技術專欄
端點防護是企業執行資訊安全防禦最基本的措施,然而,當惡意攻擊常態化、各式攻擊手法日新月異的情況下,如何增強端點防護,是企業近年來的資安防護重點,而端點偵測和回應(EDR)即是為了強化端點防護所產生的安全解決方案。本文就帶您來了解,何謂端點防護?以及端點偵測與回應機制(EDR)的重要性!
所謂「端點」指的是企業員工每天都會使用到的桌上型電腦、筆記型電腦、平板電腦、行動電話等;此外,像是伺服器、印表機、影印機等,所有的連網裝置皆可稱之為端點。而「端點防護(Endpoint Protection)」即是為了防止第三方透過這些裝置,在未經授權的情況下存取網路、應用程式或資料庫,以及協助保護端點不受惡意軟體侵害的安全措施。
由於端點是員工賴以創造生產力的裝置,加上遠距或隨處辦公的新型態混合工作模式,端點防護的重要性不言可喻。妥善做好端點安全防護,可避免企業機密或個人隱私等資料遭外洩,及企業聲譽蒙受損失;或是當偵測到惡意攻擊時,能即時防止或阻斷可疑程式的運行,以更有效率的方式解除資安威脅,避免系統停機或故障。
延伸閱讀:雲端資安關鍵五大建議,保障企業資料安全、防止資料外洩!
越來越多的企業仰賴網路現代化來提升業務成長,加上混合辦公模式儼然成為未來工作的新常態,透過端點防護可提升企業資安防禦力,並有助於提高管理安全風險的能力,其優點具體說明如下。
面對不斷翻新的攻擊手法,端點防護措施會收集最新的威脅情資和漏洞資訊,以便企業及早掌握並取得新型態的攻擊特性,並得以進一步完整分析攻擊資訊,適時調整資安策略。
端點安全解決方案可自動監控並標記端點上的異常活動,一旦偵測到惡意程式即會自動刪除,或阻絕可疑程式進一步的攻擊行為;此外,便捷的管理平台讓企業資安團隊可以更快地偵測和回應,以防護端點安全。
物聯網資安合規已是全球趨勢,透過端點防護措施能有助於企業確實執行資安合規要求,以完善保護企業資料、提升客戶信賴度及維護企業良好形象。
EDR 完整名稱為「Endpoint Detection and Response」,其主要功能就是針對端點進行偵測與回應。EDR 具備偵測判斷端點上可疑行為與未知程式的能力,藉由持續收集與分析各種異常活動,確認端點裝置是否遭受惡意威脅入侵,並掌握新型態的攻擊手法。一旦偵測到惡意程式,則會立即自動刪除或阻斷該可疑程式的運作,避免惡意病毒在公司內部散播,並同步回應給資安團隊,讓管理者得以快速採取相對應的措施。
除此之外,EDR 通常會以 MITRE ATT&CK 框架為核心,將公司所面臨的威脅及風險,以可視化方式呈現,讓資安團隊在第一時間得以獲取惡意攻擊的完整分析資訊,及了解更詳細的設備狀態和安全風險,使管理者能針對高風險威脅以更快的反應時間著手處理,減少企業損失。
EDR 改採行為分析,持續監控端點上的程序執行、網路連線、登錄檔修改等活動,而非依賴病毒特特徵碼(signature)。這代表即使是零時差漏洞(zero-day)或無檔案攻擊(fileless attack),EDR 也有機會在早期偵測到異常。
EDR 會將端點上發生的每一個事件記錄下來,包括使用者行為、程序呼叫、檔案異動等。這讓資安團隊可以「倒帶回收」事件時間軸,清楚還原攻擊者進入系統後的完整路徑,這是傳統工具做不到的。
EDR 在事件發生時可以自動執行初步回應,例如隔離受感染端點、終止可疑程序、封鎖惡意 IP,大幅縮短 MTTC(平均遏制時間)。這對人力有限的資安團隊尤為重要。
EDR 主流解決方案會對應 MITRE ATT&CK 攻擊技術框架,幫助資安人員快速理解攻擊者使用的戰術、技術與程序(TTP),不只是告警,而是提供攻擊脈絡。
