端点检测和响应(EDR)产品为IT人员提供端点可视性,以检测恶意行为,分析数据以及提供适当的应急响应。EDR是新型安全市场的一部分,Carbon Black、Cisco、CrowdStrike 以及FireEye等全球知名厂商都在加快对该领域的部署,以抢占市场份额。
如今,提到EDR就不免会接触到“威胁捕获(threat hunting)”这一术语,它是指通过搜索大量数据这一过程,以发现威胁行为者或新型攻击的迹象,而不是依赖已知的威胁签名。它是威胁情报和大数据分析相结合的产物。威胁捕获是综合EDR解决方案的关键组成部分,同时也是EDR和端点保护平台(EPP)这两种易混淆概念的关键区别。
然而,EDR解决方案也正在经历一个变化周期。2016年,Gartner指出,
“EDR不是其他端点安全工具的替代品;它通常是其他工具在检测和可见性方面的扩展和补充,旨在提供端点安全功能”。
但是Gartner 2017年端点保护平台魔力象限又指出:
“到2019年,端点防护平台(EPP)与端点侦测与响应(EDR)的功能将合并为一个方案,用户仅需要为特定环境购买最佳产品即可。”
以下是安全专家就购买EDR解决方案前应该问自己的10个问题作出的解答:
1. 你想解决什么业务问题?
评估EDR解决方案的第一步就是“确定你想解决的问题”。对于大型组织的首席信息官(CIO)来说,其主要任务就是为安全运营中心(SOC)配置适当的工具以解决问题。但是要牢记:安全不仅仅是工具的问题,同时还是人的问题。迟早会有人因为错误配置系统的问题,使得企业遭受新型或高级持续性威胁(APT)危害。因为,即使是最好的网络可视化工具,也不能完全阻止一个动机明确且训练有素的对手。
FireMon公司的首席技术官Paul Calatayud对此也表示赞同,但其进一步补充道,这一观点同样适用于较小的组织。他表示,
“EDR解决方案有助于发现和识别网络威胁,但是它们不是“万能灵丹”,经过训练和实践的人员和流程,对于帮助指导响应和跟进等后续工作具有非常重要的意义。因此,需要制定这样一个规划:一旦该技术到位了,你可能仍需要投入更多的人力或培训,并制定一个全面的事件响应计划,以实现真正的EDR投资回报。”
2. 什么是EDR解决方案的数据回溯期?
一个EDR解决方案必须提供超过实时(point-in-time)的数据才能生效。他建议寻找一个可以提供至少30天的实时数据进行分析的解决方案。有些供应商甚至可以从档案库中提供90天到一年的历史数据用于调查目的。
3. EDR解决方案是否集成威胁情报平台和其他现有工具?
因为EDR工具旨在协助进行威胁捕获,所以对于这些工具而言,与威胁情报源或平台相集成,以快速分析威胁指标(indicators of compromise,IOC)是非常重要的。
安全平台通常有很多工具,那么你如何从管理门户中获取数据呢?EDR工具需要与现有工具(包括防病毒工具)集成。此外,在你购买EDR解决方案前,了解该EDR方案集成了哪些工具也是非常重要的。
4. EDR解决方案需要多少资源来支持该技术?
实施和运行EDR解决方案可能会非常麻烦。您可能需要参加培训,并与供应商的工程师合作才能将其启动并运行。如此一来,它可能需要花费许多时间和大量的资源,以实现可视化运行、学习破译结果以及确定如何在必要时进行故障排除。
在评估任何安全解决方案时,重要的是要了解该解决方案是否会通过要求大量的支持来减损您的资源,而不是允许您的团队像一个消费者一样,专注于解决方案中的数据。
建议潜在买家要仔细考虑如下问题:为了使这个工具产生价值,我需要做什么?分析师需要做什么?谁将对警报做出响应?EDR需要人员、流程和工具,但工具只是其中的一部分。
5. 该解决方案是否会破坏端点?
要提防那些在代理部署或威胁调查期间会破坏端点的解决方案。为了解决这个问题,Clayton建议使用内核级代理的解决方案。
6. 该解决方案支持哪些操作系统?
在企业环境中混合使用Microsoft和Macintosh计算机是很常见的问题,必须确保所有端点的覆盖范围包含服务器操作系统类型。他补充道,EDR需要能够对环境可见化,例如,一个解决方案可能支持Windows,但不支持Linux,所以,必须确保你所需的解决方案支持您的系统和补丁计划。
7. 我应该注意哪些可扩展性问题?
EDR买家在扩展的环境中查询管理问题。例如,与30,000个端点相比,3000个端点的管理入口有什么不同?要求潜在供应商描述他们最大的部署和涉及的端点/代理的数量。
8. 解决方案是否提供工作流报告或与其他票务系统交互?
可用性是任何安全解决方案的重要组成因素。IT资源一直都是很少的,一个包含报告仪表板或集成到其他票务系统的解决方案会使生活变得更加便捷,但是一个不易操作的解决方案也是一种风险,因为用户可能会感到困惑,继而选择放弃该解决方案。
9. 该解决方案是否提供“多租户(multitenancy)”技术?
基于云的解决方案经常使用“多租户技术”来保持客户的独立性。Raim表示,EDR客户经常说他们不想要多租户技术,但当他们意识到该技术能为他们做什么时,他们会愿意使用该技术。借助“多租户技术”,客户可以分离自己的基础设施(如城市或业务单元),以实现更好的组织、控制和灵活性。但是这一决定必须要提前确定,因为改装多租户技术是非常困难的。
10. 我的组织是否能够负担起一个EDR解决方案?
考虑到企业SOC的成本很容易达到300万到500万美元,Raim指出,一些客户主要专注于”find and forget(发现并忘记)“解决方案,因为它们的价格实惠得多。一个管理服务可以为客户提供EDR功能,包括分析师输入(analyst input),减少客户对内部专业知识的需求。这些类型的服务可能会在可预测的12、24或36个月的合同中推出,或者成本可能会根据组织的架构和基础设施需求而波动。
*参考来源:csoonline,米雪儿编译整理,转载请注明来自 FreeBuf.COM