先说说EDR是什么?字面的意思它就是端点检测和响应工具。目前这个产品在当前市面上已经有很多不同的品类,而且应用也是非常广泛。
当然提到广泛这个词,大家一听可能都已经做好了。但实际上我们作为一家企业的it或信息安全负责人,就此就可以认为安全可以高枕无忧了吗?我们从以下几个方面来分析一下当前。面临的整体的境况。
首先,EDR之类产品属于是端点检测和响应,那就意味着现有的一些威胁已经进入到最后一道防线了。那反过来说,相应的威胁已经到家门口了,那为什么没有在大院门口就已经进行检测和处理呢?
其次,当前对于端点威胁来说品类非常多,就比如当前的病毒种类,除我们现在已经知道的那还有一些通过这类产品无法去进行快速的响应和防御,那只能被动接受病毒,每日它的变种大到几万,10万 10多万,这里又如何去进行快速应对也是面临的一个很大挑战。
接着,我们现有的端点安全从细分领域上所涉及的内容也非常广,从早期的防病毒到后期的行为分析管控外设管理,内容识别与监控等等这些。只有一类无法去实现较为完整的解决方案,也就没法体现对于客户侧的价值,所以说从当前的技术眼镜上又出现了XDR!但不同产品都有它自身的一些优势和劣势,在此我们不做过多延伸。
第四,我们从这个产品本身来说,他属于是一种反应式的方法,传统的这类工具依赖于行为的一些分析。那这又意味着威胁已经到达端点,如果说我们不能够快速响应,在我们现有的安服团队或者安全人员才能进行下一步的清理加固等等措施。
最后我们都知道现有的企业有体量的,基本上都有相应的SOC系统,那对于现有的一些EDR产品所产生的一些分析,那SOC就需要去进行统计汇总并进行切实判断,如果说在一些行为模型和分析出现误判的情况,那这样会导致我们安福团队很大的人力成本浪费就无法去体现或者做更有价值的事情。
以上的分析,我们仅仅是从已经部署相应防御的情况下去考虑反向来说,那没有针的比如iot的设备,byod的设备等等,像这些本身在覆盖面上都无法去实现的,在安全上更加无法进行保障了。
以上我们是通过一些相对片面的。维度进行的一些分析,但就这些分析来看,我们不管是基于企业还是事业单位,都有必要在现有的安全基础之上增加新的或者是更为完善的安全保障机制!
通过当前的一些安全技术分析,我们知道有些技术是可以平移,可以前移,也可以下沉,那对于我们当前企业在端点安全上安全威胁的一些考虑,我们提倡以预防优先的战略原则,意思也就是说将检测前移。这个里面我们有听到过一些全量数据分析,有更先进的如机器学习深度学习,自我学习等等的一些技术,作为企业的安全负责人,我们建议要领先快速发展的网络威胁,在解决方案上要更迅速的采取一些落地行动,阶段性落实安全保障目标。
来源:安全壹壹肆公众号
暂无评论内容