端點(diǎn)檢測(cè)和響應(yīng)(EDR)產(chǎn)品為IT人員提供端點(diǎn)可視性，以檢測(cè)惡意行為，分析數(shù)據(jù)以及提供適當(dāng)?shù)膽?yīng)急響應(yīng)。EDR是新型安全市場(chǎng)的一部分，Carbon Black、Cisco、CrowdStrike 以及FireEye等全球知名廠商都在加快對(duì)該領(lǐng)域的部署，以搶占市場(chǎng)份額。

如今，提到EDR就不免會(huì)接觸到“威脅捕獲(threat hunting)”這一術(shù)語(yǔ)，它是指通過(guò)搜索大量數(shù)據(jù)這一過(guò)程，以發(fā)現(xiàn)威脅行為者或新型攻擊的跡象，而不是依賴已知的威脅簽名。它是威脅情報(bào)和大數(shù)據(jù)分析相結(jié)合的產(chǎn)物。威脅捕獲是綜合EDR解決方案的關(guān)鍵組成部分，同時(shí)也是EDR和端點(diǎn)保護(hù)平臺(tái)(EPP)這兩種易混淆概念的關(guān)鍵區(qū)別。

[[229975]]

然而，EDR解決方案也正在經(jīng)歷一個(gè)變化周期。2016年，Gartner指出，

但是Gartner 2017年端點(diǎn)保護(hù)平臺(tái)魔力象限又指出：

以下是安全專家就購(gòu)買EDR解決方案前應(yīng)該問(wèn)自己的10個(gè)問(wèn)題作出的解答：

1. 你想解決什么業(yè)務(wù)問(wèn)題?

評(píng)估EDR解決方案的第一步就是“確定你想解決的問(wèn)題”。對(duì)于大型組織的首席信息官(CIO)來(lái)說(shuō)，其主要任務(wù)就是為安全運(yùn)營(yíng)中心(SOC)配置適當(dāng)?shù)墓ぞ咭越鉀Q問(wèn)題。但是要牢記：安全不僅僅是工具的問(wèn)題，同時(shí)還是人的問(wèn)題。遲早會(huì)有人因?yàn)殄e(cuò)誤配置系統(tǒng)的問(wèn)題，使得企業(yè)遭受新型或高級(jí)持續(xù)性威脅(APT)危害。因?yàn)椋词故亲詈玫木W(wǎng)絡(luò)可視化工具，也不能完全阻止一個(gè)動(dòng)機(jī)明確且訓(xùn)練有素的對(duì)手。

FireMon公司的首席技術(shù)官Paul Calatayud對(duì)此也表示贊同，但其進(jìn)一步補(bǔ)充道，這一觀點(diǎn)同樣適用于較小的組織。他表示，

2. 什么是EDR解決方案的數(shù)據(jù)回溯期?

一個(gè)EDR解決方案必須提供超過(guò)實(shí)時(shí)(point-in-time)的數(shù)據(jù)才能生效。他建議尋找一個(gè)可以提供至少30天的實(shí)時(shí)數(shù)據(jù)進(jìn)行分析的解決方案。有些供應(yīng)商甚至可以從檔案庫(kù)中提供90天到一年的歷史數(shù)據(jù)用于調(diào)查目的。

3. EDR解決方案是否集成威脅情報(bào)平臺(tái)和其他現(xiàn)有工具?

因?yàn)镋DR工具旨在協(xié)助進(jìn)行威脅捕獲，所以對(duì)于這些工具而言，與威脅情報(bào)源或平臺(tái)相集成，以快速分析威脅指標(biāo)(indicators of compromise，IOC)是非常重要的。

安全平臺(tái)通常有很多工具，那么你如何從管理門戶中獲取數(shù)據(jù)呢?EDR工具需要與現(xiàn)有工具(包括防病毒工具)集成。此外，在你購(gòu)買EDR解決方案前，了解該EDR方案集成了哪些工具也是非常重要的。

4. EDR解決方案需要多少資源來(lái)支持該技術(shù)?

實(shí)施和運(yùn)行EDR解決方案可能會(huì)非常麻煩。您可能需要參加培訓(xùn)，并與供應(yīng)商的工程師合作才能將其啟動(dòng)并運(yùn)行。如此一來(lái)，它可能需要花費(fèi)許多時(shí)間和大量的資源，以實(shí)現(xiàn)可視化運(yùn)行、學(xué)習(xí)破譯結(jié)果以及確定如何在必要時(shí)進(jìn)行故障排除。

