EDR 与分段解决方案比较:区别简介
端点检测和响应 (EDR) 和分段解决方案都是非常重要的安全工具,不仅可持续为客户提供价值,而且两者的采用率都在逐渐增加。然而,在向客户推销 EDR 和分段解决方案时,两种技术的供应商提及的优势却往往类似——防范勒索软件和零日威胁。
那么,EDR 和分段解决方案均可化解哪些挑战?两种方案中,以及二者化解挑战的方法又有何不同呢?阅读以了解更多。
EDR 和分段解决方案有哪些相似之处?
EDR 和分段解决方案均可在出现入侵前提供防御控制措施,也都能在出现入侵后采取抵御措施。此外,两者均越来越常见于相同的网络区域,如服务器、云实例、最终用户设备和容器。 入侵活动不可避免,而两种方案均能抵御或降低入侵活动带来的影响,避免其大面积破坏整个网络。但是,两者避免入侵发生和扩散的方法是不同的。
EDR 和分段解决方案有哪些不同之处?
EDR 的目的在于检测 恶意攻击, 而恶意攻击的对象是初始设备或服务器。EDR 可针对异常的加密事件进行告警,可检测与网络犯罪团体相关联的 IP 连接,也可将可疑的活动通知给管理员。人工智能和机器学习技术的发展进一步增强了 EDR 的能力,使 EDR 解决方案可基于文件签名中与已知攻击的相似处更好地识别零日攻击。
分段解决方案的目的则在于将网络划分成多个孤岛式的存储桶,从而在 EDR 未检测到攻击时能够限制攻击的横向移动(也称为东西向移动)。配置得当的情况下,分段解决方案可运用关键应用程序安全围栏、细粒度访问控制和威胁抵御策略,确保成功入侵网络的攻击最终受到阻止。
虽然 EDR 能够检测到正在开始的攻击,但无法保证 EDR 解决方案每次都能检测到恶意事件。如果未检测到攻击者侵入某设备,该攻击的范围便取决于攻击者下一步可移动到的位置,而这时分段解决方案便可大显身手。
分段解决方案及其网络安全控制措施可确保已被入侵的设备只能与有限的设备或应用程序建立连接。例如,在网络安全策略规定绝不允许与数据中心建立此类连接的情况下,分段解决方案可防止关键数据中心因一组笔记本电脑凭据被盗而遭受入侵。
EDR 与分段解决方案的应用场景比较
应用场景 |
EDR |
分段 |
监测 |
提供设备内监测和运行状况检测 |
提供设备间、应用程序、网络、工作负载监测 |
勒索软件抵御 |
目的在于检测设备或服务器中正在开展的攻击 |
实施高精度横向安全措施,以限制入侵活动的影响 |
威胁调查 |
搜查设备或服务器中的异常情况、威胁和恶意软件签名 |
在网络范围内执行查询和政策更新,以识别活动或非活动漏洞 调查整个攻击链,包括漏洞出现及扩散的任何位置 |
不断变化的边界安全 |
不论设备的位置如何,均提供相似的能力 |
员工远程访问应用程序时,仍保持强大的网络分段能力 |
应用场景:监测能力
EDR
该解决方案可提供对装有该解决方案的设备的监测。EDR 会持续监测的设备中已知或未知的潜在威胁(并且有时能运用机器学习了解正常的设备行为),并在发生异常行为时发出告警。此类持续的监测有时意味着大量的 CPU 消耗。
分段
为了对环境进行完全分段,该解决方案必须针对全网(包括服务器、最终用户设备、云实例、容器及其连接)提供全方位监测。此类监测涵盖资产间活动的数据流、面临风险的隐藏连接以及反映策略更改或受病毒感染的服务器的影响的网络依赖关系。据此可知,制定分段政策时,可将所有漏洞点考虑在内,从而使 横向移动 的可能性大大降低。
应用场景:抵御勒索软件
绝大多数勒索软件攻击是因用户错误所致,例如,密码使用习惯不佳或用户点击了网络钓鱼电子邮件。在这些事件中,EDR 和分段解决方案分别是在不同阶段以不同方式避免攻击扩散。
EDR
EDR 解决方案目的在于检测受监测的设备中是否存在运行或执行的勒索软件。一旦检测到勒索软件,EDR 将退出程序并隔离设备,有时还可回滚任何已发生的加密操作。
分段
攻击前:通过从单个 UI 映射整个环境(包括设备、连接和过程),可应用适当的安全策略,以防止勒索软件利用设备与数据中心的连接进行攻击,在其他情况下,管理员不会注意该连接。
攻击后: 如果勒索软件入侵环境,分段解决方案中采取的步骤(例如,隔离关键应用程序、解除与数据库的异常连接、以及限制横向移动线路)均可有效确保入侵总体上只会产生较小的影响。此外,预定义的勒索软件响应措施还有助于用户以相应方式隔离资产或限制特定的数据流,同时不破坏环境的其他部分,从而确保业务的连续性。
应用场景:威胁调查
EDR
对于 EDR 的“检测和响应”而言,要检测到威胁,解决方案本身与管理员或安全运营中心团队的付出缺一不可。出色的团队和可靠的 EDR 解决方案能够形成强大的组合,方可发现隐藏在设备中的恶意攻击者。
分段
经验丰富的安全分析师会发现,使用分段解决方案可以轻松对整个网络(从运行传统操作系统的本地服务器到公共云环境中的 平台即服务 基础架构)进行查询。
此外,由于您可通过分段解决方案 UI 查看所有连接和网络事件,因此该解决方案可在入侵发生后提供高级别攻击链调查。这使得在入侵发生后实现合规性更加容易,因为系统在很短的时间内就能描绘并生成有关该攻击的详细报告。
应用场景:不断变化的边界安全
EDR
不论员工是连接到办公网络还是家中的路由器,EDR 都能持续监测最终用户设备上是否存在恶意活动。但是,对网络活动的监测仍是一个盲点,并且对进出端点的网络流量的控制也受到局限。
分段
分段解决方案是针对不断变化的边界的基础安全措施,因为无论漏洞在哪里开始出现,相关平台都能予以控制。分段策略将最终用户设备考虑在内,并可确保攻击者不可轻易窃取企业的重要资产,因此总是可避免网络遭受灾难性入侵。
EDR 和分段解决方案如何互补?
EDR 和分段解决方案均可解决最棘手的安全问题,但两者是在攻击链的不同阶段以不同方式提供防护。在识别新攻击方面,EDR 表现卓越,但如果目标是显著减小网络的攻击面以及限制 恶意软件 在入侵过程中从设备发散的路径,分段解决方案则更为出色。
两种解决方案均可基于代理,各个代理会关注不同的目标,同时确保最低的 CPU 消耗量。在一些实例中,一种集成的解决方案足以为给定的设备同时提供 EDR 解决方案的功能和分段解决方案的功能。
了解更多
若要详细了解分段解决方案如何有助于保护网络不受源自设备的攻击,请阅读此 解决方案简介。
