终端检测与响应(EDR)近几年来一直是很有价值的技术,但其有限的视野也留下了很多盲点。如今,是时候进化到XDR了。
安全人员试图在终端和主机上查找可疑行为或可疑行为的踪迹时,终端检测与响应(EDR)是一项很有用的重要技术。网络安全自计算机诞生之初就相伴左右,但EDR领域却尚处于萌芽阶段,第一款解决方案甚至仅追溯到5年前。
EDR技术监视终端,并将数据存储到中央存储库中供分析,以便检测威胁。通常,EDR解决方案会要在主机系统上安装软件代理,提供监视和报告要用到的数据。
现如今,用户面对的威胁越来越多,EDR在高级防护中所处的位置也越来越重要。事实上,一位业内顶尖渗透测试员就曾透露,他通常可以在1小时内通过攻击用户和终端而侵入被测公司企业。商业领域中Windows系统广为使用,但其很多内部功能都可被恶意黑客用于控制主机或渗漏数据。
虽然EDR很有价值,但其可见性却并不很大。该技术类似于从轮船舷窗往外看,只能看到一小截地平线,视野相当有限。想要确定天气如何,如果周边岛屿环绕或有过往船只遮挡,从舷窗是看不出什么的,只能走上舰桥以获得全面的视野。
传统EDR视野狭隘
传统EDR的焦点只放在终端上,所以必须进化到囊括一系列数据集的XDR才能跟上时代的发展。除了终端,云、威胁情报、网络数据、日志信息,甚至社区数据都应包含进来。来自更多实现点的更多数据源,可以令安全团队和技术产品更快发现更多威胁,然后加以阻止。
这有点像是在舰桥上就能一切尽入眼帘一样。不同的是,XDR纵观攻击的所有元素,而不仅仅是在一台终端上发现的那些。XDR增加了转译不同数据源数据所需的分析,令安全分析师的调查工作更有效率。
XDR看到一切
因为XDR解决方案对实施点有所了解,也就可以从包含终端在内的不同位面,更快地响应并封堵威胁。而若使用的是传统EDR,终端上检测出的信息或许能昭示数据泄露,但我们能所能知道的也就只有终端上发生的那些了。该解决方案可以看到终端发生的事件并转到其他终端加以评估。但如果源是外部的,EDR就毫无帮助,因为终端看不到网络数据,终端数据揭示不了任何东西。
我们需要的是对威胁的网络部分以及攻击不同阶段间联系的可见性。比如说,昭示管理员凭证被黑客从服务器A盗取又用于渗透服务器B的那些证据。
XDR可对威胁追踪溯源
采用XDR,系统可以更好地追踪恶意流量来源,重建攻击全貌。这可以帮助安全团队更好地理解发生了什么,确定攻击发生的位置,在最有可能的实施点加以响应。若缺乏XDR,我们所能知道的就只是攻击发生了,在某台终端上。还是用舰船来打比方。船底有积水,说明船漏水了。你可以把积水拖干,但如果不知道渗漏的源头,问题还是无法得到解决。
EDR最令人诟病的一点,在于其很大程度上只关注检测,如果你不是专家,EDR对响应其实帮助不大。而XDR检测与响应并重。EDR其实可以写作EDr——小写r以表达其对响应的忽略。XDR则是D与R都大写,对所有潜在数据源都是检测与响应两手抓,能让安全团队在对抗恶意黑客时占据更大的赢面。
EDR兴盛时期,它确实是安全人员的工作利器,因为可供看清终端上所发生的事情,而终端当时确实是最大的攻击点。如今,我们生活在万物互联的世界,EDR只有进化成XDR,才能让安全团队视野更广,工作更趁手。如果正在规划安全团队的时间和预算,何不跳出终端,放眼更广呢?
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
