top of page
作家相片Tara Hsiao / PM

端點偵測與響應抉擇關鍵:EDR & MDR 完全剖析

我們知道『偵測與響應』在資安防護中扮演的關鍵角色,從識別可疑活動到調查事件並採取適當的回應措施,是企業資安防護策略中不可或缺的一環。尤其以企業環境中的端點主機(Endpoint)是最主要的攻擊目標,根據2024 CIO Insight調查報告顯示高達78.8%的用戶端安全是最被企業擔憂的破口,因此企業在資安防護方案採購上的首選為端點偵測與響應(佔48.9%)。

目前端點偵測與響應方案主要有兩種:EDR(Endpoint Detection and Response)與MDR(Managed Detection and Response)。以下我們將介紹它們的差異以及在選擇時應有的考量。同時,許多企業仍將傳統防毒軟體視為端點資安防護的主要方案,我們也將探討為什麼傳統防毒軟體已不足以應對現代資安攻擊。

EDR:自組式端點防護方案

EDR 是一種資安防護工具,藉由自動化收集、追蹤與分析端點上的程式行為與各種活動,識別異常行為或是可疑檔案程式,一但判斷為惡意活動,EDR將立即進行阻斷。同時EDR也會對偵測到可疑行為或是關注的事件進行風險評估與標示,並提供相對應的告警,以提醒資安專業人員留意。


EDR的優點:

EDR具有自動化監測與阻斷、可視化風險評估、潛在風險探測與自動告警通報等優點,這些功能讓資安人員能即時獲知發生的事件,迅速地掌握組織中的資訊安全狀態。省去了人為監測與阻斷,也讓資安人員更能專注後續的深入分析告警資訊,制定相對應的措施,提高應對效率與防護能力。


優點背後的限制:

要發揮EDR效益,通常需要搭配具專業技術與知識的資安人員(例如SOC團隊),組合成一支資安防護團隊,才能實現有效的『威脅響應』,也就是抑制、調查、恢復與善後。然而隨著攻擊技術的複雜與利用手法的增加,使得告警不斷增加,威脅種類不斷變化。大量地告警需要足夠的人員回應,複雜的技術環境需要資安團隊能理解攻擊手法並具備相應的技術知識才能判斷事件的嚴重性,以便及早確認有效性與回提出應對措施。


MDR :結合資安專家的託管式綜合安全服務

MDR是一種資安服務,也就是把偵測與響應委託給第三方廠商。MDR 服務不僅包含工具,還包括資安專家支援服務。從事件監測、告警接收與有效性確認,到應對措施擬定,都由專業的資安團隊協助並提供建議給用戶。


MDR的優點:

MDR除了具有EDR的技術優點外,更結合專業的資安團隊提供即時威脅檢測和應對,全方位強化組織的資安防護能量。採用MDR方案,不僅能省去人力資源培訓成本、軟硬體設備與學習成本,更降低了自建資安團隊所需的時間投入,人力技術工具一次到位,快速提高防護能量


優點背後的限制:

MDR方案由於是將資安監控及工具,外包給第三方,這表示對於防護工具的掌控權較低,自主性受到服務提供商的限制,以及需要信任其專業能力。雖然MDR僅存取事件軌跡而非完整資訊,但對於資料敏感性極高的組織來說,可能更關心在資安監控過程中,組織資安狀態被取得的風險。換句話說,對於一些緩路環境複雜度較高以及資料隱密性需求較高的組織來說,採用MDR方案可能會有一些挑戰需要克服。

傳統防毒軟體的限制


傳統防毒軟體是透過將檔案特徵碼或是網頁URL與資料庫做比對,也就是傳統防毒軟體需要『看到有形的特徵碼』並『知道』才能阻擋入侵威脅。這種方式僅能做到避免『已知的威脅』,對於『進行中的威脅』與『未知的威脅』無法即時偵測與響應。此外,面對因AI發展不斷加劇的威脅形勢,這種非黑即白的檢測方式也面臨以下挑戰:


  • 爆炸式成長的特徵碼與即時性

傳統防毒軟體的防護方式,意味著只要新的惡意軟體變種未被納入事先建立的檢測清單,就有可能被入侵成功。就好比追捕小偷,只要小偷稍作改變,例如戴個帽子貼上假鬍子,新的面貌未能即時出現在比對清單上,就能成功躲過偵測。根據Paloalto 報告指出,每天會有56萬個新的惡意軟體變體產生,有限的資料庫加上即時性的問題,使傳統防毒未能有效應對資安風險。

  • 無法抵擋『無檔案』式攻擊

現在的資安攻擊入侵手法已從過往的惡意檔案,擴展到漏洞利用、憑證暴力破解(如RDP、SSH憑證)以及錯誤的資安設定等進行入侵。甚至在進入組織內的一台設備後,從這台受感染的設備上執行惡意軟體,對同一網路內的其他設備發動遠端資料加密攻擊。然而這些攻擊方式不在傳統防毒軟體的偵測防堵範圍。就像傳統上入境需要經海關檢測,然而偷渡者可以利用不易察覺的方式或是未加偵測防護的破口偷偷潛入。


該如何評估端點防護方案?

EDR與MDR最大的差異在於『人』,即資安專家的角色。EDR就好比是健康檢測儀器,用來監測與評估端點健康狀態,MDR則是加入醫生問診,根據健康檢測的結果提供專業的建議。

組織在評估EDR或是MDR時,除了要對內部資源與網路環境先做釐清,也須根據組織的需求與資源進行方案評估,尤其對於中小企業而,需要特別關注資源限制,考慮外部資安服務的協助,以有效利用有限的人力、時間和預算。以下評估方向提供參考

  • 是否有足夠的人力:尤其是對人力資源有限的中小企業,資安工作通常是由IT人員兼任,對他們來說,最大的問題常常是『沒時間』。IT人員除了處理日常IT事務,還得抽空分析大量告警與學習資安知識,這樣的雙重負擔大大地限制他們專注於資安事件的處理與回應,使得告警形同虛設。

  • 是否有足夠的資安技能:負責資安的人員需要具備相應的知識,以辨識和評估可能的資安威脅事件,包括對威脅情報、攻擊手法和安全事件的理解程度。同時。也需評估現有防護措施的有效性,提出改進或加強防護的建議措施,以及具備提出有效並兼具維持組織營運的解決方案的能力。

  • 是否有足夠資源能投入人才技術培養與團隊建置:即使組織初期沒有足夠的人力資源或是相應知識,是否未來能投入資源,對現有員工進行專業培訓或是拓大團隊,以自組資安團隊。

  • 團隊建置的效益與時間性:建置一支專業的資安團隊需要時間和投入,而這種投入需要與預期的效益相匹配。組織需要評估這種投入是否合乎效益,以及建置團隊的效益何時能夠實現。


WiZON MDR 讓端點資安防護免憂愁

網路攻擊越來越頻繁,而每一個攻擊達成目標前,都有無數個徵兆出現,能不能即時感知並採取行動,是成功阻擋威脅的關鍵。

WIZON的MDR方案除了即時偵測與24*7監控外, 達到防護勒索軟體攻擊、惡意利用偵測等攻擊,並透過機器人學習,偵測未知資安風險,達到全面防護的目標。更結合經驗豐富的專業團隊,提供快速而準確的響應。組織不再需要擔心資安事件的處理和管理,可以專注於核心業務的發展。同時,WIZON 提供閱讀性高的定期月報,組織能從中獲得直觀易懂的洞察和建議。透過看得見的效益,組織能輕鬆了解資安防護狀態。

Comments


bottom of page