【IT168 评论】随着网络安全威胁的爆发式增长,传统的网络安全防御已经难以和全新的网络安全威胁进行正面对抗。对于安全行业来讲,对已知安全威胁的防御已经相当成熟,但对于未知威胁的防范却成了很多企业的一大心病。
很多企业在安全威胁防护中都存在几大痛点,那就是可见性和检测性普遍较低,不能及时发现威胁,或者即便是发现威胁并进行了拦截也无法得知病毒来源于哪,还有没有其他影响。也正是基于这些痛点问题,EDR的概念逐渐浮现在大家面前。
EDR是什么?
EDR是一个简称,其全称为Enter point Detect Response,也就是端点检测和响应。严格来讲这并不是一个新概念,根据安全公司Sophos的销售工程师杨帆介绍,EDR在早些年是一个独立的产品,它和端点防护是分开的两部分。
Sophos的销售工程师杨帆
根据介绍,EDR主要用于威胁情报的收集,其情报主要是针对端点PC上可疑程序对系统做的所有事情。譬如读取哪些文件,写入哪些文件,有没有修改注册表,以及访问了哪些IP、URL或访问了局域网内的其他哪些机器等。通过对情报的分析来判断程序是否超越了安全的基线。也就是说,EDR并不是用来杀毒,而是用来做监控的。自2014年推出至今,Gartner在每年的大会上罗列的十大安全技术中均能找到EDR技术的身影。
可以说EDR技术的应用能够帮助企业用户很好的对安全威胁情报进行收集,以此增强企业安全防护。但一套完善的EDR解决方案并不是每家企业能负担得起的,当EDR产品收集到大量的情报后,需要投入大量水平极高的安全分析人员对情报进行分析,需要付出极高的人员成本,尤其对于中小企业来讲,恐怕是无法承担的。那如何才能让EDR技术真正在企业中得到应用?就在今年,Gartner做出相关预测,Gartner认为2019年的主要安全趋势是防病毒,端点保护和EDR要进行整合,这是业界的一大趋势。
Intercept X with EDR又是什么东?
作为新一代终端和网络安全厂商,Sophos对网络安全未来发展趋势进行了精准预测,并基于原有的Sophos Intercept X解决方案提供了EDR功能,推出了最新端点解决方案Intercept X with EDR。
该方案通过经由数以亿计样本训练的深度学习神经网络,对可疑的恶意编码属性进行搜寻,从而侦测未知安全威胁,并通过比对可疑档案的特征与SophosLabs中已分类的恶意软件样本,为企业提供广泛且专业的潜在攻击分析,使它们能够更迅速的对威胁进行识别及应对。
在此之前,只有具备了专业信息安全运营中心 (SOC) 或专业IT安全团队的企业,才能够对网络攻击进行成功追踪及分析,从而对安全事故进行侦查并作出响应。Intercept X with EDR推出后,无论是大型企业还是预算不多的中小型企业,都能够使用Sophos Intercept X with EDR,将威胁追踪和类似信息安全运营中心的功能新增至其防护措施,使安全威胁无法藏匿于企业网络内部而无从察觉。
IT主管现仅需一键即可获取SophosLabs提供的威胁情报,以及可疑事故偵查指引和跟进行动建议。SophosLabs為全面掌握威胁发展动向,每天追踪、解构及分析400,000宗独特且前所未见的恶意软件攻击,持续搜寻创新的攻击模式与网络犯罪技术。IT主管們的技术水平即使各有不同,他们全部皆可透过SophosLabs轻易获取第一手的法证数据,以实时确定辖下系统是否受到攻击,而相关攻击又属何种类形。
打开中小企业EDR市场
前文我们也提到,EDR并不是一个新的概念,但近年来各大安全厂商对EDR技术的应用确实得到了爆发式增长,那相比市面上其他友商的EDR产品相比,Sophos的优势又体现在哪些方面呢?对此杨帆进行了相关介绍:
●首先是基因方面的优势,Sophos无论是在软件还是硬件方面都有着相当全面的技术积累,在未来的发展过程中,通过这些软硬件方面的优势,能够更快地去收集到更多的情报,譬如AP、防火墙等这些网络设备获取的情报都可以进行海量收集,并统一收集到EDR产品中进行分析。
●其次,Sophos的EDR产品是基于Sophos Intercept X推出,Sophos Intercept X作为机器学习的组件,能够和传统的防病毒引擎同时工作,也就是说Sophos的终端防毒有两个引擎(传统的基于特征库匹配的杀毒引擎,以及基于机器学习的用于专门抵御未知威胁的引擎)。通过两个引擎的筛选能够帮助过滤掉肯定没有问题的情报,从而大大降低管理人员的工作强度,在提高效率的同时也节省了大量的人工成本。
●最后,在操控方面,Sophos的操控界面十分简单直观,管理人员不需要具备太专业的技术知识就能够进行相关操控。杨帆表示,Sophos的EDR产品的目标就是让企业花更少的投入拥有更简单易用的EDR产品。
写在最后
EDR产品自问世以来就得到了业界的肯定和追捧,但由于使用成本过高使不少中小企业望而却步,Sophos Intercept X with EDR解决方案的推出可以说在保证产品性能的前提下完美解决了EDR的使用成本问题,对于中小企业来讲是一大福音。我们也相信,随着技术的不断演进,未来EDR技术将会更加趋于成熟,更加简单易用!