EDR 首見於2013 年由Gartner 專家Anton Chuvakin,經過與業界專家討論後,歸類端點防護工具產品Endpoint Threat Detection & Response (ETDR)。到了2015年,大多Gartner的研究將它們稱為EDR工具。相較於傳統資安工具專注於網路、惡意程式和已公告的資安事件等) ,這名稱凸顯了在端點防護上的主要用途,威脅檢測和事件反應工具。使用Threat 這名稱就不僅是外部攻擊,內部不當活動也包含在內。供應商各自發展一些改進型,如XDR,NextGen等,擅長領域也可能些許相異。相較於以往。這些工具通常不擅長傳統的數位取證鑑識,像是全碟映像(Disk Image)獲取和分析等,但有些還是可以提供此類資訊以及執行其他取證分析功能。另一方面 XDR、NextGen下一代端點特色,發展預防/阻止/隔離為重點的工具,應該會自己成為一個新的類別。
為何在端點? 端點EDR的優點
儘管瀏覽惡意網站帶來的感染以前就存在,但現代攻擊變得比以往更加普遍。惡意程式只用系統本身已經存在的檔案來感染系統,不易被偵測;而其他形式的惡意程式(例如勒索軟體)也可以加密或破壞組織的文件,而導致大規模的業務中斷。這意味著新舊方法的攻擊都能起一定作用。要解決這樣的問題,就需要端點上足夠的控管防護,以提供進一步的預防、偵測和反應的功能。
為什麼聚焦在端點控制上?在外圍部署次世代防火牆(NGFW)集中分析流量,不是一個比較易於維護的方案嗎? 但由於多種因素限制,防火牆和許多其他網路控管設備所蒐集的資料缺乏可見性。如加密通信協定(SSL)就無法看到通過的封包內容,例如筆記型電腦登入和登出網域;而且無法檢查端點上發生的事件經過。相對地,在桌機、筆記型電腦或伺服器的攻擊,具備大量的活動軌跡,對於將來的預防檢測及反應措施是很有用的特徵。讓我們以勒索軟體為例:它可能牽涉到加密工具(如BitLocker)或內建的API;可能連接或掃瞄多個網芳,可能大量文件異動,並且向外感染其他端點。
為何傳統EDR 不靠譜 ? 被動是不夠的
就像許多資訊安全系統一樣,EDR一直未能有達成行其宣傳的功能。這現象與SIEM部署的不理想類似,這表現似乎違反直覺。據Gartner ”Why Traditional EDR Is Not Working—and What to Do About It”的研究結論,傳統EDR 呈現的缺陷主要來自於幾個因素:
無法與某些其他記錄來源整合
EDR 據以判斷威脅的記錄或資訊來源,可能來自於其他設備或SIEM。這牽涉各種不同規格的整合,通常經由SIEM。受限SIEM支援記錄的類型,某些偵測可能無法達成。
可用於鑑識調查的資料品質太低
傳統EDR的另一個常見缺陷是調查用的資訊品質不高。例如缺乏執行中的程序列表,註冊表項目和機碼值及連接中的連線。這些對於識別入侵非常有價值,但是該資訊本身並不完整。缺乏其他工具用來分辨誤報,並顯示真正警報的上下文資訊。
需要太多的樞軸完成分析
在未完成調查的前提下,分析人員應該使用完成調查所需的所有記錄。核心問題是分析人員常常發現無記錄可用,因為他們搜尋資料不容易齊全。例如的常見DHCP,許多系統日誌僅包含IP位址資訊,而在其他日誌將僅包含主機名稱。當然,某些日誌包含兩者,但保留時間長短也是問題。為了提供分析師事件的完整情況,所缺的每個樞紐資訊都降低了進行全面調查的可能性。
資安分析師掙扎陷入泥沼
許多EDR系統提供了太多選項,這種過多的配置會使管理人員不知所措。EDR的積極發揮作用是有其代價的,想充分利用EDR需要清楚知道,組織要問什麼問題,這一些問題對安全分析師的困擾尤其嚴重。例如,日誌要留存多久? 什麼日誌需要存在SIEM上? 那些記錄有相依關聯性,相異系統資料類型可否自動關聯? 需要那些記錄?很不幸的,平常的日子裡很難知道那些是必需要的;當需要事故調查的時候,這些問題才會逐步明確。
EDR不僅僅偵測,對理想EDR 應有的期望
到目前為止主要關注EDR系統的偵測功能和工作流程。但是EDR不僅僅是偵測,顯然反應能力也很重要,通常反應措施是對偵測功能的事後考驗。資訊安全團隊中的決策者(CISO)可能重視檢測功能,但EDR執行的許多資產蒐集、事件偵測功能,傳統的IT資產管理軟體也能辦到。充分利用進階EDR的主動反應功能,部署EDR的主要好處才變得明顯。
重點介紹EDR系統的一些理想反應措施功能:
EDR系統的理想反應措施
- 終止正在執行的程序
- 阻止程序的判斷特徵包含: 程序名稱,路徑,參數,上層行程,發行者或雜湊值
- 阻止特定程序在網路上進行通訊
- 阻止程序與特定主機名稱或IP位址進行通訊
- 卸載關閉服務
- 編輯註冊表項目和機碼值
- 關閉或重新啟動端點電腦
- 在端點撤銷用戶帳號
- 從作業系統中刪除檔案和目錄,即使它們正在使用中(可能需要重新啟動)
這些正好呼應了前面對於次一世代EDR 的期望:預防、阻止、隔離,正確的反應除了本機傷害減輕,更可防止災情的擴大。
相較傳統規則政策的侷限性,EDR 兼顧彈性
傳統的資安防護系統,政策規則都是預先定義,所有的行動計劃都固定在規則裡。而在實際工作活動上,固定的政策很難適用多變的業務需求。資安不是無限上綱,首重考量避免過度影響營運活動。EDR 規則具備偵測判斷,再採取行動措施,兼顧工作彈性與資料外洩防護;更避免了過去需要IT頻繁介入的困擾。