端點安全的“第二春”：EDR

隨著數字化轉型的深入，企業業務和威脅所處環境也在發生變化。企業正不斷采用新技術，以提高產量、降本增效，并為員工提供更大的自主權。

與此同時，企業過去為保護基礎設施、數據、人員建立的安全機制正在面臨不斷變化的數字環境和不斷升級的攻擊威脅的雙重挑戰。

許多企業仍然沿用傳統的防病毒軟件來保護端點，但過于依賴基于簽名的安全分析意味著企業無法跟上網絡攻擊不斷發展的腳步。對此，網絡安全業界開出的“藥方”是EDR（端點檢測和響應系統）。

簡單來說，EDR能幫助安全團隊更有效地調查和解決端點安全問題。

端點攻擊可能來自電子郵件、勒索軟件、網站、社交媒體、受惡意軟件感染的圖像、軟件漏洞、黑客等，當攻擊者成功突破其他防御層后，EDR安全解決方案是企業的最后一道防線。EDR可以抵御各種威脅，包括無文件惡意軟件、多階段攻擊和惡意內部人員。

不斷變化的業務風險環境

IBM最新的數據泄露成本分析發現，企業響應數據泄露的平均時間為277天，平均成本為435萬美元，其他損失還包括聲譽受損帶來的持續傷害。因此，即便是中小企業也需要盡力保護每個網絡節點，免受日益復雜的黑客和網絡犯罪攻擊的侵害。

Ponemon Institute最近的一項研究發現，近70%的公司經歷過導致數據泄露或系統受損的端點攻擊。根據德勤的數據，電子郵件網絡釣魚導致了91%的數據泄漏。根據Verizon的研究，82%的安全事件與人為因素有關。

這些違規行為包括對手機、BYOD設備、銷售點終端（POS）和物聯網（IoT）聯網設備的攻擊。到2025年，全球會有大約270億個物聯網設備，這為黑客提供了大量新的攻擊途徑。

此外，大量員工也需要更多的安全知識來保護企業端點。BYOD設備存在安全隱患，而疫情推動的遠程辦公讓這個問題變得更加嚴重。這些變化都對企業的端點安全策略和能力提出了更高的要求。

企業端點面臨的關鍵威脅

防病毒軟件在防止惡意可執行文件的執行方面非常出色，惡意可執行文件曾經是企業面臨的最嚴重的安全風險。

然而，如今威脅場景越來越多地轉移到用戶和業務流程的日常行為，從而逃避傳統的保護措施。

如今，網絡釣魚、基于漏洞利用的入侵、移動惡意軟件以及將典型操作系統組件的功能武器化的腳本等攻擊都是常見的攻擊媒介，許多安全漏洞也可以追溯到內部威脅和人為錯誤。

企業的端點安全問題是更大的生態系統的一部分，企業采取何種安全措施取決于攻擊將給企業帶來的損失。例如，日益猖獗的勒索軟件攻擊對企業信息系統的打擊可能是災難性的，因此作為勒索軟件的一道關鍵防線，端點安全得到了格外的重視。

安全防御的一個關鍵環節是監控端點上運行的進程。在最先進的EDR工具的幫助下，安全管理員可以使用機器學習等前沿技術，通過行為分析來發現新的危險。

端點保護的重要性日益增加

端點安全市場正迎來“第二春”。這種“復興”源于前文提到的數字化轉型、安全邊界消失、數字資產快速增長，以及遠程工作的快速普及。

隨著越來越多的公司將運營轉移到網上，數據被存儲在云中，遭遇網絡攻擊的風險越來越高。先進的智能檢測和響應系統對于保護數據和系統免受攻擊是非常必要的。

EDR可以提供這種防御，它可以檢測和阻止傳統安全防御遺漏的威脅。

事件和行為分析是EDR的核心，它能夠發現由已知和未知威脅與漏洞引起的異常行為。企業整體安全性取決于企業將這些功能應用于端點安全的能力。

即便是在云計算時代，（員工）對網絡的訪問也是通過端點實現的。通過部署EDR巡查網絡邊界，可以阻止絕大多數潛在威脅。隨著網絡應用的激增，這變得更加重要。

實施EDR的五大好處

EDR的集中式防御在保障端點安全的同時，也保護了整個企業網絡。EDR給企業安全防御帶來的五大好處如下：

1.模塊化的工作時間表

自帶設備（BYOD）和混合工作等概念改變了現代工作場所。今天的員工希望企業為他們的日程安排和工作地點提供更大的靈活性，例如模塊化的工作時間表。

盡管更加現代化、敏捷化、去中心化的現代辦公模式令人鼓舞，但由于端點作為攻擊目標的普遍存在，給IT安全團隊帶來了新的挑戰。

EDR正是為這種挑戰而生。EDR可防御端點威脅，保護企業業務的連續性。EDR的自動監控和響應，也將大大減少企業IT部門的工作量。

在EDR安全工具的幫助下，企業可以自信地調整其工作環境（現場辦公、遠程辦公或混合辦公），并為員工提供更多自由。

2.查找隱蔽的攻擊

僅靠預防措施不足以確保網絡安全，檢測威脅的能力也至關重要，這恰恰是EDR的核心功能之一。

通過查看可能被忽視的安全事件，EDR為企業的整個網絡安全系統提供了額外的一層安全網。通過掃描入侵指標（IOC），EDR可幫助IT部門檢測到隱蔽的攻擊。

EDR工具還能編制可疑事件的報告，并根據其對網絡的潛在風險對每個事件進行排名。安全團隊可以專注于導致攻擊的最關鍵因素。

3.預防成本低于補救成本

通過實施強健的安全防御措施來防止威脅比事后修復攻擊損害的成本要低很多。EDR解決方案能夠主動搜索威脅，在攻擊者執行惡意代碼并對目標系統造成損害之前檢測和阻止攻擊。

機器學習、人工智能和自動威脅檢測都是現代EDR工具中常見的功能。

4.避免進一步的攻擊

在發生攻擊時，檢測和消除有害文件是恢復正常運營的最快做法。然而，在許多情況下，分析師想知道危險是如何進入系統的，以及攻擊者在被發現之前做了什么。

EDR解決方案提供的“威脅檔案”解決了這個問題。EDR可以識別和跟蹤威脅檢測之前的所有事件，這有助于分析人員了解攻擊的起點和路徑。

只有了解了攻擊者的路徑和起點，企業防御體系才能有效地應對和響應事件。最重要的是，這有助于幫助防御體系形成“免疫力”，抵御未來的攻擊。

5.減少數據泄露的損失

分析師調查攻擊所花費的平均時間為4-5小時，這大大延緩了響應時間。EDR可以極大減少分析師手動執行多項任務的需要，從而大大加快了響應速度。

EDR可以設置為按需隔離，在檢測到威脅后，企業可以盡快消除并控制威脅，以免殃及整個系統。

EDR工具可執行引導式調查并提供補救措施來幫助安全團隊，以加快事件響應并減少成功入侵造成的損害。