FineArt News

資安新知

在企業資料安全上,DLP的EDR 能幫上什麼忙 ?

端點保護平台(EPP)協助預防止端點設備上的安全威脅,包括已知和未知惡意軟體。端點偵測和反應(EDR)解決方案偵測並回應繞過EPP或其他安全措施的事件。哪個重要?可以只選一項嗎?許多現代新發表的EPP平台,大都結合了這兩種方法,同時提供了威脅防禦和端點偵測和反應(EDR),預防與反應措施的問題仍然相關。什麼是EPP?什麼是EDR?有什麼區別及不足的地方?

 

什麼是EPP

Endpoint Protection Platform 主要在防止傳統威脅(如已知的惡意程式)的攻擊和防止APT(如勒索軟體)的滲透危害。
EPP使用以下幾種方法偵測惡意活動:

  • 特徵比對配:使用已知(已公開)的惡意程式的特徵值識別威脅。
  • ML靜態分析:使用機器學習算法,在執行之前分析檔案並探索可能的威脅屬性。
  • 沙箱測試:在虛擬環境中執行程式以觀察其行為,然後再決定允許執行。
  • 黑名單和白名單:阻止存取或僅允許特定的應用程式、IP、URL或 port存取資源。
  • 行為分析:建立端點一段時間內的行為基準線,即使沒有已知的威脅特徵,也可以識別出行為異常的程序或用戶活動。

 

EPP通常包含以下工具,這些工具為端點提供被動保護:

  • 防病毒軟體和下一代防毒軟體(NGAV)
  • 個人防火牆及通訊控制
  • 資料加密,具有防止資料外洩的功能

 

而端點偵測和反應(EDR)由Gartner在2013年定義為一種新型的安全技術。如果能在異常活動或危害發生之前偵測出特徵,對可能的攻擊提供快速反應。雖安全人員通常對發生事件的可見性較低,但如果有EDR,卻可有效控制遠端程端點裝置進行處置。

EDR解決方案具有三個主要組件:

  • 記錄收集:端點設備上的Agent 收集有關程式執行,網路連線和檔案存取活動記錄。
  • 偵測引擎:分析一般的端點活動,發覺現異常並警示可能發生安全事件。
  • 反制措施與修復:依據偵測到的活動嚴重程度,主動實施反制措施或修復工作。

 

建議結合使用EPP和EDR來保護端點。 EPP是第一道防線,可以在威脅到達終點之前防範威脅。我們必須認知到保護並無法完全百分百完整,而EDR 主力在於滲透進來的惡意程式,基於“假設已經發生危害”而運作的。所以必須具有有效反制措施反擊以降低災損。EPP之所以至關重要,是因為它可以抵禦專業商品化的攻擊套件威脅。就像門上的精密電子鎖一樣,它不能防止盜竊,但會使攻擊者更難以穿透外圍防護。在許多情況下,這會使攻擊者選擇其他更輕鬆的目標,以避免與EPP防禦措施硬碰硬。

EDR關鍵價值在於提供了事件的可見性,和調查與反應的操作工具,讓安全團隊對威脅做出正確即時的反應。 EDR可以大大減少被成功攻擊之後的災損,控制擴散並將到達完整殺傷鏈所需的時間拖長。在構建安全解決方案套件時,需要同時考慮EPP與EDR;就好像治理城市同時需要警車(EPP)與救護車(EDR),同時進行邊境預防和偵測與反應,以確保用戶和企業系統的安全。

 

------那麼這樣就足夠嗎?在原有的系統上可以再更進一步保護資料,而不需要再裝一套系統?

 

是時候更新您的端點安全防護方案

在過去的20多年中,端點保護的主要解決方案是基於特徵比對的防病毒(AV)。當大多數網絡流量未加密且威脅不那麼複雜時,主動端點防毒系統與外圍防禦設備結合就足以保護大多數組織。但是威脅已經開始進化,大多數流量已加密,勒索軟體氾濫,並且有法律法規要求必須保護敏感資料。現實要求一種新的端點安全方法,一套不同以往的解決方案,以提供管理者或事件反應處理人員,對發生的事件擁有更大透明度和控制權。 

 

對此建議考慮像資料外洩防護(DLP)整合端點偵測和反應(EDR)

DLP解決方案可能會具備端點檢測和反應(EDR)特色。如果您要收集員工最近30天透過電子郵件發送或者使用的即時通訊軟體傳送對話和檔案,為什麼不追踪其在端點上的所有活動?

更進一步,為什麼不能監控端點上所執行的程序(running process),軟體及應用程式的檔案、網路存取行為,和一連串相關事件的活動組合?

既然可以監視端點上作業系統、使用者操作、應用程式等活動行為,為什麼不進一步進行主動管制?通常為了不干涉使用者日常業務運作,許多端點上的使用者操作是 允許正常使用的。這在傳統的端點防護系統的Device Control上,固定的規則設置就顯然不適合。因為其規則是事先定義好的,對於裝置或操做行為規範是固定允許或者禁用,面對現在多變的工作型態,顯得缺乏彈性。

想像在傳統EPP系統運作下,也許您想監控正在執行中的PowerShell觸發示警。當電子郵件中啟動PowerShell並修改註冊碼或產生網站連接時,可能您也想觸發警報。而當我們追蹤或收到觸發警報時,在傳統EPP很容易牽扯一長串的政策和規則組合,這使得調查時,不容易直覺探求原始肇因。傳統的危機處理方法需要大量蒐集記錄,異質性系統整需要先正規化記錄格式,分析記錄,再據以反應,這時候已經失去了先機。證據質量及有效度同時也令人存疑,因其來自不同系統,難以證明直接正相關。

DLP with EDR 解決方案為端點防護安全性,增加了一個重要面象。透過偵測特定相關(或不相關)事件活動行為組合,而非單一事件;並據此採取回應行動,並且留下反應處置記錄。另外解決方案通常還提供事件記錄的時間線,用以進一步調查。調查人員還可以在中央管理,遠端啟動反制措施,防止事態擴大。由於端點自行針對各方面事件活動,直接記錄、監視、控制,不但可以集中記錄上傳,有效關聯證據,還可以在第一時間阻止災害惡化。