EDR 的含义和定义

2013 年，Gartner 首次提出了这个概念，用于强调当时出现的一种新的网络安全软件类别。

端点检测与响应 (EDR) 是指一类对计算机工作站和其他客户端上与威胁相关的信息进行持续监控的工具。EDR 的目标是实时识别安全漏洞，并对潜在威胁做出快速响应。端点检测与响应，有时称为端点威胁检测与响应 (ETDR)

EDR 是如何运作的？

EDR 侧重于端点。端点可以是网络中的任何计算机系统，例如最终用户工作站或服务器。EDR 安全解决方案提供实时可见性、主动检测和响应。这些解决方案通过多种方法保护端点的安全，其中包括：

收集端点数据

这里指的是端点层面生成的数据，包括通信、进程执行和用户登录。这些数据会进行匿名处理。

将数据发送到 EDR 平台

然后，匿名数据从所有端点发送到中央位置，这个中央位置通常是云端的 EDR 平台。根据组织的具体需求，该平台还可以在本地或采用混合云的方式来运行。

分析数据

解决方案利用机器学习来分析数据并执行行为分析。经过分析得出的洞察用于建立衡量正常活动的标准，并以此为依据来识别代表可疑活动的异常。

一些 EDR 解决方案还提供威胁情报，利用现实世界的网络攻击示例来提供背景信息。该技术将网络和端点活动与这些示例进行比较，从而检测出攻击行为。

标记可疑活动并做出响应

该解决方案会标记可疑活动并向安全团队和相关人员发送警报。它还会根据预定触发条件来启动自动响应。例如，可能会将端点暂时隔离起来，以防止恶意软件在网络中传播。

保留数据以供日后使用

EDR 解决方案会将数据保留，以用于支持日后的调查和主动威胁搜寻。分析人员和工具使用这些数据来调查现有的长期攻击或之前未发现的攻击。

EDR 正在日益普及——部分原因在于连接到网络的客户端数量在增加，还有就是网络攻击变得越来越复杂，而且网络攻击通常将客户端作为重点目标以降低入侵网络的难度。

为什么 EDR 对企业至关重要

大多数企业都有可能遭受各种网络攻击。

这些攻击包括简单的机会主义攻击，比如恶意攻击者发送带有已知勒索软件的电子邮件附件，也包括更高级的攻击，比如恶意攻击者可能会利用已知的漏洞或攻击方法，并试图使用规避技术（如在内存中运行恶意软件）来隐藏攻击。

有些攻击可以完全绕开企业的防御

虽然基于网络的防御可以有效阻止很大比例的网络攻击，但有些攻击会偷偷侵入系统，还有些攻击（如可移动介质携带的恶意软件）可以完全绕过这些防御。基于端点的防御解决方案能让企业提升安全防御能力，并提高识别和应对这些威胁的成功率。

远程办公让员工缺乏足够的保护

很多员工越来越多地转向远程办公，强大的端点保护也变得更加重要。在家办公的员工可能无法获得像办公室人员一样的网络威胁防护水平，并且其个人设备可能没有安装最新更新和安全的补丁。

推荐阅读

• 安全知识普及：什么是垃圾邮件和网络钓鱼欺诈
• 安全知识普及：简单五招为家人提供安全的无线网络
• 安全知识普及：总结什么是网络安全
• 安全知识普及：十二招式保护手机免受网络攻击
• 安全知识普及：远程办公，员工必须遵守的5大守则
• 安全知识普及：如何让您的计算机上网安全，无忧冲浪
• 安全知识普及：远程办公，员工必须遵守的5大守则