图片来源 Alina Grubnyak / Unsplash
黑洞加速器最新版端点检测与响应 (EDR) 安全软件越来越受到重视,它能帮助安全团队迅速识别和应对各种威胁。EDR 软件实时监控端点活动,持续检测和响应手机、工作站、笔记本电脑和服务器等设备上的攻击者活动。
EDR 工具的一大优势在于它们能够从多个来源和信号中收集行为数据,包括传统计算设备如 Windows、Mac 等及其他设备如打印机、数字相机和物联网控制器等。此外,它还利用网络流量模式、云计算应用程序和系统日志的信号,提醒 IT 工作人员发现可疑活动或正在进行的攻击。
这涵盖了“检测”的部分。EDR 还包括缓解和修复工具,比如隔离行为异常的设备或对有问题的网络段进行防火墙设置。这一过程可以是自动进行,也可以根据警报类型和特定工具的要求,需人工操作。
“EDR 工具已消除了在端点上进行任何分析和决策的必要性,”独立安全顾问威廉克鲁索夫斯基William Klusovsky告诉 CSO。这一点至关重要,因为威胁变得愈加复杂和难以识别。“在用户看到任何攻击之前找到并阻止攻击已成为基本要求。”他预测,检测工具将迁移到操作系统内核层中,以增强其有效性。
一个趋势是,端点保护与其他检测形式之间的界限日益模糊。这导致许多 EDR 产品的范围加大,许多供应商开始声称他们提供扩展检测与响应XDR功能。例如,Sophos XDR 是原始 EDR 与 Secureworks 的 Taegis 产品线合并而来的结果,而 CrowdStrike 的 Falcon 和 Palo Alto Networks 的 Cortex XDR 曾经作为 EDR 工具,现在提供更全面的解决方案。
这不仅仅是市场营销炒作或重新命名工具,因为典型的企业端点收集不再局限于笔记本电脑和台式机。今天的网络连接各种设备,包括通常无法运行代理的设备,如打印机、WiFi 连接的物联网控制器等。这不仅限于物理设备,威胁现在还发生在整个协议栈的所有点上,从网络层到云,再到各种运行在其间的应用程序。因此,要有效,EDR 工具必须扩大其范围以涵盖这些层,以便搜索不良行为。
这种思维的转变,将高级反恶意软件工具的角色扩展至更多对威胁数据和信号的分析,提供上下文,以便安全管理者能迅速了解其安全态势的变化。
这种洞察非常必要,因为现在出现了旨在规避 EDR 保护的恶意软件,例如最近由 Palo Alto 网络的 Unit 42 研究人员发现的 Disablerexe。它能够中和 Palo Alto 的 Cortex EDR 软件,并加载可能被攻击者操控的驱动程序
