下一代EDR應該叫做XDR
終端檢測與響應(EDR)近幾年來一直是很有價值的技術,但其有限的視野也留下了很多盲點。如今,是時候進化到XDR了。
安全人員試圖在終端和主機上查找可疑行為或可疑行為的蹤跡時,終端檢測與響應(EDR)是一項很有用的重要技術。網絡安全自計算機誕生之初就相伴左右,但EDR領域卻尚處于萌芽階段,第一款解決方案甚至僅追溯到5年前。
EDR技術監視終端,并將數據存儲到中央存儲庫中供分析,以便檢測威脅。通常,EDR解決方案會要在主機系統上安裝軟件代理,提供監視和報告要用到的數據。
現如今,用戶面對的威脅越來越多,EDR在高級防護中所處的位置也越來越重要。事實上,一位業內頂尖滲透測試員就曾透露,他通常可以在1小時內通過攻擊用戶和終端而侵入被測公司企業。商業領域中Windows系統廣為使用,但其很多內部功能都可被惡意黑客用于控制主機或滲漏數據。
雖然EDR很有價值,但其可見性卻并不很大。該技術類似于從輪船舷窗往外看,只能看到一小截地平線,視野相當有限。想要確定天氣如何,如果周邊島嶼環繞或有過往船只遮擋,從舷窗是看不出什么的,只能走上艦橋以獲得全面的視野。
傳統EDR視野狹隘
傳統EDR的焦點只放在終端上,所以必須進化到囊括一系列數據集的XDR才能跟上時代的發展。除了終端,云、威脅情報、網絡數據、日志信息,甚至社區數據都應包含進來。來自更多實現點的更多數據源,可以令安全團隊和技術產品更快發現更多威脅,然后加以阻止。
這有點像是在艦橋上就能一切盡入眼簾一樣。不同的是,XDR縱觀攻擊的所有元素,而不僅僅是在一臺終端上發現的那些。XDR增加了轉譯不同數據源數據所需的分析,令安全分析師的調查工作更有效率。
XDR看到一切
因為XDR解決方案對實施點有所了解,也就可以從包含終端在內的不同位面,更快地響應并封堵威脅。而若使用的是傳統EDR,終端上檢測出的信息或許能昭示數據泄露,但我們能所能知道的也就只有終端上發生的那些了。該解決方案可以看到終端發生的事件并轉到其他終端加以評估。但如果源是外部的,EDR就毫無幫助,因為終端看不到網絡數據,終端數據揭示不了任何東西。
我們需要的是對威脅的網絡部分以及攻擊不同階段間聯系的可見性。比如說,昭示管理員憑證被黑客從服務器A盜取又用于滲透服務器B的那些證據。
XDR可對威脅追蹤溯源
采用XDR,系統可以更好地追蹤惡意流量來源,重建攻擊全貌。這可以幫助安全團隊更好地理解發生了什么,確定攻擊發生的位置,在最有可能的實施點加以響應。若缺乏XDR,我們所能知道的就只是攻擊發生了,在某臺終端上。還是用艦船來打比方。船底有積水,說明船漏水了。你可以把積水拖干,但如果不知道滲漏的源頭,問題還是無法得到解決。
EDR最令人詬病的一點,在于其很大程度上只關注檢測,如果你不是專家,EDR對響應其實幫助不大。而XDR檢測與響應并重。EDR其實可以寫作EDr——小寫r以表達其對響應的忽略。XDR則是D與R都大寫,對所有潛在數據源都是檢測與響應兩手抓,能讓安全團隊在對抗惡意黑客時占據更大的贏面。
EDR興盛時期,它確實是安全人員的工作利器,因為可供看清終端上所發生的事情,而終端當時確實是最大的攻擊點。如今,我們生活在萬物互聯的世界,EDR只有進化成XDR,才能讓安全團隊視野更廣,工作更趁手。如果正在規劃安全團隊的時間和預算,何不跳出終端,放眼更廣呢?
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
