端点检测和响应 (EDR)

端点检测和响应（EDR）是一种技术形式，可对针对企业网络和系统的高级网络安全威胁提供持续监控和响应。 EDR 是端点安全的一个子集，当员工通过笔记本电脑、智能手机和其他移动设备远程访问网络时，它采用整体方法来保护企业网络和数据。由于这些资产位于将用户连接到公司技术堆栈的链的末端，因此它们被称为端点。

端点安全和 EDR 之间有什么区别？

端点安全保护企业网络上的每个端点免受漏洞、黑客攻击和其他网络安全威胁。端点安全负责确保端点设备和企业网络的整体安全。

端点检测和响应特别关注安全人员用于识别、调查和解决可能危害多个端点的高级威胁和复杂网络攻击的框架。

什么是端点检测和响应 (EDR)？

端点检测和响应是高级威胁感知和预防，旨在减轻来自端点设备的危险。 EDR 工具旨在跟踪端点诊断（日志、软件下载、可能的恶意代码）并提供详细信息，帮助安全团队识别、诊断和解决危害端点设备的安全威胁。这些威胁包括：

使用未受保护的 Wi-Fi 网络，攻击者可以在其中监视互联网会话

设备丢失或被盗

网络钓鱼活动和相应的恶意软件

弱密码（或根本没有密码）

缺乏对公司数据的控制

EDR 比端点保护更进一步，端点保护已不足以满足企业网络保护：它既是主动性的，也是防御性的。 EDR 平台会自动修复威胁并向安全管理员发出警报，安全管理员可以执行手动修复任务并在攻击发生时停止攻击。这些威胁和攻击包括滥用凭据、数据库泄露和勒索软件。

 EDR 的历史

端点检测和响应是 IT 世界中相对较新的技术和主题：直到 20 世纪 90 年代，企业才可以使用互联网。安全提供商在 2000 年代开始提供以端点为中心的解决方案。端点威胁检测和响应 (ETDR) 一词是由 Gartner 分析师于 2013 年创造的，他写道：“这个名称反映了端点（相对于网络）、威胁（相对于恶意软件和官方宣布的事件）和工具“主要用于检测和事件响应”该术语于 2015 年更改为 EDR。

EDR 满足了随着端点驱动的劳动力的出现而迅速发展的需求：企业突然需要为其系统和网络提供安全性，而这些系统和网络在 2000 年代初出现的大量网络攻击中苦苦挣扎。这对于大部分远程团队来说尤其重要，这些团队在 COVID-19 大流行期间显着增加。

端点检测和响应如何工作？

端点检测和响应平台执行以下关键功能：

收集有关流量、磁盘和内存信息、登录以及帐户活动的端点和网络数据

为安全团队提供文件和事件日志

当系统检测到异常或攻击时向安全运营中心 (SOC) 和安全分析师发出警报

分析收集的端点和网络数据，以便企业可以查看异常和正常流量的模式

执行补救任务，例如终止进程、阻止应用程序或运行脚本来阻止恶意行为

允许安全团队查看文件、事件日志、网络连接和配置

EDR 解决方案生命周期中的简化一天

威胁行为者（例如恶意软件或勒索软件）以企业的一个端点为目标。

收集端点数据并将其发送到企业的数据湖或云数据库进行分析。

先进的大数据分析揭示了当天端点流量的异常模式。

警报会自动发送给安全或 DevSecOps 团队。

EDR 平台执行以下两项操作之一：

自动修复威胁。

允许安全团队手动处理威胁。

威胁行为者的行为存储在数据库中，以便系统记住恶意模式的样子，并用它来评估未来的威胁。

 为什么 EDR 很重要？

当前基于端点的员工需要能够应对网络和设备复杂威胁的安全性。 EDR 填补了安全方法中的一个漏洞，因为它不仅仅是预防：最好的 EDR 解决方案能够在攻击发生后阻止攻击或减轻其影响。

端点是企业的主要安全风险，使用它们的员工也是如此。员工不仅有时会做出糟糕的密码和设备管理选择，而且还成为抵御网络钓鱼攻击的最大弱点。 EDR 通过收集重要数据并使用它来阻止攻击和破坏，帮助降低端点设备和网络受损的高风险。