端点侦测与回应

端点侦测与回应(endpoint detection and response)简称EDR,也称为端点威胁侦测与回应(endpoint threat detection and response)是一种计算机安全技术,人们通过端点侦测与回应可以持续监控诸如手机笔记本电脑物联网设备等端点,以缓解恶意的网路威胁[1][2][3]

历史

高德纳咨询公司的Anton Chuvakin在2013年创建了“端点威胁侦测和回应”(endpoint threat detection and response)一词,是指“主要著重在侦测主机或端点上的可疑行动,对其调查并且追踪的工具 ”[4]。此软体目前一般会称为“端点侦测和回应”(endpoint detection and response)。

依照Endpoint Detection and Response - Global Market Outlook (2017-2026)报告所述,基于云端及本地的端点侦测和回应方案,年成长率为26%,在2026年的产值为72亿美元[5]。根据Zion Market Research所做的研究Artificial Intelligence (AI) in Cyber Security Market,2025年时,机器学习人工智慧将为网路安全创造300亿美元的市场[6]

概念

端点侦测与回应可用来侦测端点在网路中的可疑行为以及高级长期威胁,管理员也可以及时收到提醒。其作法是搜集并整合端点及其他来源的资料。有些资料可能会再加上额外的云端分析资料。端点侦测与回应方案一般主要会是网路安全警告工具,不是实际进行防护的工具,不过有些供应商也会加入防护的功能。端点侦测与回应的资料可以储存在中心化的资料库,或是传送到SIEM英语Security information and event management工具[7][8]

各EDR平台的功能不完全相同,不过有些常见的功能,包括在线上模式以及离线模式监控端点、实时的对威胁进行回应、增加使用者资料的可视性以及透明度、监测已储存的端点事件以及恶意软体注入、产生黑名单以及白名单、以及和其他技术的整合等[1][7],有些EDR技术的供应商会用免费的MITRE ATT&CK分类及框架,来分析威胁[9]

相关条目

参考文献

  1. ^ 1.0 1.1 EDR Security and Protection for the Enterprise. Cynet. [2019-09-29]. (原始内容存档于2020-10-21) (美国英语). 
  2. ^ What is Endpoint Detection and Response (EDR)? - Definition from Techopedia. Techopedia.com. [2019-09-29]. (原始内容存档于2022-06-26) (英语). 
  3. ^ Endpoint Detection and Response (EDR) - What is EDR and why is it important? - Definition from Cyberpedia. Palo Alto Networks. [2021-09-03]. (原始内容存档于2022-10-06) (英语). 
  4. ^ Chuvakin, Anton. Named: Endpoint Threat Detection & Response. Gartner Blog Network. 2013-07-26 [2019-09-16]. (原始内容存档于2022-06-18) (英语). 
  5. ^ Global $7.27 Bn Endpoint Detection and Response Market to 2026. finance.yahoo.com. [2019-09-24]. (原始内容存档于2019-09-24) (美国英语). 
  6. ^ Research, Zion Market. Artificial Intelligence (AI) In Cyber Security Market Will Reach to USD 30.9 Billion By 2025: Zion Market Research. GlobeNewswire News Room. 2019-08-28 [2019-10-10]. (原始内容存档于2023-10-23). 
  7. ^ 7.0 7.1 What is endpoint detection and response (EDR)? A definition by WhatIs.com. SearchSecurity. [2019-09-29]. (原始内容存档于2021-10-24) (英语). 
  8. ^ What Is EDR? | A Brief Definition of Endpoint Detection and Response. Comodo News For Enterprise Security. 2019-03-06 [2019-09-29]. (原始内容存档于2024-10-01) (美国英语). 
  9. ^ Symantec Endpoint Detection & response Data Sheet. Broadcom. [2024-07-23]. (原始内容存档于2023-03-18).