Red canary edr买家指南

up::终端基础设施 Endpoint Infrastructure-EDR

  • 1. 背景

    • Red Canary 的技术团队一直在关注 EDR 市场,评估新技术,并已成功指导数以千计的组织进行 EDR 的评估和实施,本指南是在这个过程中自然而然产出的。在购买EDR前我们需要了解:
      • 公司的业务需求、技术要求和内部能力
      • EDR产品对公司安全运营带来的潜在影响
      • 用来区分EDR产品的关键因素是什么
    • 本指南重点介绍了每个安全团队在购买 EDR 产品之前需要回答的 14 个问题。
  • 2. 最重要的问题

    • 为什么要购买EDR产品?
      • 购买 EDR 产品的原因有很多,了解您的目标是关键第一步。
    • 业务侧重点
      • 使用该解决方案需要什么水平的专业知识和时间投入?
        • 厂商提供的解决方案:MDR和MSSP。
      • 部署时对业务有什么影响?
        • EDR 解决方案应该可以使用任何本机或第三方部署实用程序轻松部署到终端。 需要重启的解决方案可能会产生重大的业务影响,并需要更多的组织协调。
      • 能否取代现有的终端安全方案?
        • 今天的许多 EDR 解决方案并不直接取代常见的安全方案,而是专注于加强安全态势的特定部分;常见的现有终端安全方案有:
          • 杀毒软件、DLP、FIM、HIDS、UBA等。
    • 技术能力
      • 支持哪些平台和操作系统?
        • 理想情况下,单一解决方案将适用于服务器、PC、笔记本电脑和其他终端。
      • 提供什么级别的可见性?
        • 如果 EDR 缺乏对数据的收集,则它的价值有限; 把它想象成一个物理安全系统:光学安全摄像头远不如能同时收集 X 射线、红外线和振动数据的摄像头。
        • 常见的数据包含:进程信息、网络连接、文件修改记录、注册表记录、二进制文件、内容、用户信息等。
      • 如何与预防措施相结合?
        • EDR 解决方案越来越多地成为终端保护平台的一部分,而不是独立的工具。 选择具有“多合一”的解决方案非常重要。
      • 如何检测面临的威胁?
        • 了解 EDR 解决方案检测到的威胁类型以及使用的技术和技巧应该是评估的核心。 许多解决方案采用非常有限的检测方法,并且无法提供更广泛的威胁覆盖范围。
        • 包含:覆盖范围、误报率、漏报率、响应时间、有效性等。
      • 提供什么样的响应处置能力?
        • 需要能够立即对威胁做出反应并在它对您的组织造成更大损害之前阻止它。
      • 有哪些类型的报告可用?
        • EDR 解决方案提供的报告对于获得的价值至关重要;这适用于随每个威胁检测提供的报告以及有关终端和企业的摘要报告。
    • 安全能力整合
      • 是否与其他安全工具集成/联动?
        • 将 EDR 深度集成到现有的安全能力和 IT 工具,能够最有效地从解决方案中获得最大价值。
      • 对终端会造成什么影响?
        • 几乎所有 EDR 解决方案都通过Agent方式部署到终端,这意味着如果它没有经过良好的设计和测试,可能会产生严重的性能影响并导致不稳定。 应该提供在类似操作系统和硬件上测试的性能数据,以及在运行类似应用程序时的性能数据。
      • 使用哪些安全控制来保护自己免受攻击者的攻击?
        • 如果设计不当,EDR 解决方案可能会带来巨大的安全风险;确保EDR自身都有严格的安全策略,并经过第三方测试。
      • 厂商提供哪些支持?
        • 厂商提供的技术支持将极大地影响潜在成本以及部署、排除故障和优化 EDR 解决方案的能力。
  • 来源

    • https://docs.google.com/viewerng/viewer?url=https://resource.redcanary.com/rs/003-YRU-314/images/EDR-Buyers-Guide-2020.pdf

Notes mentioning this note