下一代EDR應該叫做XDR
終端檢測與響應(EDR)近幾年來一直是很有價值的技術,但其有限的視野也留下了很多盲點。如今,是時候進化到XDR了。
安全人員試圖在終端和主機上查詢可疑行為或可疑行為的蹤跡時,終端檢測與響應(EDR)是一項很有用的重要技術。網路安全自計算機誕生之初就相伴左右,但EDR領域卻尚處於萌芽階段,第一款解決方案甚至僅追溯到5年前。
EDR技術監視終端,並將資料儲存到中央儲存庫中供分析,以便檢測威脅。通常,EDR解決方案會要在主機系統上安裝軟體代理,提供監視和報告要用到的資料。
現如今,使用者面對的威脅越來越多,EDR在高階防護中所處的位置也越來越重要。事實上,一位業內頂尖滲透測試員就曾透露,他通常可以在 1小時內 通過攻擊使用者和終端而侵入被測公司企業。商業領域中Windows系統廣為使用,但其很多內部功能都可被惡意黑客用於控制主機或滲漏資料。
雖然EDR很有價值,但其可見性卻並不很大。該技術類似於從輪船舷窗往外看,只能看到一小截地平線,視野相當有限。想要確定天氣如何,如果周邊島嶼環繞或有過往船隻遮擋,從舷窗是看不出什麼的,只能走上艦橋以獲得全面的視野。
傳統EDR視野狹隘
傳統EDR的焦點只放在終端上,所以必須進化到囊括一系列資料集的XDR才能跟上時代的發展。除了終端,雲、威脅情報、網路資料、日誌資訊,甚至社群資料都應包含進來。來自更多實現點的更多資料來源,可以令安全團隊和技術產品更快發現更多威脅,然後加以阻止。
這有點像是在艦橋上就能一切盡入眼簾一樣。不同的是, XDR縱觀攻擊的所有元素,而不僅僅是在一臺終端上發現的那些 。XDR增加了轉譯不同資料來源資料所需的分析,令安全分析師的調查工作更有效率。
XDR看到一切
因為XDR解決方案對實施點有所瞭解,也就可以從包含終端在內的不同位面,更快地響應並封堵威脅。而若使用的是傳統EDR,終端上檢測出的資訊或許能昭示資料洩露,但我們能所能知道的也就只有終端上發生的那些了。該解決方案可以看到終端發生的事件並轉到其他終端加以評估。但如果源是外部的,EDR就毫無幫助,因為終端看不到網路資料,終端資料揭示不了任何東西。
我們需要的是對威脅的網路部分以及攻擊不同階段間聯絡的可見性。比如說,昭示管理員憑證被黑客從伺服器A盜取又用於滲透伺服器B的那些證據。
XDR可對威脅追蹤溯源
採用XDR,系統可以更好地追蹤惡意流量來源,重建攻擊全貌。這可以幫助安全團隊更好地理解發生了什麼,確定攻擊發生的位置,在最有可能的實施點加以響應。若缺乏XDR,我們所能知道的就只是攻擊發生了,在某臺終端上。還是用艦船來打比方。船底有積水,說明船漏水了。你可以把積水拖幹,但如果不知道滲漏的源頭,問題還是無法得到解決。
EDR最令人詬病的一點,在於其很大程度上只關注檢測,如果你不是專家,EDR對響應其實幫助不大。而XDR檢測與響應並重。EDR其實可以寫作EDr——小寫r以表達其對響應的忽略。XDR則是D與R都大寫,對所有潛在資料來源都是檢測與響應兩手抓,能讓安全團隊在對抗惡意黑客時佔據更大的贏面。
EDR興盛時期,它確實是安全人員的工作利器,因為可供看清終端上所發生的事情,而終端當時確實是最大的攻擊點。如今,我們生活在萬物互聯的世界,EDR只有進化成XDR,才能讓安全團隊視野更廣,工作更趁手。如果正在規劃安全團隊的時間和預算,何不跳出終端,放眼更廣呢?