近期的駭客入侵事件層出不窮,而駭客的攻擊手法更是日新月異,即使資安措施看似作的滴水不漏,也會隨著科技技術提升而被駭客找出弱點,因此隨時更新並補強安全系統才是上上策。而弱點掃描及滲透測試就是透過主動掃描及模擬駭客攻擊,來找出資安漏洞的重要技術,但兩者都屬於週期性作業,無法時刻為企業提供即時的保護。
若希望採用能時刻防護應用程式安全、偵測到威脅會自動回報甚至清除、還可以蒐集並分析資安訊息的解決方案,EDR 端點防護或 Google Chronicle 安全平台可能是你的好選擇,來了解一下兩個資安解決方案的運作方式及防護功能吧~
什麼是EDR 端點偵測與回應?
EDR全名為Endpoint Detection and Response,主要功能就是為「端點」進行偵測與回應。而端點指的是任何連接到網路並透過網路進行通訊的裝置,常見的端點裝置包含了桌上型電腦、筆記型電腦、行動裝置(如智慧型手機、平板裝置等)、網路周邊設備(如影印機、掃描機等)。傳統的資安思維大多使用防火牆、WAF等來針對伺服器或核心系統進行防護,並使用防毒軟體來防護端點,但防毒軟體也僅能攔阻已知惡意軟體,對於最新的勒索病毒、惡意程式等則是束手無策,也因此端點成為駭客最好入侵的一環。EDR端點偵測與回應是一種功能強大的安全性系統,可偵測並調查端點上的可疑活動,運用高度自動化功能來通知資安團隊並快速回應,以實現端點偵測與回應。
什麼是端點防護?
端點防護(Endpoint Protection)是一種安全技術,通常用於保護網絡中連接的設備或終端點,例如電腦、手機、平板等,免受網絡攻擊和惡意軟體的影響。
端點防護通常使用防毒軟體、防火牆、入侵檢測和預防系統等技術來防止病毒、木馬、蠕蟲、間諜軟體和其他惡意程式進入設備。它也可以檢測並防止其他安全威脅,如未經授權的訪問、濫用權限、資訊外洩等。
端點防護還可以協助管理員對終端點進行監控和管理,確保它們符合企業或組織的安全政策。例如,它可以檢測和防止員工在終端點上執行未經授權的應用程式、訪問未經批准的網站或下載未經授權的軟體等。
EDR 端點偵測與回應 - 節省人力 ! 自動化回報並終止 / 隔離惡意活動,還具備分析功能
自疫情爆發以來,不少公司開始實行居家上班,以減少大家在辦公室的群聚機會,而員工使用個人電腦遠端連線,就有可能在自己沒發現的情況下感染惡意軟體,這時要是公司有使用 EDR 端點防護,就可以防範電腦的 USB 被用於未經授權的資料存取,還能封鎖惡意執行檔等。
EDR端點防護運作方式
由此可知,EDR 是以終端用戶設備 - 也就是端點 - 為出發點持續監控,使用各種數據分析技術來偵測可疑的行為,並主動回報勒索軟體等網路威脅,提供梳理後的資訊脈絡、阻擋惡意活動、提供建議來修復受影響系統的解決方案。
除了監控以外,EDR 會持續記錄所有在端點發生的活動及事件,並提供資安團隊清晰的視角來了解端點的即時情況。一個 EDR 工具應該提供進階的威脅偵測、調查及回應功能,包括事件資料搜尋及警報分類、可疑活動的確認、主動探索威脅、偵測並阻止惡意活動等。
EDR端點防護功能介紹
EDR 具備行為分析功能,可以即時監控端點上數十億個進行中的事件(這是防毒軟體無法做到的),針對具威脅的活動蒐集資料;當偵測到惡意程式時,EDR 會自動終止服務或進行隔離,且管理者不需要執行任何額外的動作;最後更有管理平台以視覺化的方式確認警報詳細內容,協助資安人員加快調查及處理速度。整體來說,EDR 雖然仍需要專業人員來分析回報資訊的細節,但它能解決處理資安事件須花費大量人力的缺點;而且 EDR 的資安威脅回報速度快、能見度高,又能蒐集到可了解事件全貌的資訊,讓資安人員能更快且更精準的完成系統修復。
端點防護與其他資安防護措施的比較
端點防護是指針對電腦、筆記型電腦、行動裝置等端點設備的安全防護措施。其主要目的是保護端點設備免受惡意軟體、勒索軟體、零日攻擊等各類資安威脅。與其他資安防護措施相比,端點防護具有以下優勢:
防護面向廣泛
端點防護可以保護企業的所有端點設備,包括電腦、筆記型電腦、行動裝置等,而資安設備和防毒軟體通常只能保護特定的設備或網路。
防護效果全面
端點防護可以防護多種資安威脅,包括惡意軟體、勒索軟體、零日攻擊等,而資安設備和防毒軟體通常只能防護特定的威脅類型。
部署靈活
端點防護可以部署在本地或雲端,而資安設備通常需要部署在本地。
|
端點防護 |
資安設備 |
防毒軟體 |
|
| 防護面向 | 端點設備 | 網路、設備 | 端點設備 |
| 防護效果 | 全面 | 特定威脅類型 | 特定威脅類型 |
| 部署方式 | 本地 | 雲端 | 雲端 |
| 採購彈性 | 靈活 | 較為固定 | 較為固定威脅種類 |
端點防護可以防護多種資安威脅,包括:
- 惡意軟體:病毒、蠕蟲、木馬、勒索軟體等
- 零日攻擊:未知的漏洞或攻擊手法
- 勒索軟體:加密用戶數據並要求贖金
- 網絡釣魚:誘騙用戶點擊惡意連結或下載惡意檔案
- 應用程式漏洞:應用程式中的安全漏洞
- 內部威脅:員工或承包商的惡意行為資安設備和防毒軟體通常只能防護特定的威脅類型。例如,防火牆可以防護網路攻擊,IPS可以防護惡意攻擊行為,而防毒軟體可以防護惡意軟體。
防護規則
端點防護可以根據威脅類型、設備類型、使用者行為等因素設定防護規則。例如,可以設定防護規則禁止安裝未知來源的應用程式,或者禁止從未知來源下載檔案。
資安設備和防毒軟體通常也需要設定防護規則。例如,防火牆需要設定防護規則允許或拒絕特定的網路流量,而防毒軟體需要設定防護規則阻擋特定的惡意軟體。
採購彈性
端點防護的採購方式較為靈活,可以根據企業的實際需求選擇本地部署或雲端部署。資安設備和防毒軟體的採購方式通常較為固定,需要部署在本地。總而言之,端點防護是企業資安防護的重要措施,可以有效抵禦多種資安威脅。在採購端點防護產品或服務時,企業應根據自身的實際需求選擇合適的產品或服務。
為什麼現代企業建議使用端點偵測與回應(EDR)?
