13个用于快速检测和响应网络攻击的EDR工具

当预防机制失效时，终端检测与响应（EDR）工具可以快速反应，使损害最小化。

如果发生网络攻击，每一秒都很重要。攻击造成的损失会随着时间的推移而增加。这就是为什么早期检测对于最小化网络攻击的影响至关重要。当需要迅速减轻危害时，EDR工具是宝贵的盟友。

及时反应的重要性

黑客在企业网络上不被察觉的时间越长，他们收集到的数据越多，离关键业务资产就越近。这就是为什么公司应该减少暴露时间，阻止他们在造成不可挽回的损害之前停止攻击。

在2013年，咨询公司Gartner Group将EDR工具定义为一种新的网络安全技术，该技术监控网络上的终端设备，提供关于正在进行的攻击的即时信息。根据Gartner的说法，除了提供攻击信息的可见性外，EDR工具还帮助IT安全人员快速应对，可以通过隔离受攻击设备、阻止恶意进程或执行事件响应程序等方式。

什么是终端设备？

在计算机网络中，终端被定义为连接到数据网络边缘的任何设备。这包括从计算机、电话和客服系统到打印机、销售点（POS）终端和物联网（IoT）设备的所有设备。总体而言，终端对网络安全管理员构成了挑战，因为它们是网络中最容易受到攻击的部分，同时也为网络攻击者创造了潜在的入侵点。

EDR的基本组成部分

EDR工具由三个必要的组件组成：

• 数据收集 – 在终端设备上运行的软件组件，收集有关正在运行的进程、登录和打开的通信通道的信息。
• 检测 – 分析终端的常规活动，检测异常并报告可能意味着安全事件的异常情况。
• 数据分析 – 将来自不同终端的信息进行分组，并提供关于企业网络中安全事件的实时分析。

EDR解决方案的理想特点之一是智能识别终端上的威胁指标（IoCs）。这些指标允许将正在进行的事件信息与之前记录的数据进行比较，以快速识别威胁，并避免对不会对停止攻击有用的分析浪费时间。

EDR解决方案的其他关键方面是提供警报和通知IT人员发生事件时，使其快速访问有关该事件的所有信息。事件的充分和易于访问的上下文对于安全人员进行调查至关重要。EDR解决方案还提供跟踪功能，用于识别受攻击的其他终端以及确定用于渗透网络的终端。

自动化响应也是EDR解决方案的一个理想方面。此类响应包括积极主动的措施，例如阻止网络访问、阻止个别进程或采取其他可能遏制或减轻攻击的行动。

让我们来看一些最佳的EDR工具。

Heimdal Security

Heimdal通过一系列可根据任何业务场景进行定制的技术，提供了多层次的EDR方法，覆盖了所有潜在的安全漏洞。该EDR解决方案提供威胁搜索、持续监控、本地和云端扫描，以及使用下一代流量遥测进行威胁阻止。

Heimdal的解决方案将EPP与EDR合并，获得一种称为E-PDR的安全模型：终端点预防、检测和响应。E-PDR使用基于DNS的攻击保护和补丁修复，结合立即响应策略，击退各种高级网络威胁。

通过综合的数据分析方法，将从终端点收集的数据与威胁情报源进行比较，Heimdal跟踪所有终端点活动并响应安全事件。通过添加管理桌面权限的选项，它涵盖了Gartner在一个解决方案中的所有安全项目建议：#1，特权访问管理，#2，漏洞管理，和#3，检测和响应。

亮点

• Darklayer GUARD负责DNS流量过滤，提供威胁预防、检测和阻止。
• VectorN Detection应用机器学习行为检测进行智能威胁搜索。
• X-Ploit Resilience进行自动软件清单、漏洞管理和自动软件补丁。
• Thor AdminPrivilege是Heimdal的访问管理模块，提供增加的终端点安全和管理员权限管理。

卡巴斯基

Kaspersky’s EDR solution主要用于减轻广谱和多阶段攻击。作为与Kaspersky Anti Targeted Attack (KATA)实施在同一平台上，KEDR可以与KATA结合使用，有效地检测和响应针对网络终端点基础设施的攻击。

