采用端点检测和响应（EDR）解决方案前，你需要了解这10个问题

采用端点检测和响应(EDR)解决方案前，你需要了解这10个问题。端点检测和响应(EDR)解决方案的市场正在快速扩张，以满足市场对更高效的端点保护的需求，和检测潜在漏洞的迫切需要，并做出更快速的反应。EDR工具通常会记录大量端点和网络事件，把这些信息保存在端点本地，或者保存在*数据库中。然后使用已知的攻击指示器(IOC)、行为分析和机器学习技术的数据库，来持续搜索数据，在早期检测出漏洞(包括内部威胁)，并对这些攻击做出快速响应。

提到EDR就不免会接触到“威胁追踪(threat hunting)”这一术语，通过搜索大量数据这一过程，以发现威胁行为者或新型攻击的迹象，而不是依赖已知的威胁签名。它是威胁情报和大数据分析相结合的产物。威胁追踪是全面EDR解决方案的重要组成部分，同时也是EDR和端点保护平台(EPP)这两种易混淆概念的关键区别。

然而，EDR解决方案也正在经历一个变化周期。2016年，Gartner指出，

“EDR不是其他端点安全工具的替代品;它通常是其他工具在检测和可见性方面的扩展和补充，旨在提供端点安全功能”。

但是Gartner 2017年端点保护平台魔力象限又指出：

“到2019年，端点防护平台(EPP)与端点侦测与响应(EDR)的功能将整合为一个方案，用户仅需要为特定环境购买最好的产品。”

以下为安全专家就购买EDR解决方案前应该问自己的10个问题作出的解答：

1. 你想解决什么业务问题?

Rackspace网络安全主管Daniel Clayton强调称，评估EDR解决方案的第一步就是确定你想解决的问题。大型组织首席信息官(CIO)的任务是为安全操作中心(SOC)配置适当的工具来解决问题，要牢记：安全不仅仅是工具的问题，还是人的问题。迟早会有人因为错误配置系统的问题，使得企业遭受新型或高级持续性威胁(APT)入侵。即使是最好的网络可视化工具也不能完全阻止一个动机明确且训练有素的对手。

网络安全公司FireMon的首席技术官Paul Calatayud认为，这一观点同样适用于较小的组织。他表示，

“EDR解决方案有助于发现和识别网络威胁，但是它们不是‘silver bullet(暗指被人们寄予厚望的某种新科技)’。经过训练和实践的人员和流程对于帮助指导响应和跟进工作具有非常重要的意义。因此，需要制定这样一个规划：一旦该技术到位了，你可能仍需要投入更多的人力或培训，以及制定一个全面的事件响应计划来实现真正的EDR投资回报。”

2. 什么是EDR解决方案的数据回溯期?

Clayton说，一个EDR解决方案必须提供超过实时(point-in-time)的数据才能有效。他建议寻找一个可以提供至少30天的实时数据进行分析的解决方案。有些供应商可以从档案库中提供90天到一年的历史数据用于调查目的。

3. EDR解决方案是否集成威胁情报平台和其他现有工具?

Calatayud提到，由于EDR工具旨在协助进行威胁追踪，所以对于这些工具而言，与威胁情报源或平台相集成是非常重要的，如此一来有助于快速分析威胁指标(indicators of compromise，IOC)。

Rackspace安全主管Jarret Raim补充道，安全平台通常有很多工具，所以你如何能够从管理入口获取数据呢?EDR工具需要与现有工具(包括防病毒工具)集成。此外，在你购买EDR解决方案前，了解该EDR方案集成了哪些工具也是非常重要的。

4. EDR解决方案需要多少资源来支持该技术?

实施和运行EDR解决方案可能会很麻烦。您可能需要参加培训并与供应商的工程师合作才能使其运行。如此一来，它需要花费许多时间和大量的资源来实现可视化运行、学习破译结果以及确定如何在必要时进行故障排除。Calatayud指出，在评估任何安全解决方案时，重要的是要了解该解决方案是否会减损您的资源——通过要求大量的支持，而不是允许您的团队像一个消费者一样，专注于解决方案中的数据。Raim建议潜在买家要仔细考虑如下问题：为了让这个工具产生价值，我需要做什么?分析师需要做什么?谁将对警报做出响应?EDR需要人员、流程和工具，但工具只是其中的一部分。

5. 该解决方案是否会中断端点?

Clayton和Raim都告诫称，要提防在代理部署或威胁调查期间中断端点的解决方案。为了解决这个问题，Clayton建议使用内核级代理的解决方案。

6. 该解决方案支持哪些操作系统?

Calatayud指出，在企业环境中混合使用Microsoft和Macintosh计算机是很常见的问题。必须确保所有端点正确覆盖到包含服务器操作系统类型。他补充道，EDR需要能够对环境可见化。解决方案可能支持Windows，但不支持Linux。所以，必须确保你所需的解决方案支持您的系统和补丁计划。

7. 是否有任何可扩展性问题需要注意?

Raim敦促EDR买家在扩展的环境中查询管理问题。例如，与30,000个端点相比，3000个端点的管理入口是什么样的?要求潜在供应商描述他们最大的部署和涉及的端点/代理的数量。

8. 解决方案是否提供工作流报告或与其他Ticket系统的相互影响?

Calatayud指出，可用性是任何安全解决方案的重要元素。IT资源一直都是很少的，一个包含报告仪表板或集成到其他Ticket系统的解决方案会更占优势。不易操作的解决方案是一种风险，因为用户可能会感到困惑，继而选择放弃该解决方案。

9. 该解决方案是否提供“多租户(multitenancy)”技术?

基于云的解决方案经常使用“多租户技术”来保持客户分离。Raim说EDR客户经常说他们不想要“多租户技术”，但当他们意识到该技术能为他们做什么时，他们会愿意使用该技术。通过“多租户技术”，客户可以分离自己的基础设施，例如分离城市或业务部门，以实现更好的组织、控制和灵活性。但是这一决定必须要提前确定，因为改造“多租户技术”是非常困难的。

10. 我的组织能够负担得起一个EDR解决方案吗?

考虑到企业SOC的成本很容易达到300万到500万美元，Raim指出，一些客户主要专注于“find and forget(发现并忘记)”解决方案，因为它们的价格实惠得多。一个管理服务可以为客户提供EDR功能，包括分析师输入(analyst input)，减少客户对内部专业知识的需求。这些类型的服务可能会在可预测的12、24或36个月的合同中推出，或者成本可能会根据组织的架构和基础设施需求而波动。