EDR 自動化的日誌保存與事件報告功能,可以直接支援 ISO 27001、個資法、GDPR 等規範所要求的記錄與應變能力,降低稽核成本。
隨著網路攻擊手法日益頻繁、越趨複雜的情況下,EDR 端點防禦技術也備受關注。有別於傳統防毒軟體及資安設備(例如:防火牆、IDS、IPS、IDP、WAF),端點偵測與回應(EDR)除了可以攔阻已知的惡意軟體外,面對不斷變種且未知的勒索病毒,EDR 更能主動預防駭客的入侵,超前做到企業資安防護。
透過下表可明白 EDR 與傳統的資安設備及防毒軟體的差異所在,讓企業各取所需,選擇符合企業環境的資安產品,使資訊安全投資發揮最大的效益。
|
EDR |
資安設備 |
防毒軟體 |
|
|
已知惡意軟體或程式 |
✔ |
✔ |
✔ |
|
未知惡意軟體或程式 |
✔ |
✘ |
✘ |
|
APT 網路威脅 |
✔ |
✔ |
✘ |
|
DDoS 網路攻擊 |
✘ |
✔ |
✘ |
|
資安威脅可視化 |
✔ |
✔ |
✘ |
|
自定義防護規則 |
✔ |
✔ |
✘ |
|
依需求彈性採購 |
✔ |
✘ |
✔ |
以邁達特代理的端點防護解決方案為例,本文列舉 3 家產品可供選擇,其詳細介紹說明如下。
Cisco Secure Endpoint 整合了使用者管理和端點防護功能,在面對無孔不入的惡意程式時,可透過預防、檢測、回應等機制,在惡意威脅入侵前先行阻擋,並全面揭露威脅、漏洞等資訊,幫助資安團隊即時識別攻擊並快速回應,預估可縮短 85% 回應時間,及提高 86% SecOps 效率。Cisco Secure Endpoint 具備以下 6 大功能:
強大的 EDR 功能
整合式 XDR 功能
簡化調查作業
內建威脅搜尋的 SecureX
動態惡意軟體分析
Check Point Harmony Endpoint 被 AV-TEST 評為企業端點保護領域的頂級產品,同時也是業界首創的統合安全防護解決方案。產品主打可為網路、雲端、物聯網等提供 360 度全方面的端點保護能力;搭配產品內建的自主偵測與回應機制,可降低惡意軟體入侵後所帶來的衝擊。其產品具備以下 2 大特色:
綜合資安防護引擎:提供 EPP、EDR、VPN、NGAV、檔案和 Web 瀏覽保護等功能,可有效簡化企業管理流程、降低總擁有成本。
自動攻擊檢測、調查和修復:產品可自動執行 90% 的攻擊檢測、調查和修復工作,有助於縮短遭受駭客攻擊後的恢復速度。
VMware Carbon Black 為新世代端點安全防禦的領導品牌,甫榮獲 2023 年網路安全卓越獎端點安全性金獎肯定。VMware Carbon Black 整合了 NGAV、EDR 等 2 大機制,並內建獨創的進階防禦功能,可將各種型態的勒索軟體引誘至陷阱中,進而在重要檔案遭到加密之前,主動發現並阻止。
除此之外,VMware Carbon Black 與 VMware vCenter Server 整合,可大幅提升資訊團隊的工作效率,掌握各個端點裝置的威脅狀態。其產品還具備了以下6 大功能:
可識別高度精密的威脅
加快調查與回應時間
預防勒索軟體攻擊
簡化營運
保護混合式員工
消弭能見度落差
MetaAge 邁達特代理多家端點偵測與回應(EDR)解決方案產品,可協助企業以更快、更有效率的資安防護作業流程,降低企業遭受惡意病毒及軟體的侵害,使企業持續正常維運、減少損害。想了解如何選擇適合企業的端點防護解決方案,歡迎立即透過【線上填寫表單】與我們聯繫,讓我們由專人提供您更詳細的產品說明!
