「明明裝了防毒軟體,為什麼還要 EDR?」——二者角色不同。本文講解 EDR 守護什麼、如何守護(不會寫出攻擊步驟)。
與傳統防毒軟體的區別
| 視角 | 傳統防病毒 | EDR |
|---|---|---|
| 偵測的軸心 | 已知特徵碼/IOC(雜湊等) | 行為/IOA(一連串動向) |
| 抗繞過能力 | 對無檔案、正規工具濫用較弱 | 更易憑行為捕捉 |
| 事後調查 | 有限 | 可用時間軸追溯經過 |
| 回應 | 以清除為主 | 支援隔離、調查、復原 |
如何守護(機制)
特徵碼比對(攔截已知的惡意)與行為偵測(憑 IOA 察覺)並不對立。兩者兼備才切合實際,EDR 的定位是把後者做厚。
小規模環境下切實可行的因應方式
先夯實根基
用好作業系統內建防護
保存紀錄,具備 IOA 的眼光
按需考慮 EDR
本站的視角:比起產品名,更看重「能記錄、偵測、回應的狀態」
EDR 很強大,但本站並不認為「裝了 EDR 就安全」。偵測是事故發生之後的事,真正的重點是從一開始就不讓它發生、不讓它擴散的設計(最小權限、修補程式、MFA、不以明文存放機密)。在此基礎上,繞過總會發生,因此要以與規模相稱的方式,持有能記錄、偵測、回應行為的狀態。個人往往「Defender+紀錄+IOA 意識」就夠了,組織則可把託管型 EDR 納入選項。要緊的不是產品名,而是預防(不讓發生)與偵測(察覺)這兩個輪子是否都在轉動。
接下來閱讀
- 術語:IOA(攻擊指標)是什麼 / IOC(入侵指標)是什麼 / 勒索軟體是什麼
FAQ
QEDR 和傳統的防毒軟體(防病毒)有什麼區別?
傳統防毒軟體以比對「已知的惡意檔案(特徵碼/雜湊)」並加以攔截為主。EDR 在此之外,還會持續記錄終端上的「行為」(程序啟動、通訊、檔案操作等),偵測一連串可疑動向,並支援隔離、調查、復原等回應。把「攔截已知的惡意」理解為 AV、「憑行為察覺並回應」理解為 EDR,就容易區分了。
Q為什麼需要基於行為的偵測?
攻擊者會用完即棄地更換檔案雜湊,或濫用作業系統內建的正規工具(無檔案),藉此繞過特徵碼比對。這類攻擊作為「惡意檔案」很難被看見,只會以「一串異常行為的連環」形式出現。因此關注行為(IOA)的 EDR,承擔起捕捉已繞過防線的攻擊的角色。
Q個人或小規模也需要 EDR 嗎?
全功能的 EDR 主要面向組織,對個人和小規模而言往往過剩。不過其思路是有效的。Windows 的 Microsoft Defender 含有簡易的行為偵測,把作業系統與應用程式的自動更新、最小權限、紀錄保存這些根基,與 IOA(憑行為察覺)的意識結合起來,就能獲得大量價值。比起產品名,「是否處於能記錄、偵測、回應行為的狀態」才是本質。