在評(píng)估任何安全解決方案時(shí)，重要的是要了解該解決方案是否會(huì)通過(guò)要求大量的支持來(lái)減損您的資源，而不是允許您的團(tuán)隊(duì)像一個(gè)消費(fèi)者一樣，專注于解決方案中的數(shù)據(jù)。

建議潛在買家要仔細(xì)考慮如下問(wèn)題：為了使這個(gè)工具產(chǎn)生價(jià)值，我需要做什么?分析師需要做什么?誰(shuí)將對(duì)警報(bào)做出響應(yīng)?EDR需要人員、流程和工具，但工具只是其中的一部分。

5. 該解決方案是否會(huì)破壞端點(diǎn)?

要提防那些在代理部署或威脅調(diào)查期間會(huì)破壞端點(diǎn)的解決方案。為了解決這個(gè)問(wèn)題，Clayton建議使用內(nèi)核級(jí)代理的解決方案。

6. 該解決方案支持哪些操作系統(tǒng)?

在企業(yè)環(huán)境中混合使用Microsoft和Macintosh計(jì)算機(jī)是很常見(jiàn)的問(wèn)題，必須確保所有端點(diǎn)的覆蓋范圍包含服務(wù)器操作系統(tǒng)類型。他補(bǔ)充道，EDR需要能夠?qū)Νh(huán)境可見(jiàn)化，例如，一個(gè)解決方案可能支持Windows，但不支持Linux，所以，必須確保你所需的解決方案支持您的系統(tǒng)和補(bǔ)丁計(jì)劃。

7. 我應(yīng)該注意哪些可擴(kuò)展性問(wèn)題?

EDR買家在擴(kuò)展的環(huán)境中查詢管理問(wèn)題。例如，與30,000個(gè)端點(diǎn)相比，3000個(gè)端點(diǎn)的管理入口有什么不同?要求潛在供應(yīng)商描述他們最大的部署和涉及的端點(diǎn)/代理的數(shù)量。

8. 解決方案是否提供工作流報(bào)告或與其他票務(wù)系統(tǒng)交互?

可用性是任何安全解決方案的重要組成因素。IT資源一直都是很少的，一個(gè)包含報(bào)告儀表板或集成到其他票務(wù)系統(tǒng)的解決方案會(huì)使生活變得更加便捷，但是一個(gè)不易操作的解決方案也是一種風(fēng)險(xiǎn)，因?yàn)橛脩艨赡軙?huì)感到困惑，繼而選擇放棄該解決方案。

9. 該解決方案是否提供“多租戶(multitenancy)”技術(shù)?

基于云的解決方案經(jīng)常使用“多租戶技術(shù)”來(lái)保持客戶的獨(dú)立性。Raim表示，EDR客戶經(jīng)常說(shuō)他們不想要多租戶技術(shù)，但當(dāng)他們意識(shí)到該技術(shù)能為他們做什么時(shí)，他們會(huì)愿意使用該技術(shù)。借助“多租戶技術(shù)”，客戶可以分離自己的基礎(chǔ)設(shè)施(如城市或業(yè)務(wù)單元)，以實(shí)現(xiàn)更好的組織、控制和靈活性。但是這一決定必須要提前確定，因?yàn)楦难b多租戶技術(shù)是非常困難的。

10. 我的組織是否能夠負(fù)擔(dān)起一個(gè)EDR解決方案?

考慮到企業(yè)SOC的成本很容易達(dá)到300萬(wàn)到500萬(wàn)美元，Raim指出，一些客戶主要專注于”find and forget(發(fā)現(xiàn)并忘記)“解決方案，因?yàn)樗鼈兊膬r(jià)格實(shí)惠得多。一個(gè)管理服務(wù)可以為客戶提供EDR功能，包括分析師輸入(analyst input)，減少客戶對(duì)內(nèi)部專業(yè)知識(shí)的需求。這些類型的服務(wù)可能會(huì)在可預(yù)測(cè)的12、24或36個(gè)月的合同中推出，或者成本可能會(huì)根據(jù)組織的架構(gòu)和基礎(chǔ)設(shè)施需求而波動(dòng)。