首頁 > 關于我們 > 新聞動態 > 深度解讀

新晉網紅EDR為何如此被人迷戀

發布時間 2020-05-19

EDR,即終端高級威脅檢測與響應系統被稱為終端安全界新晉網紅,如今火的一發不可收拾。然而,EDR市場較為雜亂且產品良莠不齊。今天,小編就帶您走進EDR內心深處,一探究竟~


EDR為啥這么火?


?新型威脅層出不窮,傳統防護手段束手無策


國家互聯網應急中心(CNCERT)發布的《2019年上半年我國互聯網網絡安全態勢》的數據表明,2019年上半年CNCERT新增捕獲的計算機惡意程序樣本數量約3200萬個,平均每日傳播次數高達998萬次,我國境內受計算機惡意程序攻擊的IP地址約3762萬個。


同時,在2019 年上半年國家信息安全漏洞共享平臺(CNVD)收錄的通用型安全漏洞數量中,“零日”漏洞收錄數量占比43.3%,同比增長34.0%。2019年上半年檢測到的無文件攻擊事件約710733個,較2018年上半年增加了265%。


可見,基于“零日”漏洞及無文件的攻擊行為已經逐漸成為黑客主要攻擊手段。未來,黑客攻擊將更迅速、更隱蔽,傳統基于特征值進行檢測的安全手段將無法滿足企業信息安全的需要。


?市場廣闊


根據“端點檢測和響應-全球市場展望(2017-2026)”報告,基于云和本地EDR解決方案將以每年26%的速度增長,到2026年其價值將達到7.32626億美元。此外,根據Zion Market Research的《網絡安全市場中的人工智能(AI)報告》,到2025年,機器學習和人工智能的作用將創造309億美元的網絡安全市場。


俗話說人紅是非多。作為終端安全的新晉網紅,自然緋聞一堆。能夠檢測到勒索病毒的就是EDR;能夠掃描和修復漏洞的就是EDR。有了EDR,就不需要殺毒及桌管產品了……


EDR既是響應安全威脅發展的必然產物,也是網安廠商新型安全能力的攻堅方向。那么EDR到底是什么呢?


證據1:Gartner官方定義EDR

Gartner將“端點檢測和響應解決方案市場”定義為“記錄和存儲端點系統級別的行為,使用各種數據分析技術來檢測可疑的系統行為,提供上下文信息,阻止惡意活動并提供補救建議以恢復受影響的系統的解決方案 ”。EDR解決方案必須提供以下四個主要功能:檢測安全事件、存儲端點處的事件、調查安全事件并提供補救指南。


Gartner認為,大多數EDR解決方案應有的功能包括:


1、具有檢測和阻止隱藏漏洞利用的進程,這種進程能夠逃避傳統AV檢測能力,不能用簡單的簽名和特征檢測到;

2、威脅情報;

3、跨終端的可見性,以檢測惡意活動并簡化安全事件響應流程;

4、警報的自動化以及防御性響應,例如在檢測到攻擊時關閉特定進程;

5、取證功能,一旦攻擊者進入內部,就需要深入研究其活動的能力,以便能夠了解其活動軌跡并最大程度地減少破壞的影響;

6、數據收集以建立用于分析的存儲庫。


證據2:EDR頂尖廠商的說明

Gartner2019年顧客的選擇,EDR上榜的10位廠商和產品分別是:



上榜兩次VMware carbon Black定義EDR核心方面包括:


1、全面統一的數據(能夠幫助安全分析人員提供對應的數據,幫助他們調查和發現復雜的威脅,在威脅事件真正發生發出警報前);

2、最大化的可見性(可以幫助安全分析人員了解全局的環境和數據,進行關聯);

3、實時響應的能力;

4、能夠跟其他安全工具集成或聯動。


對于勒索病毒的檢測、漏洞的掃描和修復都屬于傳統終端安全產品的安全手段。殺毒軟件可以準確地抓取惡意代碼,卻無法準確了解惡意軟件來自哪里及攻擊是如何在系統中傳播的。


而EDR擅長對未知威脅的檢測、終端全量數據的采集與記錄、IOA規則匹配、安全事件的挖掘和關聯、溯源、響應補救的能力,能夠描述整個攻擊過程,若當一個惡意軟件被殺毒軟件或者桌管軟件阻止,EDR可以提供分析的能力。因此,在進行終端安全防護的時候,并不是要做“三選一”選擇題。


接下來我們再來看看國內EDR市場現狀。


中國市場的EDR工具提供商可大體分為三類,即以殺毒為維度包裝出來的EDR產品、以主機IDS為維度的EDR產品、以溯源為維度的EDR產品。


?以殺毒為維度包裝出來的EDR產品

可以理解為本土化搶占EDR概念,快速推向市場的一個執行思路。既然核心是殺毒,對于未知威脅的檢測和響應能力略顯不足。


?以主機IDS為維度的EDR產品

補充終端層面的入侵威脅檢測能力,但EDR不是HIDS,只是具備HIDS部分功能,而不是全部能力。


?以溯源為維度的EDR產品

這與Gartner定義的EDR產品思路比較接近,在對威脅檢測與響應的同時,提供較強的溯源能力,進而找到安全事件的發生源頭,給整改提供有力的數據支撐。


無論是AV、HIDS還是EDR,都有其獨立的產品能力和應用場景,所面向的安全防護能力也是有差異的。從最基礎的產品定義與核心能力角度去看,這三個產品之間不僅沒有競爭關系,在面向的安全防護場景還是互補狀態。


為什么現在來看三個產品之間的同質化如此嚴重呢?


作為終端形式的產品,它們在功能上都會有共性。但是EDR作為一個新概念、新思路的產品,不是完全由AV、HIDS改造或者包裝而來的產品。雖然從市場的角度來看,花一份錢就能做到兩樣或者三樣事情,性價比特別高了,但是對于產品定型及選型,專業的問題還是要交給專業的產品來做。

上一篇 下一篇