广谱攻击的复杂性使得在个别服务器或工作站级别上无法识别它们。因此，KEDR自动化数据收集过程并自动分析终端点基础设施上的可疑活动，使用机器学习、大数据和人类专业知识的结合。同时，系统监视器技术监视每个应用程序在服务器或终端上启动后的行为，以识别恶意行为模式。

KEDR使用单个控制台对所有事件进行详细查看和监控，包括接收到的检测和终端点扫描的威胁指标（IoCs）结果。卡巴斯基在企业领域拥有众多客户，使得其安全网络始终面临大公司必须承受的威胁类型。

亮点

• 自动回滚的行为检测。
• 移动威胁防御和EMM集成。
• 基于主机的入侵预防（HIPS）。
• 漏洞评估和补丁管理。
• 基于分类的应用程序控制。

Bitdefender

Bitdefender GravityZone旨在最小化网络的终端点攻击面，使攻击者难以渗透。为了减少终端点的开销，该解决方案提供了终端点和用户行为风险分析，采用单个代理和单个控制台架构。

这种综合的终端点安全方法减少了供应商数量、总拥有成本和对威胁的响应时间。

通过一个可理解的优先级列表，Bitdefender的风险分析引擎有助于加强终端点安全的配置和设置，并识别对组织产生安全风险的用户行为。Bitdefender添加了一个名为Network Attack Defense的新的终端点安全层，旨在防止利用已知漏洞进行的攻击尝试。

网络流攻击，如横向移动、暴力破解或密码窃取，会在执行之前被阻止。

亮点

• 通过full disk encryption插件模块进行数据保护。
• 可调整的机器学习、实时进程检查和沙箱分析，提供对恶意软件的预执行检测和清除。
• 攻击前后妥协可见性。
• 根据IOCs、MITRE标签、进程、文件、注册表项或其他参数进行当前和历史数据搜索。

Snort

Snort是由思科系统创建的开源网络入侵检测系统(NIDS)。

它作为一个数据嗅探器，检查网络中循环流动的数据。Snort有自己的数据格式，许多其他入侵检测系统开发人员使用该格式来交换威胁信息。Snort捕获并分析流量，将分析结果保存在日志文件中或显示在控制台中。

Snort还可以仅用于对网络数据包应用一组规则，并在识别到任何恶意内容时向用户发出警报。它可以用于个人保护的单独桌面系统，但要正确配置它以有效使用它可能需要很多工作。

此外，没有标准的图形界面来进行所有配置，因此它并不完全适合初学者使用。可以在Snort网站上找到大量文档和示例配置文件，这简化了安全管理员的工作。

亮点

• 最广泛部署的入侵防御系统：超过500万次下载和超过60万注册用户。
• 与x86操作系统兼容-Linux、FreeBSD、NetBSD、OpenBSD、Windows-以及Sparc Solaris、PowerPC MacOS X、MkLinux、PA-RISC HP-UX。
• 需要第二个以太网接口进行“嗅探”，以及一个大容量硬盘用于保存日志数据。
• 可以用于检测不同类型的SQL注入攻击。

SentinelOne

Singularity是SentinelOne提供的综合终端保护平台(EPP)，包括EDR功能。它提供了一些与众不同的功能。其中一个显著的功能是勒索软件回滚功能，这是一种恢复过程，可以逆转勒索软件攻击造成的损害。

SentinelOne代理程序可以轻松安装在各种终端上：Windows或Linux机器、POS设备、物联网等等。安装过程简单快捷；用户反馈称，在数百或数千个终端上同时运行代理程序只需两天时间。

SentinelOne的用户界面提供了对每个终端上的进程的可见性，以及方便的搜索和取证分析工具。产品的发展是持续的，以惊人的速度增加了新功能。

亮点

• 单一代理技术：使用静态AI引擎进行预执行保护。
• AI替代了基于签名的传统检测。
• 行为AI针对运行中的进程，涵盖所有向量：基于文件/无文件的恶意软件、文档、脚本等。
• 自动化的EDR操作：网络隔离、自动免疫终端、将终端回滚到受感染之前的状态。

Sophos

Sophos Intercept X是一种快速、轻量级且占用客户端设备资源较少的解决方案，可保护网络上的终端免受威胁。它的主要优点是提供了有效的保护机制，消耗客户端设备上的资源较少。