現代企業建議使用端點偵測與回應(Endpoint Detection and Response,簡稱EDR)的原因有以下幾點:
-
提供更全面的安全保護:傳統的端點防護技術通常只能檢測和阻擋已知的病毒和惡意軟體,而EDR則可以檢測和回應多種未知和高級安全威脅,如零日攻擊、APT攻擊等。
-
提供更詳細的事件記錄:EDR技術可以在設備上收集和記錄各種安全事件,包括進程、文件、注冊表、網路活動等,並提供詳細的事件日誌。這可以幫助安全專家更快地識別和應對安全威脅。
-
提供更快的反應時間:EDR技術可以在偵測到安全事件時立即進行反應,並採取適當的措施,如終止進程、隔離設備、移除惡意軟體等。這可以幫助企業更快地恢復正常運作,減少損失。
-
提供更好的可視性和控制:EDR技術可以提供更詳細的設備信息和安全指標,如設備狀態、應用程式清單、用戶活動等。這可以幫助管理員更好地了解設備狀態和安全風險,並採取必要的控制措施。
EDR技術提供了更全面、更詳細、更快速的安全保護和事件應對能力,可以幫助企業更好地保護其數字資產和業務運作。因此,現代企業建議使用EDR技術以應對不斷增長和變化的安全威脅。
Google Chronicle - 高 CP 值,可蒐集雲、地、SaaS 平台的吃到飽監控平台
Chronicle運作方式
Chronicle 是一個架構在 Google 核心基礎設施上的雲端安全分析平台,能搜察企業所有設備的 log 資訊,並且保留、分析長達一年的安全資訊。Chronicle 會分類這些資訊,並編入索引、增加關聯性,以提供危險活動的即時告警,能幫助資安團隊以更快的速度、更大的規模進行安全營運。
Chronicle功能介紹
Chronicle 會不斷的根據使用者的需求提升功能的多樣性及整合性,像是近期 Chronicle 與 Looker 及 BigQuery 整合,Looker 讓資安分析師能創建全新的視覺化工作流程、輕鬆存取並展示重要的資安資訊;透過 BigQuery 則更容易從大量資料中快速找到問題,並進行更複雜的分析,有效提高 SOC 的效率。
除此之外,由於網路威脅態勢快速轉變,資安人員在對惡意活動進行回應時,有足夠資訊了解其對整體 IT 架構的影響是很重要的。有鑑於此,Chronicle 推出情境感知偵測的新功能,可為類似的資安事件進行重要度排序、減少不同資安機制的回報資訊拼湊時間、減少不必要的潛在威脅活動回報等,讓資安人員可以更有效率的作出正確的回應。
Chronicle 的好處就是可以讓使用者了解一個威脅活動的全貌,不再需要猜測或擔心是否還有未被揭露的訊息。你可以輕鬆的透過 Chronicle 建立不同威脅的偵測機制、迅速評估系統的回報訊息並了解其細節,更能將 SOC 自動化 ,讓你有條不紊的管理並監控應用程式的安全。
蓋亞資訊-導入EDR端點偵測防護及Chronicle監控平台最佳選擇
說到 EDR 端點偵測,怎麼能不推薦 CrowdStrike!CrowdStrike 是第一家也是唯一一家整合次世代防毒(AV)、端點檢測和回應 (EDR) 以及 7 天 24 小時威脅偵測服務的公司,它每天針對部屬在 170 多個國家、數百萬個感應器的 500 多億個事件,進行關聯分析、即時預防及檢測威脅,只需要安裝一個羽量級代理程式就可以進行威脅搜捕、整合威脅情報、提供更廣泛的威脅內容可見度,可說是推動了端點防護的變革。而蓋亞資訊不但是端點保護服務 CrowdStrike 的 MSSP 夥伴,也是台灣唯一取得 Chronicle 正式代理資格的供應商,我們擁有豐富的資安經驗、國際認證技術團隊、高客製化的解決方案以及24*7中英雙語線上維運服務,絕對是你導入 CrowdStrike 或 Chronicle 的不二選擇,歡迎點擊下方按鈕或右側通訊軟體進行免費諮詢~
