下一代EDR应该叫做XDR
下一代EDR应该叫做XDR
2018-09-25 10:03:06 来源:51CTO抢沙发
2018-09-25 10:03:06 来源:51CTO
摘要:终端检测与响应(EDR)近几年来一直是很有价值的技术,但其有限的视野也留下了很多盲点。如今,是时候进化到XDR了。
关键词:
信息安全
终端检测与响应(EDR)近几年来一直是很有价值的技术,但其有限的视野也留下了很多盲点。如今,是时候进化到XDR了。
安全人员试图在终端和主机上查找可疑行为或可疑行为的踪迹时,终端检测与响应(EDR)是一项很有用的重要技术。网络安全自计算机诞生之初就相伴左右,但EDR领域却尚处于萌芽阶段,第一款解决方案甚至仅追溯到5年前。
EDR技术监视终端,并将数据存储到中央存储库中供分析,以便检测威胁。通常,EDR解决方案会要在主机系统上安装软件代理,提供监视和报告要用到的数据。
现如今,用户面对的威胁越来越多,EDR在高级防护中所处的位置也越来越重要。事实上,一位业内顶尖渗透测试员就曾透露,他通常可以在1小时内通过攻击用户和终端而侵入被测公司企业。商业领域中Windows系统广为使用,但其很多内部功能都可被恶意黑客用于控制主机或渗漏数据。
虽然EDR很有价值,但其可见性却并不很大。该技术类似于从轮船舷窗往外看,只能看到一小截地平线,视野相当有限。想要确定天气如何,如果周边岛屿环绕或有过往船只遮挡,从舷窗是看不出什么的,只能走上舰桥以获得全面的视野。
传统EDR视野狭隘
传统EDR的焦点只放在终端上,所以必须进化到囊括一系列数据集的XDR才能跟上时代的发展。除了终端,云、威胁情报、网络数据、日志信息,甚至社区数据都应包含进来。来自更多实现点的更多数据源,可以令安全团队和技术产品更快发现更多威胁,然后加以阻止。
这有点像是在舰桥上就能一切尽入眼帘一样。不同的是,XDR纵观攻击的所有元素,而不仅仅是在一台终端上发现的那些。XDR增加了转译不同数据源数据所需的分析,令安全分析师的调查工作更有效率。
XDR看到一切
因为XDR解决方案对实施点有所了解,也就可以从包含终端在内的不同位面,更快地响应并封堵威胁。而若使用的是传统EDR,终端上检测出的信息或许能昭示数据泄露,但我们能所能知道的也就只有终端上发生的那些了。该解决方案可以看到终端发生的事件并转到其他终端加以评估。但如果源是外部的,EDR就毫无帮助,因为终端看不到网络数据,终端数据揭示不了任何东西。
我们需要的是对威胁的网络部分以及攻击不同阶段间联系的可见性。比如说,昭示管理员凭证被黑客从服务器A盗取又用于渗透服务器B的那些证据。
XDR可对威胁追踪溯源
采用XDR,系统可以更好地追踪恶意流量来源,重建攻击全貌。这可以帮助安全团队更好地理解发生了什么,确定攻击发生的位置,在最有可能的实施点加以响应。若缺乏XDR,我们所能知道的就只是攻击发生了,在某台终端上。还是用舰船来打比方。船底有积水,说明船漏水了。你可以把积水拖干,但如果不知道渗漏的源头,问题还是无法得到解决。
EDR最令人诟病的一点,在于其很大程度上只关注检测,如果你不是专家,EDR对响应其实帮助不大。而XDR检测与响应并重。EDR其实可以写作EDr——小写r以表达其对响应的忽略。XDR则是D与R都大写,对所有潜在数据源都是检测与响应两手抓,能让安全团队在对抗恶意黑客时占据更大的赢面。
EDR兴盛时期,它确实是安全人员的工作利器,因为可供看清终端上所发生的事情,而终端当时确实是最大的攻击点。如今,我们生活在万物互联的世界,EDR只有进化成XDR,才能让安全团队视野更广,工作更趁手。如果正在规划安全团队的时间和预算,何不跳出终端,放眼更广呢?
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:kongwen
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。