分類
Information Security

EDR、NDR、XDR、MDR – 檢測和響應的不同概念

“威脅檢測和響應”現在被認為是保護企業網絡不可或缺的手段。由於環境規模大,需求日益複雜,因此應盡可能主動、快速、高效、自動地發現或預防潛在的危險和威脅,並恢復或清理相應的系統。

一組三個字母可以隱藏市場上提供的幾種類型的“檢測和響應”模型。這些首字母縮略詞代表什麼?一種解決方案與另一種解決方案的區別是什麼?

以下是您需要了解的內容的概述。

EDR

…代表’端點檢測和響應’。連接到網絡的每台設備都代表來自 Internet 的威脅的潛在攻擊媒介,並且這些連接中的每一個都是通往您的數據的潛在網關。一般而言,EDR 解決方案從端點收集數據,使用它來識別潛在威脅,並提供有用的方法來調查和響應這些潛在威脅——現代解決方案甚至可以通過後續報告實現自動化。

  • 範圍:端點和主機
  • 意圖:端點/接入區域保護免受滲透、監控和緩解、漏洞評估、警報和響應
  • 方法:惡意行為、攻擊指標 (IoA)、妥協指標 (IoC)、簽名、機器學習
  • 挑戰:高級持續威脅 (APT)、勒索軟件、惡意腳本等。

NDR

…是“網絡檢測和響應”。這是從傳統的網絡安全演變而來的,是 NTA(網絡流量分析)的一個子領域。它確保全面了解通過網絡的已知和未知威脅。這些解決方案通常提供集中的、基於機器的網絡流量分析和響應解決方案,包括高效的工作流程和自動化。網絡中的定位和機器學習的幫助提供了對網絡的全面洞察和分析,以識別和消除特別是橫向運動。

  • 範圍:網絡和設備間流量
  • 意圖:網絡流量的可見性/透明度、已知和未知威脅和橫向移動的檢測、警報和響應
  • 方法:攻擊指標 (IoA)、異常檢測、用戶行為、機器學習
  • 挑戰:高級攻擊和入侵、無惡意軟件攻擊

MDR

…代表’託管檢測和響應‘。這裡的重點不是技術,而是服務。作為 MDR 的一部分,客戶將他們的安全運營外包,並從全年、24 小時的可靠安全中受益。

安全提供商為他們的 MDR 客戶提供訪問他們專門從事網絡監控、事件分析和安全事件響應的安全分析師和工程師池的權限。

由於所需的技能和資源,該服務在SOC(安全運營中心)和 SIEM(安全信息和事件管理)領域尤其受歡迎。

  • 範圍:組織
  • 意向:安全專業知識外包、安全信息集中、高質量諮詢和安全合規
  • 方法:通過各種接口(API、日誌、DataLake 等)集成客戶系統
  • 挑戰:組織內缺乏安全技能/資源、xDR 工具的部署、日常安全的簡化:警報/事件的處理/最小化

探索耐多藥

XDR

…借助更強大的人工智能和自動化方法,擴展了 EDR 的潛力,因此“擴展檢測和響應”。

XDR 不僅集成端點,而且通過超越單向量點解決方案,將設備間流量以及用於分析和評估的應用程序包括在內,從而提供對企業網絡的可見性。

由此產生的海量數據庫/數據湖實現了基於機器的精確分析和高效檢測,主要是通過使用部署的組件對數據進行深度集成和關聯。

結合使用SIEM,可以進一步增強這種相關性和可見性。可以向指示和事件提供進一步的(元)數據,以促進惡意軟件的緩解(攻擊預防)和/或補救(攻擊後系統的恢復)。

  • 範圍:端點、主機、網絡和設備間流量、應用程序
  • 意圖:多個安全級別(網絡、端點、應用程序)的可見性/透明度、在橫向級別檢測已知和未知威脅,包括所有組件、整體監控和緩解、漏洞評估、警報和響應、事件的簡化和整合,以及活動和有針對性的反應
  • 方法:機器學習、攻擊指標 (IoA)、異常檢測、用戶行為、惡意行為、妥協指標
  • 挑戰:製造商的集成可能性/接口、透明度差距、部分 EDR 典型和 NDR 典型挑戰

資料來源:https://www.nomios.com/news-blog/edr-ndr-xdr-mdr/

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品的專業證照。