EDR 与传统防病毒软件有何不同?

终端安全响应系统(EDR)是传统终端安全产品在高级威胁检测和响应方面的扩展和补充,通过威胁情报、攻防对抗、机器学习等方式,从主机、网络、用户、文件等维度来评估企业网络中存在的未知风险,以行为软件为核心,利用威胁情报,缩短威胁从发现到处置的时间,有效降低业务损失,增加可见性,提升整体安全能力。

几十年来,企业一直渴望有一套防病毒套件,以期一举解决企业安全方面的挑战。但是,随着恶意软件威胁的复杂性和攻击范围的扩大,传统防病毒软件的缺点变得非常明显。

为此,一些供应商重新思考了企业所面临的安全挑战。 那EDR与传统防病毒软件有何不同?

为了充分保护企业或组织免受威胁,了解EDR与传统防病毒软件之间的区别非常重要。这两种安全方法在本质上是不同的。

传统防病毒软件的特点

传统防病毒软件为企业提供了一种阻止已知恶意软件的方法,即在文件写入计算机设备的磁盘时对其进行检查或扫描。如果防病毒软件扫描程序的恶意文件数据库熟悉该文件,该软件将阻止恶意软件文件执行。

传统的防病毒数据库由一组签名组成,这些签名可能包含恶意软件文件的哈希或包含文件必须匹配的一组特征的规则。此类特征通常包括在恶意软件可执行文件中发现的人类可读字符串或字节序列、文件类型、文件大小和其他类型的文件元数据等内容。

一些防病毒软件还可以对正在运行的进程执行原始启发式分析并检查重要系统文件的完整性。在每天大量的新恶意软件样本开始超过传统的防病毒软件供应商数据库的更新能力,只有事后或在被感染后被添加到数据库中。

鉴于日益增长的威胁和防病毒方法的效力下降,一些传统供应商已尝试用其他服务来补充 传统防病毒软件的缺陷,例如防火墙控制、数据加密、进程允许和阻止列表以及其他防病毒“套件”工具。此类解决方案通常被称为“EPP”或终端保护平台,但其核心仍然是基于签名方法。

EDR的特点

虽然所有防病毒解决方案的重点都放在引入系统的(潜在的恶意)文件上,但相比之下,EDR侧重于从终端收集数据并实时检查该数据是否存在恶意或异常模式。顾名思义,EDR系统的想法是检测感染并启动响应。在没有人工干预的情况下,EDR的速度越快,效果就越好。

一个好的EDR还包括阻止恶意文件的功能,但重要的是EDR认识到并非所有现代攻击都是基于文件的。此外,EDR为安全团队提供传统防病毒解决方案中没有的关键功能,包括自动响应和深入了解终端上发生的文件修改、流程创建和网络连接,这对于威胁搜寻、事件响应和数字取证至关重要。

防病毒软件的缺陷

防病毒解决方案无法跟上当今企业面临的威胁的原因有很多。首先,如上所述,每天出现的新型恶意软件样本的数量比任何签名编写团队能够跟上的数量都要多。

鉴于防病毒解决方案无法检测到其中的许多样本,企业必须假设他们将面临防病毒软件无法检测到的威胁。

其次,即使不重写恶意软件,攻击者通常也可以轻松绕过通过防病毒签名进行的检测。由于签名只关注少数文件特征,恶意软件开发者已经学会了如何创建具有变化特征的恶意软件,也称为多态恶意软件。例如,文件哈希是最容易更改的文件特征之一,但内部字符串也可以随恶意软件的每个构建版本进行随机化、混淆和加密。

最后,出于经济动机的攻击者(例如勒索软件运营商)已经超越了简单的基于文件的恶意软件攻击。内存中或无文件攻击已变得普遍,像Hive这样的人为操作的勒索软件攻击,以及像 Maze、Ryuk 和其他人这样的“双重勒索”攻击,这些攻击可能始于被破坏的或暴力强制凭证,或利用RCE(远程代码执行)漏洞,在不触发基于反病毒签名的检测的情况下,可能会通过数据泄露而导致知识产权受损。

