(dān)心的攻擊就那1%
層次化安全解決方案在檢測(cè)、預(yù)防和緩解99%的威脅上表現(xiàn)出色。但剩下的1%往往就是能瞞天過海的那類高級(jí)攻擊。網(wǎng)絡(luò)安全的前沿陣地就是要擁有準(zhǔn)確識(shí)別此類隱秘威脅的能力。
人人都能使用的EDR,其價(jià)值在于其與現(xiàn)有EPP解決方案全面集成的能力,以及能夠讓IT管理員對(duì)整個(gè)基礎(chǔ)設(shè)施的安全狀態(tài)有個(gè)完整視圖。最后1%的攻擊不僅僅難以捉摸,還能隱藏在普通安全事件所產(chǎn)生的背景噪音中,所以IT管理員需要能夠?qū)W⒃谡嬲奈kU(xiǎn)和問題上,及時(shí)有效地預(yù)防、調(diào)查、檢測(cè)并響應(yīng)高級(jí)威脅。
