admin管理员组文章数量:1531703
2024年6月5日发(作者:)
EDR软件市场分析报告
2020年7月
1. EDR 软件是“云-边-端”防护体系重要组成部分
1.1. EDR是传统终端杀毒软件的进化
EDR 和传统的杀毒软件区别在于一个是主动防御,一个是被动防御。终
端防御与响应(Endpoint Detection & Response,EDR)是一种主动的安全
方法,可以实时监控终端设备,并检测渗透到公司防御系统中的威胁情
况。这是一种新兴的技术,可以更好地了解终端设备上发生了什么事情,
提供关于攻击的上下文和详细信息。EDR 可以让你知道攻击者何时进入
你的网络,并在攻击发生时检测攻击路径,帮助用户及时对安全事件作
出反应。
防病毒软件应用的主要是病毒特征码技术,缺乏主动防御能力,并且后
期占用运算资源,增加相应成本。我们每个人都有应用杀毒软件的体验
——发现可疑文件后,用防病毒软件的扫描引擎调用病毒特征库,与可
疑文件进行匹配,若匹配成功则对该文件做进一步处理,这种方式的局
限性在于不能查杀未知病毒,需要经常更新病毒库,病毒样本的采集难
度也较大,所以是一种相对比较被动的形式。并且随着特征库病毒样本
数量日益增长,加重了终端存储和运算资源需求,响应的过程会影响到
用户日常办公,无法适应如云化等新的特定场景(相信大部分人都记得
用杀毒软件扫描的时候,电脑会很卡)。防病毒软件专注于预防,但对
攻击期间发生的情况一无所知,它能够在病毒入侵系统以前做防护,但
是即使正确地做到了这一点,也不能告诉你恶意软件来自哪里,以及它
们是如何在系统中传播的。而 EDR描述的是整个攻击过程,并帮助你跟
踪可执行文件是如何获得对计算机的访问权限并尝试运行的。
从防病毒软件到 EDR,中间还有一个过渡环节,叫做 EPP。EPP
(Endpoint Protection Platform,终端防护平台)是除了防病毒以外
的综合保护终端设备的安全平台,通常包括防病毒、个人防火墙、端口
和设备控制等多种功能。它部署在终端设备上,检测和阻止来自应用程
序的恶意活动,并提供动态响应安全事件和警报所需的调查和修复功能
来预防基于文件的恶意软件。但是 EPP针对的主要目标依旧是已知的威
胁,EDR 的出现主要就是为了弥补传统 EPP 的不足,能够做到对新的或
未知的威胁进行主动检测。Gartner的 Anton Chuvakin在 2013年 7月
提 出 了 终 端 威 胁 检 测 和 响 应 (Endpoint Threat Detection and
Response, ETDR) 这一术语,用来定义一种 “检测和调查主机/终端上
可疑活动(及其痕迹)” 的工具,后来通常被称为终端检测与响应
(Endpoint Detection and Response, EDR)。
3 of 13
版权声明:本文标题:EDR软件市场分析报告 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1717599173a588985.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论