什么是EPP/EDR

EPP和EDR的介紹

為了應對日益增加的對于端點設備的攻擊，企業需要考慮升級自己的終端防御。此時，他們可以使用端點保護（EPP）以及端點檢測與響應（EDR）。這兩種工具都創建了一種方法來保護那些遠程連接到客戶端設備的網絡。因此，它們在降低配置薄弱的端點和系統被利用而受到攻擊的風險方面起著重要的作用。這些解決方案警示著安全團隊關注潛在的網絡安全，并且幫助糾正錯誤的配置。

為什么公司需要EPP或EDR？

在企業業的IT環境中，變化是不斷發生的。也就是說，并不是所有的變化都是相同。事實上，IT和安全團隊需要持續了解的變化，有三種。

• 內部計劃中的變化:通過內部計劃中的變化，IT和安全部門批準了對系統和流程的某些修改，這通常采取“員工實現供應商修復“的形式來提高其設備的性能和安全性。
• 內部計劃外的變化:并不是所有的內部改變都是經過IT和安全部門批準的。比如管理者可能會錯誤地傳遞本不該傳遞的補丁，或進行一些不應該的升級。另一方面，IT用戶可能會無意間修改或者通過未被批準的變化來完成工作相關的任務。 
• 外部的變化: 外部變化來自于外部因素。因此，外部變化往往未經過IT和安全部門的批準，并對組織構成威脅。比如，當惡意軟件感染終端設備并使用受損資產呼叫其指揮控制（C&C）服務器時，就會發生外部變化。

這里的問題是：如今的IT網絡如此復雜，以至于我們無法總能弄清楚每次的變化意味著什么，以及終端設備每天發生了多少改變。這使得組織處于被動狀態，難以應對已經發生變化的攻擊。響應的時間越長也就意味著宕機的時間越久，而這樣會損害組織的商業信譽。

EPP/EDR如何提供幫助

EPP可以阻止病毒或者惡意軟件感染終端設備，并擴散到網絡。就其本身而言，EDR是EPP的一個演變。它通常包括一些附加功能，比如行為分析、監控、防病毒以及對脆弱性的檢測與響應。

EPP和EDR可以幫助IT和安全團隊回答一些重要的問題，如“設備中是否存在已知惡意軟件？”以及“設備中有多少新應用？”。然后員工可以利用這些信息來主動降低宕機、知識產權盜竊以及勒索病毒感染的風險。它們也可以提高在威脅產生時自動做出響應的能力。

一個重要的警告

并非所有的EPP/EDR廠商都是一樣的。例如，許多端點防護廠商開始根據已知威脅列表來檢查設備中的惡意軟件。這對于簡單攻擊是有效的，但是卻很難解決APT。

領先的EPP/EDR廠商也通過利用行為分析來監視系統的行為，并在系統發生異常時，發出警報。這有助于組織識別以往未知的威脅。但是由于惡意軟件已經導致設備發生了異常，所以團隊最終在殺傷鏈中作出的響應往往是不夠及時的。因為惡意軟件改變了系統，而且惡意軟件是主動的、武器化的，并且可能正在擴散。所以，我們無法驗證用戶正在連接的設備以及他們正在運行的，以進行保護的系統配置是否發生了變化。

EPP/EDR 作為分層安全方法的一部分

組織需要一個安全策略，用安全配置管理（SCM）來完善EPP/EDR。這就是Tripwire的用武之地。其自動化配置監控解決方案，以自動化的方式驗證流程、實時檢查配置以及報告變化的時間、人員和原因，從而提升了EPP解決方案的安全性和警報能力。這些功能增強了Tripwire檢測上述三種不同類型端點變化的能力。

• 內部計劃中的改變: Tripwire可以監控對系統做出的更改，并通過Jira或ServiceNow等“票務系統”的API集成來驗證這些更改，以驗證它們是否是計劃內的變更以及是誰發起的變更。它還通過與SIEM的API連接，根據系統的當前漏洞來提供變更的風險評分。
• 內部計劃之外的變化: Tripwire為內部計劃外的變化提供的功能與它為內部計劃中的變化提供的功能一樣。另外它還可以將系統恢復到已知的良好狀態。這不僅降低了風險，以及通過審計功能改進了流程管理，而且由于不必支持流氓配置，從而節省了IT團隊的時間。
• 外部更改: Tripwire 帶來了對于企業中發生的變化的深入理解、審計以及報告。它通過與SIEMs/SOARs/“票務平臺”的集成來快速識別潛在有害的變化，對這些更改的風險進行評分，也提供了快速響應和修復，以降低整體風險并幫助確保系統的最佳性能。

數世點評

在新冠疫情的影響下，遠程辦公已逐漸成為一種新常態，端點也進而成為企業的最高安全風險所在。如今，傳統端點安全措施的被動應對機制已無法有效防御日益增長的安全威脅。EPP和EDR的引入，幫助組織有效地進行事前預警防范、事中應急處置、事后追責溯源，完成終端安全威脅閉環。其中，EPP著重解決已知威脅，EDR更加針對未知威脅。單獨部署EDR或是EPP都是不夠的,兩者的融合與聯動才是發展的趨勢所在。