安全前移:如何选择EDR产品?
2020-08-07
来源:安全牛
随着新冠病毒大流行远程办公成为“新常态”,以及网络犯罪爆发式增长,端点保护已成为企业在旧安全边界消失时,抵御复杂的恶意软件和防不胜防的零日威胁的第一道防线。
虽然市场上的EDR/EPP端点安全产品非常丰富,但是选择适合企业的端点保护解决方案并不容易,需要考虑多种因素,例如EDR产品方案的适应性、有效性、扩展性、先进性等。以下安全牛整理了数位国外网络安全专家的见解,希望能够对读者有所启发或帮助。
AT&T网络安全部门市场负责人Theresa Lanowitz
端点是企业的最高安全风险所在,尤其是考虑到COVID-19带来的运营虚拟化转变。随着越来越多的恶意行为者利用能够逃避传统端点防护工具发起针对端点的新型攻击,组织必须寻求高级端点检测和响应(EDR)解决方案。
传统上,企业EDR解决方案成本高且复杂,成功实施EDR的难度很大。尽管许多安全团队认识到对EDR的需求,但大多数企业没有资源来管理独立的端点安全解决方案。
因此,在选择EDR解决方案时,应当寻找用于威胁检测,事件响应和合规性的统一解决方案并整合到组织的现有安全堆栈中,降低附加成本或复杂性至关重要。好的端点解决方案,可以帮助安全团队在同一个平台上部署高级EDR以及许多其他基本安全功能,以提高安全性和网络运营效率。
总而言之,组织选择EDR解决方案的目标,是让安全团队能够更快地检测和响应威胁,同时降低成本和复杂性。
VMware Carbon Black网络安全策略师Rick McElroy
随着威胁形势的不断发展,企业选择EDR产品方案的过程中需要考虑许多因素。安全团队是要替换过时的恶意软件防护?还是要实现全自动的安全操作流程?以下是主要考虑因素:
·该平台是否具有适合您IT环境的灵活性?端点的系统通常都是多样化的,因此EDR需要能支持多种操作系统。
·供应商是否支持MITER ATT&CK框架来测试和完善产品?企业需要测试安全技术,验证覆盖范围并确定其环境中的漏洞,并实施缓解措施以减少攻击面。
·与传统的防病毒软件相比,它提供更深入的攻击可见性吗?组织需要更深(丰富)的背景来做出预防、发现或响应的决策。
·该平台是否在一个轻量化传感器中提供多种安全功能?计算资源是昂贵的,端点安全性工具应尽可能不影响系统性能。
·该平台可大规模使用吗?如果您的端点保护平台不能集中分析数百万个端点的行为,那么它将无法发现正常活动中的微小波动来揭示攻击。
·供应商的产品路线图是否满足组织的未来需求?选择任何工具都应与团队的成长相匹配,一个好的EDR产品方案能够使用多年,并围绕它建立自动化流程。
·该平台是否具有开放的API?安全团队希望(未来)将端点与SEIM、SOAR平台和网络安全系统集成。
Commvault金属产品与工程副总裁David Ngo
由于COVID-19大流行,数以百万计的人转为远程办公,员工在家工作时使用的笔记本电脑甚至是家用电脑端点特别容易丢失或者泄露数据。
对于企业而言,选择一种强大的端点保护解决方案比以往任何时候都更为迫切和重要,该解决方案应当能够:
·降低丢失数据的风险。好的EDR解决方案应当能够在一天中多次运行自动备份,以确保最新数据得到保护,并提供安全功能,例如地理位置定位和远程擦除丢失或被盗的笔记本电脑。备份数据与源数据的隔离还可以提供针对勒索软件的额外保护。此外,异常检测功能可以识别异常文件访问模式发出攻击警报。
·实现快速恢复。如果端点受到威胁,该解决方案应通过提供元数据搜索以快速识别备份数据来加快数据恢复。对于该解决方案而言,提供多个粒度还原选项(包括时间点、异地还原和跨OS还原)以满足不同的恢复需求也很重要。
·减轻用户和IT人员的管理负担。具有静默安装和备份功能的端点解决方案不需要最终用户采取任何措施,也不会影响他们的生产力。该解决方案还应允许用户和员工从支持浏览器的设备随时随地访问备份数据,并使员工自己搜索和还原文件成为可能。
CrowdStrike公共部门副总裁James Yeager
选择端点保护(EPP)解决方案为其业务寻求最佳防护的决策者应当意识到,传统的端点安全解决方案通常无效,使组织极易受到破坏,同时给安全团队和用户带来沉重负担。
由本地体系结构设计的旧版端点安全工具无法实现现代EPP解决方案中提供的功能,例如实时收集数据,长期存储并及时分析。通过将威胁遥测数据存储在云中,EPP方案可以快速搜索PB级数据,从而为任何托管系统上运行的活动收集上下文历史数据。
企业还需要警惕那些宣称能提供“云端防护”的(旧产品)改装产品。简而言之,这些“新瓶装旧酒”的改装产品无法匹敌云原生解决方案的性能。企业购买此类过时安全产品存在风险,因为这些工具无法扩展以满足当今分布式劳动力不断增长的需求。
此外,全面了解企业的威胁状况和整体IT卫生状况是构筑有效的端点安全壁垒的基础。在利用机器学习的安全堆栈中实现云原生端点检测和响应(EDR)功能,将在整个杀伤链中提供可见性和检测,以提供威胁防护。此外,“安全卫生第一”的方法将帮助您在威胁周期的早期识别出最关键的风险区域。