端点安全防护 - 端点防护软件 EDR

又饶舌了

适用人员: 技术人员。
适用法规: 资通安全责任等级分级办法

技术面分类提要

• 网路架构
• 端点安全防护
  • 防毒软件与软件防火墙
  • 端点防护软件 EDR
  • GCB
  • VANS
• 应用开发

端点侦测及应变机制，指具备对端点进行主动式扫描侦测、漏洞防护、可疑程序或异常活动行为分析及相关威胁程度呈现功能之防护作业。

端点防护软件对应应办事项中的「端点侦测及应变机制」。名词上可能有点容易混淆，毕竟防毒软件也是在端点负责防护的工作。因此以下以 EDR (Endpoint Detection and Response)代之。

EDR 安装的情境举一如下

• 由资讯单位(如计中)采购 EDR 产品并安装控制中心
• 端点(如服务器)安装代理小程序 (agaent)
• 代理小程序会定期收集本机的(程序)行为回报给控制中心
• 由管理人员从控制中心了解每一台端点的异常行为

如此看下来 EDR 有几点要注意，一是这些行为看下来与部份的防毒软件有点像，因此在发展上也有更多样化的产品。例如结合传统的防毒软件功能与收集情报的 EDR，或是更进发展成 MDR、XDR等。那麽到底资安法要求的程度到哪? 参考资通安全管理法修法说明会（北区第2 场次）其实也没什麽标准答案...最大诚意导入(X)，选最便宜的 EDR 产品(O)

二是 EDR 会收集本机端的行为，虽然在端点不会有任何感觉，但在部署到一般使用者电脑时，多多少少会碰到隐私的问题，需要特别留意。EDR 一般也只有收集并通报的动作，对於应办事项的「应变」机制需要自行建立。

三是 EDR 目前没有看到能手工达成的方式，只能乖乖花钱买厂商的产品...