Intercept X就像一名非常尽职的安全卫士，这对于防御来说非常好。但用户报告称，它可能会阻止比应该阻止的事件更多的事件，这可能会在识别威胁时导致许多误报。

该工具提供了一个集中管理云平台，可以从一个地方控制服务器和终端的保护。这个平台简化了系统管理员的工作，可以轻松验证发现的威胁的状态，分析被阻止的URL的访问等。此外，它还提供了防火墙功能，作为它的一个附加功能。

亮点

• 专为安全分析师和IT经理设计。
• 可用于Windows，macOS和Linux。
• 可定制的SQL查询，以访问90天的历史和实时数据。
• 基于机器学习的事件优先级划分。

CrowdStrike

对于无法负担IT安全专家团队的小型或中型企业来说，该解决方案提供了低的采购、推广和维护成本。

尽管成本较低，但其效果不逊于其他解决方案。Falcon Complete用户强调了其速度和主动性，确保系统管理员收到威胁通知的那一刻，已经被EDR工具阻止和清除。

作为EDR Falcon解决方案的补充，CrowdStrike提供了一项受欢迎的托管威胁检测、搜索和清除服务，以其速度和准确性脱颖而出。该服务非常适合释放客户公司的系统人员，让他们更专注于与业务更密切相关的任务，而不是浪费时间处理CrowdStrike分析师知道如何击退的威胁。

亮点

• 使用攻击指标(IOAs)自动识别攻击者行为，并将优先警报发送到UI。
• 事件优先级划分可将报警疲劳（持续接触频繁的警报）减少90%或更多。
• 基于MITRE的检测框架和CrowdScore事件工作台。
• Falcon Insight的内核模式驱动程序捕获超过400个原始事件和相关信息，以重新追溯事件。

Carbon Black

许多安全工具使用基于签名的威胁检测机制。这种机制获取每个可能威胁的签名，并在数据库中搜索，以识别它并确定如何中和它。这种机制的主要问题是，当出现新的威胁时，需要时间获取其签名，并让传统的检测工具学会识别它。

为了避免基于签名的检测问题，像Carbon Black这样的解决方案使用启发式方法来检测潜在威胁。在Carbon Black的特定案例中，用户声称该工具能够在其签名可用之前，就能够检测和阻止许多高级威胁。用户还非常赞赏Carbon Black的取证分析工具，因为它们的分析深度和报告细节水平。

VMware工具非常适合高级安全团队，可以定义详细规则来拦截对端点的攻击，并提供进行手动威胁搜索的工具。

亮点

• 本地部署、虚拟专用云、SaaS或MSSP。
• 通过集成和开放API进行自动化。
• 远程修复：实时响应允许事件响应人员与受感染主机建立安全连接，拉取或推送文件，终止进程，并执行内存转储。
• 持续记录的端点数据为安全专业人员提供了实时威胁搜索所需的信息。

Cynet 360

Cynet’s EDR的产品通过使用诱饵来捕获和中和威胁而脱颖而出。这些诱饵可以是文件、用户帐户和设备帐户，在网络上安装在最敏感区域周围，吸引潜在攻击者，防止他们渗透网络。

Cynet 360用户强调了在终端上安装代理程序的简便性，以及其精美的控制台，该控制台提供了详细且易于理解的结果。该软件工具由由恶意软件工程师和合规黑客组成的SOC（安全运营中心）支持，当任何客户端发生事件时，他们立即采取行动。

Cynet平台的多租户架构非常适合经销商，因为它简化了对众多客户的支持。另一方面，可以在Android、iOS和智能电视设备上显示整个公司安全状态的定制应用程序使经销商更容易向客户提供Cynet 360。

亮点

• 高速部署：一天内可达50,000个主机/服务器。
• 自动发现和自动部署在新机器上。
• 保护主机、服务器和虚拟环境。
• 与Windows、macOS和五种版本的Linux兼容。

Cytomic

Panda Security的商业部门为需要保护分布在不同大陆、每个大陆都有不同操作团队的大型公司提供了一种专为终端点保护而设计的安全平台。该解决方案允许企业IT人员从一个中心点完整地查看安全状态，而将管理和日常工作委托给每个国家的本地团队，每个团队都有自己的管理控制台。

