据预测,到2020年,终端检测与响应(EDR)解决方案将成企业重要安全技术,大规模的公司中有80%会投资EDR,中型企业是25%,小企业中投资EDR的比例则是10%。对可检测高级威胁的事件响应工具的需求将推动EDR市场增长,预计2015-2020年间,EDR市场年复合增长率(CAGR)将达45.27%。
EDR市场已步入高速增长期,2015年的年营业收入还只是2.38亿美元,到2016年就倍增到了5亿美元,2020年成长为10亿美元市场并不是空穴来风,更不可思议的是可能匹敌岁入32亿美元(2015年)的终端防护平台(EPP)市场。
尽管市场增长迅速,EDR这种预防性控制措施依然不是中小企业负担得起的。因为EDR需要专门的安全运营中心(SOC)团队人工调查事件警报,而这一高成本障碍目前只有大规模的公司才有足够的资源去跨越。但是,真的是这样吗?
EDR解决方案诞生的前提是:不可能防止所有威胁。也就是说,EDR的目标是最小化感染所致的宕机时间,同时尽可能减少所造成的破坏。然而,人手不足的IT团队非常容易被如今慢慢的变多的安全警报数量压垮,调查决策要么是信息不足的情况下做出的,要么是仓促的即审判决。这种粗线条的方法可能会引起整个网络都被侵入,尤其是在传统EDR管理不善或没完全发挥功效的情况下。
由于EDR代理通常安装在现有EPP代理和SIEM、IDS和IPS等其他安全技术之上,安全团队往往会被来自多个安全控制台的成千上万条警报狂轰滥炸,这样的一种情况下想要给安全事件分个轻重缓急几乎是不可能的。安全控制台的各自为战只会让安全大而无当,对增加可见性和提升企业整体安全态势毫无帮助。
EDR应只有一个代理,只用一个管理控制台,只专注真正重要的安全事件,而不是分散稀释掉本就不充裕的人力资源。毕竟,EDR应能让你的“安全特警队”专注对付真正的网络匪徒,而不仅仅像片警一样巡个街查个户口。
EDR代理提供的高级威胁追捕能力需要警报分级和专业团队的人工调查,所以其实际使用成本往往会超出最初的购买和部署价格。想要让EDR解决方案经营成本亲民,就得利用终端代理的内建智能来检测高级攻击。这么做可以让管理员只专注在突破了其他预防层的特定高级威胁上,避免他们在误报上荒度时间。这种增强版的安全运营可以自动归类真正重要的安全事件,无需全职安全专家团队调查每一起事件或异常。
因为检测出的隐秘威胁以上下文丰富的方式呈现,事件可视化和调查过程也能被大幅简化,管理员可以在数秒内评估威胁的影响。这种简化直接转化成了快速事件响应策略,管理员能够精准地删除或隔离威胁,控制威胁的蔓延。
这种进阶预防方法还带有从事件响应工作流微调控制措施防护级别的功能,可以通过专注真正重要的警报来降低事件响应成本。与传统EDR不同,智能EDR解决方案没那么多噪声,不会让本就资源不足的IT团队更加捉襟见肘,却能以高精确度提供同样的早期检测功能,而且任何公司企业都能入手无论企业规模如何,所处行业是什么,IT团队有多少人。
层次化安全解决方案在检测、预防和缓解99%的威胁上表现出色。但剩下的1%往往就是能瞒天过海的那类高级攻击。网络安全的前沿阵地就是要拥有准确识别此类隐秘威胁的能力。
人人都能使用的EDR,其价值在于其与现有EPP解决方案全面集成的能力,以及能够让IT管理员对整个基础设施的安全状态有个完整视图。最后1%的攻击不仅仅难以捉摸,还能隐藏在普通安全事件所产生的背景噪音中,所以IT管理员需要能够专注在真正的危险和问题上,及时有效地预防、调查、检测并响应高级威胁。
近年来,一种被称为无文件攻击的渗透形式与日俱增,它的流行给用户的网络安全带来了巨大威胁。面对这种披着合法外衣悄悄进行地攻击,许多端点防护平台(EndpointProtectionPlatform,EPP)纷纷失效,这让更多信息安全管理者决定,在端点保护中融合检测和响应解决方案(EDR)。这会成为新的端点防护趋势吗