在如今網路攻擊變得更加普遍、更加先進的時代,僅運用端點防毒軟體以及防火牆已經不足以面對現今的威脅,需要偵測和回應能力,可以捕捉繞過傳統安全措施的威脅。本文簡單的介紹四種 DR (檢測回應) 的分別。
(EDR) 端點偵測回應
(NDR) 網路偵測回應
(XDR) 擴展偵測回應
(MDR) 託管式偵測及回應
(EDR) 端點偵測回應 Endpoint Detection and Response
連接到網路的每台設備都代表來自 Internet 的威脅的潛在攻擊媒介,並且這些連接中的每一個都是通往企業資料的潛在 Gateway;一般而言,EDR 解決方案從端點收集資料,使用它來識別潛在威脅,並提供有用的方法來調查和回應這些潛在威脅,自動產出後續報告。
範圍:端點和主機
意圖:端點/接入區域保護免受滲透、監控和緩解、漏洞評估、警報和回應
方法:惡意行為、攻擊指標 (IoA)、妥協指標 (IoC)、簽名(signatures)、機器學習(ML)
(NDR) 網路偵測回應 Network Detection and Response
這是從傳統的網路安全演變而來的,是 NTA (網路流量分析) 的一個子領域,它可以全面了解網路的已知和未知威脅;提供集中的、基於機器的網路流量分析和回應的解決方案,透過包括高效的工作流程和自動化、網路中的定位和機器學習 (ML) 的幫助,洞察和分析所有的網路,來識別和消除特別是橫向移動。
範圍:網路和設備間流量
意圖:網路流量的可視性/透明度、已知和未知威脅和橫向移動的偵測、警報和回應
方法:攻擊指標 (IoA)、異常檢測、用戶行為、機器學習(ML)
---------------------------------------------------------------------------
(XDR) 擴展偵測回應 eXtended Detection and Response
借助更強大的人工智能和自動化方法,擴展了 EDR 的潛力,因此【擴展偵測回應(XDR)】不僅集成端點,而且通過超越單向量點解決方案,將設備間流量以及用於分析和評估的應用程序包括在內,從而提供對企業網路的可視性。
由此產生的海量資料庫/資料湖泊(data Lake)實現了基於機器的精確分析和高效偵測,主要是透過使用部署的組件對資料進行深度集成和關聯。
結合使用 SIEM(安全性資訊與事件管理),可以進一步增強這種相關性和可視性,可以向指示和事件提供進一步的元數據(Metadata),以促進惡意軟體的緩解(攻擊預防)和/或補救(攻擊後系統的恢復)。
範圍:端點、主機、網路和設備間流量、應用程序
意圖:多個安全級別(網路、端點、應用程序)的可視性/透明度、在橫向級別偵測已知和未知威脅,包括所有組件、整體監控和緩解、漏洞評估、警報和回應、事件的簡化和整合,以及活動和有針對性的反應
方法:機器學習(ML) 、攻擊指標 (IoA)、異常檢測、用戶行為、惡意行為、妥協指標 (IoC)
---------------------------------------------------------------------------
(MDR) 託管式偵測及回應 Managed Detection and Response
【託管式偵測及回應】,這裡的重點不是技術,而是服務。作為 MDR 的一部分,客戶將他們的安全運營外包,並從全年、24 小時的可靠安全中受益。
安全供應商為他們的 MDR 客戶提供存取專門從事網路監控、事件分析和安全事件回應之安全分析師和工程師的權限。
範圍:端點、主機、網路和設備間流量、應用程式
意圖:多個安全級別(網路、端點、應用程序)的可視性/透明度、在橫向級別偵測已知和未知威脅,包括所有組件、整體監控和緩解、漏洞評估、警報和回應、事件的簡化和整合,以及活動和有針對性的反應
方法:機器學習(ML) 、攻擊指標 (IoA)、異常檢測、用戶行為、惡意行為、妥協指標 (IoC)
這四種解決方案的涵蓋範圍皆有所不同,如果企業有資安維運人員的情況下,可以考慮 EDR 或 XDR 的方案,這些方案需要人力進行監控與分析回報的異常;MDR 則是將部分的監控分析委外了,對應資安問題時則是需要與外部協力廠商的溝通與配合。
不同品牌廠商所提供的管理與偵測範圍也是不盡相同的,本文主要是提供一個理解輪廓,實際選購產品時,還是要了解產品能夠提供的功能與範圍,才能找到適合的產品。
沒有留言:
張貼留言