EDR全称Endpoint Detection &Response即端点检测与响应,是一种主动的安全方法,可以实时监控端点,并搜索渗透到公司防御系统中的威胁。这是一种新兴的技术,可以更好地了解端点上发生的事情,提供关于攻击的上下文和详细信息。围绕终端资产安全生命周期,通过预防、防御、检测、响应给予终端更好的隔离策略、查杀能力、检测能力和处置能力。
EDR系统的主要技术 1.优化检测技术,抓住威胁本。EDR通过人工智能学习、自我进化能力实现无特征检测,抓住威胁本质,能够有效鉴定未知病毒。 2.提高处置速度,及时响应威胁。EDR可根据检测命中的威胁内容,进行快速处置,提供基于文件、机器、群组等全面处置手段。多种隔离响应手段包括终端主机隔离、业务组隔离、文件信任、文件隔离、文件删除、文件恢复等。还有,EDR通过与同厂家的防火墙、安全感知平台等安全设备进行联动,形成更强的防护能力。 3.一体化管理,终端资产全面防护。EDR采用一体化统一管理方式,兼容不同终端和服务器形态、操作系统类型,资产策略一体化,并辅以多层次威胁检测、Web后门检测、僵尸网络检测、入侵攻击检测、基线合规检测等手段,确保终端具备更为全面的防护能力,满足在新的等保标准中针对主机防病毒、打补丁、漏洞管理和集中管控等安全控制点的合规要求。 4.EDR系统在网络架构中的部署。EDR作为安全设备,主要为内部业务网络提供安全保护,所以旁路接入到内部网络的核心交换机上,通过网络可监测数据中心区的所有服务器,也可监测终端区的办公电脑,旁路接入方式即使遇到EDR设备故障也不会影响正常业务运作。 |