→產品訊息

新聞中心

 

需要回應:為什麼用EDR識別威脅還不夠

犯罪者是偽裝大師,使自己裝扮成一名僱員,繞過廣泛的預防性安全控制並盜走了保險庫中的物品。幸運的是,該建築物配備了強大的檢測安全措施,並且該竊賊(未意識到雷射光束的位置)很快就發出了靜音警報。幾分鐘後,幾名裝備精良,經驗最豐富的警官將建築物蜂擁而至,將對象追到一個大儲藏區,在那裡他們發現他瘋狂地翻閱大文件盒,塞滿了背包中的一些文件。

當其他警官準備就緒時站在走廊上時,一個警員開始向前走去,大聲喊道:“一切都結束了,哥們。這是路的盡頭。”犯了恐懼的罪犯轉身逃跑。當他開始走向貨運入口時,他驚訝地聽到只有自己的腳步聲在牆壁上迴盪。他偶然回頭看了一下那個沒動的警官。“你以為你可以跑步,但我們找到了你!你被捕了!”警員大喊,仍然沒有動彈。犯罪分子知道必須要發生的事情,藉此機會匆匆退回了箱子,搶走了他不義之財。他回頭看那位仍然被凍結在位的警官。

罪犯難以置信地看著警官,笑著搖了搖頭。沒有感到威脅,他慢慢地帶著巨大的機密文件整理到深夜。


“ R”的存在是有原因的

在警察領域是如此,在網路安全領域也是如此:沒有回應,偵查就毫無意義。不是任何回應,而是正確的回應。

EDR高度重視其在最短的時間內檢測到最多數量的最新威脅的能力。但是,如果沒有一套廣泛而完善的回應機制,即使是最好的檢測能力也幾乎沒有用。與傳統的防病毒產品不同,EDR並非“一勞永逸”的技術–您不能只是將其放在網路上就可以稱之為完整。您充分應對威脅的能力將取決於兩個因素。儘管有能力的分析員是至關重要的,但不要用不足的工具來限制他們對保護您的企業同樣重要。


回應選項必須廣泛

如果我們的官員可以使用全部回應功能,該怎麼辦?犯罪分子是無法預測的,因此無法提前知道“舉起手來”是否足夠,或者是否需要召喚後備人員,使用電擊槍或追逐敵人。如果您無權訪問最佳回應方法,那麼確定最佳回應的能力是不夠的。

網路安全也是如此。EDR市場在回應能力方面存在巨大分歧,因此,應對能力(或無能力)進行充分考慮應作為購買考慮。任何完善的EDR都會產生必要的上下文,並以一種使您能夠輕鬆快速地評估情況的方式進行呈現。良好的EDR將為您提供全方位的回應功能。你應該殺死這個過程嗎?重新啟動機器?隔離盒子?提供的靈活性可能會影響您處理威脅的速度。

理想情況下,根據SANS Institute報告,您的EDR至少應具有以下回應選項:
–終止正在運行的進程
–阻止基於名稱,路徑,參數,父級,發布者或哈希值執行進程
–阻止特定進程在服務器上進行通信網路
–阻止進程與特定的主機名或IP地址通信
–卸載服務
–編輯註冊表項和值
–關閉或重新啟動端點
–從端點註銷用戶
–刪除文件和目錄

但是,如果無法立即獲得所需的特定回應,該怎麼辦?在這種情況下,您需要能夠編寫自己的腳本以執行自定義操作或回應。許多EDR缺乏使之成為可能的技術,但尋找它很重要-僅僅是因為您的業務需求現在不需要,並不意味著將來不再需要。 

EDR:反應過度緩慢?

如果我們的警察可以追捕犯罪嫌疑人,但只能一步一步怎麼辦?如果他或她可以要求備份,但要花45分鐘才能到達該怎麼辦?

如果不能及時遏制威脅,那麼僅憑設想的每一個應對措施還不夠。

隨著攻擊者以更快的速度從最初的折衷轉變為對目標採取行動,“將票證重新分配給IT”的舊方法不再削減它-到IT注意到票證時,攻擊者可能已經走了。

重要的是要有最好的回應。但是,當您還不知道什麼是什麼時,最好的回應可能不是您的第一個回應。換句話說,有時您將希望能夠在調查和確定範圍時隔離受影響的設備,以限制威脅的影響。

EDR與現有工作流程集成的能力(而不是規定那些工作流程)也可以帶來很大的不同。很多人關注MTTD(平均檢測時間),但這只是故事的一部分。ETR有效性的更好指標是MTTR(平均回應時間)。根據SANS Institute分析師Jake Williams的說法,在檢測和回應之間精心安排行動的企業具有更有利和更可靠的MTTR指標

在市場上所有速度和功能水平上,都不乏EDR解決方案。值得一提的是,要確保您提供與檢測一樣多的回應–請記住,當您選擇EDR時,您正在與將為您的企業提供服務和保護的技術合作。當芯片故障時,您是否將擁有可以及時識別,跟踪和消除威脅以防止大規模破壞的EDR?

在未來的博客中,我們將說明檢測和回應應如何與預防並行進行,以保護您的企業。 

 是否想了解有關在EDR中尋找和注意的內容的更多信息? 單擊此處以閱讀“為什麼傳統EDR無法正常工作以及如何處理”。

 資料來源:https://www.mcafee.com/blogs/enterprise/endpoint-security/response-required-why-identifying-threats-with-your-edr-isnt-enough/