在Windows工作站和服务器上部署安全代理没有问题，尽管并非所有Linux发行版都保证兼容性。Panda Security直接提供的威胁猎杀服务是该工具的有价值补充，因为他们提供了一个始终可用、专心并愿意帮助处理任何事件的支持团队。该解决方案的成本在适用于企业客户的产品范围中是最低的。

亮点

• 威胁猎杀服务包含在产品中。
• 基于攻击的攻击被阻止。
  回顾性和实时IoC搜索。
• 高级警报按MITRE ATT&CK框架进行优先排序和映射。

MVISION

McAfee通过MVISION提供了一种低维护的云解决方案，使安全分析师能够专注于网络的战略防御，而不是在例行管理任务上花费时间。借助基于人工智能的威胁调查技术，MVISION成功地缩短了检测和响应时间，优先处理必须立即解决的事件。

McAfee工具旨在通过收集、总结和允许从多个来源可视化终端基础架构，成为SOC代理商的助手。这样，可以减少SOC所需的资源数量。为了简化安装并降低维护成本，MVISION可以与McAfee ePolicy Orchestrator（ePO）管理平台集成，无论是本地部署还是基于SaaS的。

MVISION用户强调在实施了EDR解决方案后，硬件、软件、数据中心能耗和维护任务所花费的时间显著减少。

亮点

• iOS和Android在线/离线防护，防止网络钓鱼、零日攻击和数据丢失。
• 机器学习、凭据盗窃防御和回滚修复基本操作系统安全功能。
• 单一幕玻璃管理。
• 通过McAfee ePO进行本地管理或通过MVISION ePO进行基于SaaS的管理。

Cybereason

CybereasonEDR在其环境中使用基于签名和行为的方法来识别威胁和降低风险。

它可以自动检测和阻止各种勒索软件，包括无文件攻击。每次攻击的所有相关信息都会汇总到一个直观的视图中，称为Malop（恶意操作的缩写）。Malop包含所有相关的攻击元素，包括所有受影响的机器和用户、根本原因、进入和外出通信，甚至还有攻击的时间轴。

通过Cybereason EDR，警报可以映射到MITRE ATT＆CK框架，分析人员可以通过一瞥就理解复杂的检测。这样，SOC可以减少处理警报所需的时间，加快优先级和纠正措施。Cybereason的专家团队会全天候监控您的环境，积极应对威胁并扩展您自己的安全团队的能力。

一个单一的监控平台可以查看每台机器和每个进程中的所有恶意活动。安全代理可以查看整个进程树，包括详细的事件时间轴，只需单击一次，他们就可以终止进程，隔离文件，删除持久性机制，防止文件执行和隔离机器。

亮点

• 交互式文件搜索和本地YARA规则支持使我们可以发现Windows、macOS和Linux机器上的恶意文件。
• Cybereason Deep Response允许您的团队提取内存转储、注册表文件、事件日志、MFTs和NTFS事务信息。
• 部署时间只需24小时，可选择云端或本地选项。
• Cybereason Threat Finder组件搜寻攻击者在实际战役中使用的恶意活动、战术和程序。

ESET

ESET Enterprise Inspector与ESET终端保护平台配合使用，提供完整的预防解决方案，以防止勒索软件、检测高级持久性威胁、停止无文件攻击和阻止零日威胁。它采用基于行为和声誉的独特检测引擎，对SOC完全透明。

所有规则都可以通过XML文件进行编辑，以进行精细调整。

ESET解决方案可以通过API进行集成，提供对检测/纠正数据的访问。这样，他们可以集成诸如票务系统、SIEM（安全信息和事件管理器）、SOAR（安全编排自动化和响应）等工具。

Enterprise Inspector的另一个突出特点是其远程PowerShell功能，允许安全工程师远程检查和配置终端。

结论

撇开可能的成本差异、检测性能或增值功能，本文提到的所有工具都能够保护网络的端点基础架构。选择最适合每家公司需求的工具很重要，但更重要的是要及时行动，意识到端点面临的威胁，并用经过验证有效的EDR工具保护它们。