为什么组织需要 EDR 和 NDR 来实现完整的网络保护

台式电脑、笔记本电脑和手机等端点设备允许用户连接到企业网络并在日常工作中使用他们的资源。 但是,它也扩大了攻击范围,使组织容易受到恶意网络攻击和数据泄露。

为什么现代组织需要 EDR

根据 2020 年全球 风险报告 Ponemon Institute 认为,智能手机、笔记本电脑、移动设备和台式机是最容易受到攻击的入口点,这些入口点允许攻击者威胁破坏企业网络。 安全团队必须评估和解决这些设备造成的安全风险,然后才能损害组织。 为此,它需要端点发现和响应 (EDR)。

EDR 解决方案提供端点的实时可见性以及恶意软件和勒索软件等威胁的检测。 通过持续监控端点,它使安全团队能够检测恶意活动、调查威胁并启动适当的响应来保护企业。

EDR . 限制

现代企业网络是分布在本地和多云环境中的用户、端点、应用程序和数据流的复杂网络。 由于 EDR 解决方案仅提供对端点的可见性,因此仍然存在许多漏洞和安全挑战,这大大增加了网络攻击被忽视的风险。

  • EDR 客户端恶意软件禁用/滥用: 成熟的黑客组织的出现,例如 失败 $ 这是 EDR 工具无法处理的另一个危险。 2021 年末,$Lapsus 通过入侵远程端点并关闭其 EDR 工具入侵了几家大公司。 因此,他们能够在受感染的端点上隐藏他们的恶意行为,并实现窃取敏感公司数据的目标。 另一个问题是威胁参与者可以滥用 EDR 用来监控运行进程的“固定”技术。 该技术允许 EDR 工具监控程序、检测可疑活动并收集数据以进行基于行为的分析。 但是,同样的过程允许攻击者访问远程端点并导入恶意软件。
  • 自带设备: 近年来,许多组织已转向远程工作模式,允许员工和第三方用户通过远程网络和不安全的移动设备访问企业资源。 这些设备超出了安全团队及其 EDR 工具的控制范围。 因此,他们的安全解决方案无法跟上所有这些端点,更不用说保护它们或企业网络免受恶意攻击了。
  • 不支持的设备: 此外,并非每个连接的端点都可以支持 EDR 因素。 对于路由器和交换机等传统端点以及较新的物联网设备来说都是如此。 此外,在监控和数据采集 (SCADA) 和工业控制系统 (ICS) 环境中,一些端点可能不在组织的控制范围内,因此在 EDR 的安全范围之外。 因此,这些端点和系统仍然容易受到恶意软件、DDoS 攻击和加密挖掘等威胁的攻击。
  • 维护/发布 EDR:最后,对于基于代理的 EDR 产品,安全团队在企业网络环境中的每个端点上安装和维护代理可能是一个巨大的负担。

使用网络可见性和 NDR 填充 EDR 漏洞

弥合上述安全漏洞的最有效方法之一是将网络发现和响应 (NDR) 添加到企业网络安全堆栈中,原因如下:

  • 无法禁用 NDR: 作为基于 NDR 的日志数据,例如 埃克森 Tris 它从网络中几个不同的数据源收集数据(并且不依赖于特定的硬件),并且无法绕过检测算法。 因此,即使 EDR 被恶意软件禁用,NDR 也会检测到它。
  • 定义影子 IT: NDR 解决方案不仅可以监控已知网络设备之间的网络流量,还可以识别和监控迄今为止未知的设备和网络。 当然,没有 EDR 代理的端点也包含在网络分析中(如 BYOD)。
  • 配置错误的防火墙和网关: 配置不当的防火墙和网关可以充当攻击者的入口——未送达报告 (NDR) 允许在利用之前进行检测。
  • 防篡改数据收集: 基于网络的数据收集比基于代理的数据更防篡改; 非常适合监管机构要求的数字取证。
  • 全网全视图: 由于不需要代理,ExeonTrace 等 NDR 解决方案可让您全面了解所有网络连接和数据流。 因此,它提供了整个企业网络的更大可见性以及其中的任何潜在威胁。

结论

随着组织变得越来越复杂并在其网络中添加更多最终用户设备,他们需要可靠的监控解决方案来保护其端点免受潜在威胁。 但是,端点检测和响应 (EDR) 仅在一定程度上为该端点提供保护。 有几个 EDR 漏洞允许复杂的网络犯罪分子绕过他们的安全边界并利用网络弱点。

ExeonTrace 平台:仪表板屏幕截图

为了填补 EDR 解决方案留下的安全漏洞,组织必须加强其安全防御。 ExeonTrace 等网络检测和响应 (NDR) 解决方案是一种可靠且经过验证的方法来监控网络流量,从而补充企业网络安全套件。 由于 EDR 和 NDR 解决方案相辅相成,组合检测功能可以有效保护组织免受复杂的网络攻击。

预订免费试用 了解 ExeonTrace 如何帮助您解决安全挑战并让您的组织在 Web 上更具弹性。


#为什么组织需要 #EDR #和 #NDR #来实现完整的网络保护

Leave a Comment

Your email address will not be published. Required fields are marked *