EDR的定义、功能与应用场景
什么是EDR?
端点检测与响应,是一种安全工具,监视与网络相连的终端用户硬件设备上的可疑活动与行为,并自动响应以阻断察觉到的威胁,同时为进一步调查留存取证数据。
EDR平台对发生在端点设备上的一切,如进程、DLL(动态链接库)和注册表设置的变化、文件及网络活动,都具备深度可见性。同时,结合了数据的聚合与分析能力,来识别威胁,或自动化处理或人工介入。这里的端点是指任何终端用户的设备,如笔记本、智能手机,以及IoT设备。
普遍认为,EDR的概念最初是由Gartner分析师Anton·Chuvakin在2013年发的一篇博客而来,他当时试图“为一些工具起一个通用的名称,主要用于检测与调查主机或端点上的可疑活动(包括追踪)”。当时他用的名字是“端点威胁检测与响应”,但言简意赅的EDR最终变得非常流行。
EDR与防病毒以及EDR与EPP
一个更好理解EDR的方法,是与其类似技术相比较。比如防病毒或EPP(端点保护平台)。尤其是EPP,它整合了防病毒/防恶意软件、防火墙、入侵防护等产品能力。这些产品有一个共同点,基于签名(基于规则)的被动防护。
随着威胁的多样和灵活,针对已知威胁的静态规则库的方法开始失效,这就是EDR的产生背景。端点上发生的活动,配置的变化、进程的发起或终止、文件的访问/复制/渗漏等,都可能是黑客行为。EDR则为安全运维人员第一时间发现这些活动,同时具备自动化响应的能力。
EDR的工作机制是,在终端用户设备上安装agent(探针),这些探针监视终端活动并返回信息给中心服务器,服务器可以在本地也可以在云端。中心服务器自动检测问题,或者试图纠正这些问题或者发警告给安全运维人员。EDR还具备仪表盘的显示功能,为安全团队提供监控能力。
EDR应用场景
一个典型的EDR应用场景就是,威胁活动以多种形式展开时,EDR并非只看某种特定的病毒或是防火墙被突破的单一行为,EDR看的是威胁活动的套路。比如,通过网络钓鱼邮件能盗取登录凭证的攻击者能够正常的登录系统,甚至执行恶意程序,而不触发任何警报。这种行为一开始并不在终端上体现,但之后的提权和横向移动就会被好的EDR平台警觉,至少也会留下可被安全人员发现的痕迹。
在2016年Gartner分析师Chuvakin的博客上,列出了最为典型的EDR应用场景:
# 检测可疑活动(EDR里的D)
# 辅助自动化搜索及数据调查(EDR里的R)
# 甄别可疑活动
# 通过数据分析进行溯源捕捉
# 自动阻断与控制恶意活动
EDR的通用能力
做为一个大的产品类别,EDR平台有着多种能力属性,很难说具体哪种能力最为基础和重要。所以,从EDR主流厂商提供的能力来看( Digital Guardian, Cybereason, Carbon Black, Microsoft ),以下能力最为主流:
# 可疑活动检测。EDR的核心能力。当发生某些不好的事情时,安全人员需要及时知道。
# 高级威胁阻断。仅仅检测到威胁是不够的,对抗威胁的有效办法是实施阻断。
# 甄别与过滤警告。应对警告疲劳,需要对可能的危险信号做重要性分级,并只在真正需要人工介入的时候再提升其重要性。
# 多种威胁防御。抵御多种形式的攻击,比如不能只防范勒索软件或恶意软件,因为许多高级攻击者会不断的尝试使用各种攻击工具。
# 威胁捕捉与事件响应。帮助安全人员通过数据取证来查找潜在攻击。
# 可见性。上述所有能力都需要可见性的支撑。想要追踪恶意活动,EDR要能看到所有端点以及端点之间的联系,
# 数据统一。可见性的实现需要数据的一元性,把不同来源的信息连贯起来拼成一张图。
# 与其他工具整合。这属于EDR的扩展能力,可以帮助用户令原有的安全工具更加有效。好的EDR应该是一个能力放大器,而不是只能单独使用。
全球市场规模
全球的EDR市场已经很大,而且在不断增长。调研机构Statista预计,今年(2020年)EDR的全球市场规模能达到15亿美元。而Gartner认为,EDR将会是大型企业的必备安全平台,甚至还给出了具体的预期,凡是超过5000台端点以上的机构组织,有70%的比例会部署EDR软件。
EDR实际上是一个把不同种类的安全工具集合一起的联合体,因此很难有固定不变的标准定义,而是会根据市场需求和技术演进而不断的变化(比如从EPP到EDR)。但从市场发展的角度来看,这种变化反而会促进“统一端点保护”(与之类似的是UEM,统一端点管理)市场的兴起。仅从已有的“个人安全软件+EPP+EDR”来看,这个市场至少是70亿美元的规模。
数世咨询