分類
Information Security

EDR與NDR是可以相輔相成

市場上已有EDR或MDR的方案了,為什麼還需要NDR呢?

其實EDR與NDR是可以相輔相成的而不全然是彼此競爭的態勢,為何如此說?因為EDR的方案是要在端點上佈放Agent/Token,由這個Agent常駐在記憶體上去偵測有什麼惡意程式執行了開啟不該開的底部BIOS或某個異常通道等動作時,即時產生告警並通知中心管理平台,去比對還有哪些端點發生類似情形,進而阻擋mailto:惡意程式的蔓延感染達成有效防制的功用!

但是對不能安裝Agent/Token的端點如網路攝影機、IOT、各種感應器與Kiosk+ 設備,這些無法安裝Agent的設備也十分多,而且在企業數位轉型過程中會越來越多 IoT/IoMT等非電腦OS的設備,這類別的設備往往是没有像PC/Notebook OS具有防毒的功能,反而是最容易被殖入木馬程式成為駭客遙控的工具,這些流量在EDR方案中是無法監看的,因此NDR就是用來補足此空缺部分的資安偵測,當然,NDR所監看的範圍不受Agent佈放的限制,因此其應用比EDR來得更廣,而EDR則可即時阻絶惡意程的啟用,各自運作是有很大的不同,由此可知NDR與EDR是可以互相協同對抗駭客的!同時,坊間有許多與NDR可以協同防禦的資安廠家如Cisco、PA、Crowdstrike、Splunk、Arcsight等等,彼此分享資安訊息,進而增進資安判斷的精確性同時也擴大防禦的縱深。

資料來源:https://www.mtechpro.com.tw/6047/

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品的專業證照。