EDR 购买指南

近年来，我们看到端点和数据的激增和互联性，以及威胁行为者的恶意活动增加。这些变量对大型和小型企业的业务连续性构成了重大威胁。网络犯罪分子和国家支持的组织越来越多地瞄准企业。

传统的保护方法可以对抗已知威胁，但容易受到复杂且未被发现的攻击策略的影响，而且它们无法洞察资产，这是保护这些系统的主要障碍。通常只有规模最大或资金最雄厚的企业才能找到端点安全专家。再加上许多攻击现在以机器速度通过多个移动部件发生的现实，依赖传统端点安全解决方案的人类团队无法保持警惕。

端点检测和响应 (EDR) 解决方案可预防和隔离恶意软件，同时为安全专业人员提供有效应对这些威胁所需的工具。现代 EDR 可以成功抵御快速发展、自动化和复杂的威胁（如勒索软件或无文件攻击），从而确保业务连续性，而无需增加分析师的工作量或需要高素质的安全人员。

自动化和可用性

预计 2022 年及以后，复杂威胁和攻击面将会增加，许多公司都在努力跟上黑客的步伐。现代 EDR 应通过巧妙的自动化减轻不断增加的负担，从而减少对高素质安全人员的需求。

让买家快速从 EDR 中获益的关键是实现自动化和简化。人工智能自动化将大部分工作委托给算法，同时减少人工参与。借助此类人工智能技术，程序使用起来更加简单，团队可以立即启动并运行，而无需长时间启用。

在攻击期间，响应时间非常重要：调查时间应远少于一分钟，以便在高级威胁对您的基础设施造成损害之前将其消除。

买家应寻找具有自动检测和响应功能的独立 EDR。这可以让分析师实时清晰地了解攻击的进展情况，并可能提供指导性补救措施，帮助他们迅速恢复正常。

警报管理

EDR 与标准防病毒 (AV) 解决方案的主要区别在于，AV 依靠现有签名进行检测，并且必须意识到威胁才能阻止它。相比之下，EDR 采用行为方法来检测恶意软件和其他可能的风险，具体取决于它们在端点上的行为方式。此外，与防病毒软件不同，EDR 是轻量级的，不需要定期更新。

为了将警报数量（以及分析师的工作量）降至最低，当代 EDR 中使用的 AI 必须能够快速检测、具有出色的精度和高保真度。买家应该了解所使用的 AI 和机器学习方法。与依赖预训练模型和分析进行检测的 AI 引擎相比，使用初始学习模型来定义每个端点的正常行为的 EDR 可以提高检测的准确性，并在出现偏离正常情况时发出警报。

当代 EDR 应配备强大的人工智能驱动警报管理系统，该系统能够向分析师学习，然后在日常警报处理中自主执行分析师的决策，以缩短反应时间并缓解分析师的警报疲劳。部署完全自动化的人工智能驱动警报管理解决方案对于对抗警报疲劳、降低员工流失和重新获得控制权至关重要。

威胁检测

威胁搜寻是当代 EDR 系统的关键组成部分，是保持环境清洁和无威胁所必需的。威胁搜寻可以快速检测新威胁并发现生态系统中的薄弱环节。数据挖掘使您能够检测和消除潜在风险，这些风险原本不会被报告，但可能在环境中存在数月甚至数年，等待被攻击者利用。

内存和无文件攻击本质上很难追踪，当攻击者在大型基础设施中使用多种变体时，追踪难度会大大增加。现代 EDR 应该使搜寻过程自动化，并采用数据挖掘，让安全团队自动搜索与过去事件具有行为和功能相似性的风险，并在几秒钟内给出结果。

在寻找威胁时，适应性至关重要。买家应寻找一种 EDR，它不仅提供可立即实施的大型预构建检测剧本库，而且还提供定制剧本，这些剧本可针对特定情况轻松生成，满足组织的安全要求，无需脚本编写经验。

大海捞针是威胁搜寻的常见比喻。EDR 搜索必须能够实时提供完整且细致的结果，方法是深入研究特定的搜寻条件并以包容性或排他性的方式组合这些参数。为了进一步帮助分析师并节省他们的时间，结果应显示在易于使用的图形用户界面 (GUI) 中，以便分析师可以随时从任何端点简单直观地搜索任何事件。

下载 IBM 的白皮书，以了解有关仅在在线白皮书上介绍 EDR 购买者指南白皮书的更多信息。