EDR端点检测与响应(终端安全防护)

什么是EDR(端点检测与响应):

端点台式机服务器移动设备嵌入式设备等。攻击者往往首先利用目标网络中的脆弱端点建立桥头堡,再通过进一步的漏洞利用来构筑长期驻留条件,最终迈向既定目标。

端点检测与响应不同于端点的被动防护思路是通过云端威胁情报机器学习异常行为分析攻击指示器等方式。主动发现外部或内部的安全威胁,并进行自动化的阻止取证补救溯源,从而有效对端点进行防护

举例360天擎终端检测与响应系统,融入了360威胁情报、大数据安全分析等功能,可以实时检测用户端点的异常行为和漏洞,通过与360威胁情报对比,能够及时发现威胁,做出木马隔离和漏洞修补的安全响应。

EDR基本原理与框架:

定义:

端点检测和响应是一种主动式端点安全解决方案通过记录终端与网络事件(例如用户,文件,进程,注册表,内存和网络事件),并将这些信息本地存储在端点或集中数据库。结合已知的攻击指示器(Indicators of Compromise,IOCs)、行为分析的数据库来连续搜索数据和机器学习技术来监测任何可能的安全威胁,并对这些安全威胁做出快速响应。还有助于快速调查攻击范围,并提供响应能力。

一些调查结果:EDR解决方案必须能够检测的无文件恶意活动;EDR要具有可扩展的数据管理,数据挖掘分析能力和检测技术,要做到对不断变化的攻击者技术的深入了解。

注:攻击指示器,IOC是一种入侵后可以取证的指标,以xml文档类型描述捕获多种威胁的事件响应信息,包括病毒文件的属性,注册表改变的特征,虚拟内存等。

EDR安全模型:

相比于传统端点安全防护采用预设安全策略的静态防御技术被动防御),EDR加强了威胁检测和响应取证能力,能够快速检测、识别、监控和处理端点事件,从而在威胁尚未造成危害前进行检测和阻止,帮助受保护网络免受零日威胁和各种新出现的威胁。安全模型如图所示:

(1)资产发现:定期通过主动扫描被动发现手工录入和人工排查等多种方法收集当前网络中所有软硬件资产,包括全网所有的端点资产和在用的软件名称、版本,确保整个网络中没有安全盲点。

(2)系统加固:定期进行漏洞扫描补丁修复安全策略设置和更新端点软件清单,通过软件白名单限制未经授权的软件运行,通过主机防火墙限制未经授权的服务端口开放,并定期检查和清理内部人员的账号和授权信息。

(3)威胁检测:通过端点本地的主机入侵检测和借助云端威胁情报异常行为分析、<

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Zh&&Li

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值