为什么组织需要EDR和NDR来实现完整的网络保护

台式机、笔记本电脑和移动电话等端点设备使用户能够连接到企业网络，并将其资源用于日常工作。然而，它们也扩大了攻击面，使组织容易受到恶意网络攻击和数据泄露。

为什么现代组织需要EDR

根据Ponemon Institute发布的《2020年全球风险报告》，智能手机、笔记本电脑、移动设备和台式机是一些最脆弱的入口点，它们允许威胁行为体危害企业网络。安全团队必须评估并解决这些设备造成的安全风险，然后才能破坏组织。为此，他们需要端点检测响应（EDR）。

EDR解决方案提供对端点的实时可视性，并检测恶意软件和勒索软件等威胁。通过持续监控端点，它们使安全团队能够发现恶意活动，调查威胁，并启动适当的响应以保护组织。

EDR的局限性

现代企业网络是分布在内部部署和多云环境中的用户、端点、应用程序和数据流的复杂网络。由于EDR解决方案只提供对端点的可见性，许多安全漏洞和挑战仍然存在，大大增加了网络攻击被忽视的风险。

• 恶意软件禁用/滥用EDR代理：像Lapsus$这样复杂的黑客组织的出现是EDR工具无法应对的另一个风险。2021晚些时候，Lapsus$通过破坏远程端点并关闭其EDR工具，入侵了几家大公司。因此，他们能够在受感染的端点上隐藏自己的恶意行为，并实现窃取敏感公司数据的目标。另一个问题是，威胁参与者可能滥用EDR用于监控运行过程的“挂钩”技术。该技术使EDR工具能够监控程序、检测可疑活动并收集数据以进行基于行为的分析。然而，这个相同的过程允许攻击者访问远程端点并导入恶意软件。
• 截止日期：近年来，许多组织已转向远程工作模式，允许员工和第三方用户通过远程网络和不安全的移动设备访问企业资源。这些设备不受安全团队及其EDR工具的控制。因此，他们的安全解决方案无法跟上所有这些端点，更不用说保护它们或企业网络免受恶意攻击。
• 不支持的设备：此外，并非每个连接的端点都可以支持EDR代理。这对于路由器和交换机等传统端点以及较新的物联网设备都是如此。此外，通过连接的监控和数据采集（SCADA）和工业控制系统（ICS）环境，某些端点可能不在组织的控制范围内，因此不在EDR的安全范围内。因此，这些端点和系统仍然容易受到恶意软件、DDoS攻击和加密挖矿等威胁。
• 维护/部署EDR：最后，使用基于代理的EDR产品，安全团队在企业网络环境中的每个端点上安装和维护代理可能是一个巨大的负担。

利用网络可见性和NDR弥补EDR的安全漏洞

弥补上述安全漏洞的最有效方法之一是在企业网络安全堆栈中添加网络检测和响应（NDR），原因如下：

• 无法禁用NDR：由于基于日志数据的NDR（如ExeonTrace）从网络中的多个不同数据源收集数据（不依赖于特定设备），因此无法绕过检测算法。因此，即使EDR被恶意软件禁用，NDR也会检测到。
• 影子IT的识别：NDR解决方案不仅允许监视已知网络设备之间的网络流量，而且还可以识别和监视未知设备和网络。当然，没有EDR代理的端点也包括在网络分析中（如BYOD）。
• 错误配置的防火墙和网关：未正确配置的防火墙和网关可能成为攻击者的入口；NDR允许在利用前进行检测。
• 防篡改数据收集：基于网络的数据收集比基于代理的数据更防篡改；非常适合监管机构要求的数字取证。
• 整个网络的完整可见性：由于不需要代理，因此NDR解决方案（如ExeonTrace）允许完全查看所有网络连接和数据流。因此，它在整个企业网络中提供了更大的可视性，并在整个网络中提供任何潜在的威胁。

结论

随着组织变得越来越复杂，并将更多的终端用户设备添加到网络中，他们需要一个可靠的监控解决方案来保护其端点免受潜在威胁。然而，端点检测和响应（EDR）仅在一定程度上提供这种端点保护。EDR有许多缺点，使复杂的网络犯罪分子能够超越其安全边界并利用网络漏洞。

为了填补EDR解决方案留下的安全漏洞，组织必须加强其安全防御。网络检测和响应（NDR）解决方案（如ExeonTrace）是监控网络流量的可靠且行之有效的方法，从而完成企业网络安全堆栈。由于EDR和NDR解决方案是互补的，它们的联合检测能力可以有效地保护组织免受复杂的网络攻击。

预订免费演示，了解ExeonTrace如何帮助解决您的安全挑战，并使您的组织更具网络弹性。