EDR的好处

由于专注于为企业安全团队提供可见性以及自动检测响应,EDR 能够更好地应对当今的攻击者及其带来的安全挑战。

通过专注于检测异常活动并提供响应,EDR不仅限于检测已知的、基于文件的威胁。EDR的主要价值在于,无需像对防病毒解决方案那样精确定义威胁。EDR 解决方案可以查找意外、异常和不需要的活动模式,并向安全分析师发出警报以进行检测。

此外,由于 EDR通过从所有受保护终端收集大量数据来工作,因此它们为安全团队提供了在一个方便、集中的界面中可视化这些数据的机会。 IT 团队可以获取这些数据并将其与其他工具集成以进行更深入的分析,从而在组织确定未来潜在攻击的性质时帮助了解组织的整体安全状况。来自 EDR 的综合数据还可以实现追溯性威胁追踪和分析。

也许先进的EDR最大的好处之一是能够获取这些数据,将其放在设备上,并在不需要人工干预的情况下减轻威胁。然而,并不是所有的EDR都能够做到这一点,因为许多都依赖于将EDR数据传输到云进行远程分析。

EDR 如何助力防病毒软件

尽管它们在单独部署或作为EPP解决方案的一部分部署时存在局限性,但防病毒软件可以作为 EDR 解决方案的有效补充,并且大多数 EDR 将包含一些签名元素和基于哈希的阻止作为“深度防御”策略的一部分。

通过在更有效的EDR解决方案中加入防病毒软件,企业安全团队可以获得简单阻止已知恶意软件的好处,并将其与EDR必须提供的高级功能相结合。

使用主动 EDR 避免频繁警报

如上所述,EDR为企业安全和 IT 团队提供了对组织网络中所有终端的深入可见性。然而,尽管有这些优势,许多EDR解决方案未能产生企业安全团队所希望的影响,因为它们需要大量的人力资源来管理。现实情况下,由于人员配备或预算限制而经常无法获得的资源,或者由于网络安全而无法获得的资源技能短缺。

现实中,许多依赖于EDR的组织并没有为他们的 IT 和安全团队提高更高的安全性和更少的工作量,因为要对受感染的设备进行分类,且要对堆积如山的EDR警报进行分析。

其实这是对EDR的错误使用,也许EDR最有价值的潜力是它能够自主缓解威胁,而根本不需要人工干预。通过利用机器学习和人工智能的力量,主动EDR减轻了SOC团队的负担,并且能够在不依赖云资源的情况下自主缓解终端上的事件。

这意味着威胁可以快速缓解,比任何远程云分析都要快,而且无需人工干预。

主动 EDR 对你的团队意味着什么

考虑到这个典型的场景,用户在谷歌浏览器中打开一个标签页,下载一个他们认为安全的文件并执行它。该程序利用PowerShell删除本地备份,然后开始加密磁盘上的所有数据。

使用被动EDR解决方案的安全分析师的工作可能很困难,会被警报淹没,分析师需要将数据组合成一个有意义的攻击事件。使用主动EDR,这项工作由终端上的代理完成。主动EDR了解全部情况,因此它会在加密开始之前在运行时缓解这种威胁。

当攻击事件被缓解后,攻击事件中的所有元素都会得到处理,一直到用户在浏览器中打开的Chrome 选项卡。它的工作原理是为攻击事件中的每个元素提供相同的故事情节 ID。然后将这些攻击事件发送到管理控制台,为安全分析师和 IT 管理员提供可见性和轻松的威胁搜寻。

本文翻译自:https://www.sentinelone.com/blog/edr-vs-enterprise-antivirus-whats-the-difference/如若转载,请注明原文地址

添加回复:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。