評估端點檢測和響應（EDR）解決方案的注意事項

九項指標選擇有效的端點偵測與回應 (EDR) 解決方案
端點安全解決方案涵蓋從傳統的防毒軟體到當今能將多個安全解決方案結合的擴展型偵測與回應 (XDR) 平台。隨著端點安全解決方案的需求不斷增加，供應商將試圖透過他們的資訊傳遞而不是工程設計使他們的解決方案符合買方的期望和分析的條件。本指引清單提供了 EDR 購買者在評估改變或加強其端點安全策略時考慮的九項指標。

一、防護效能
這是評估的起點，因為 EDR 解決方案必須在其基本核心上能夠防護目前與未來的威脅情勢。在過去幾年中未改變其資訊安全策略的組織通常仍在使用舊的 EPP 或 AV 解決方案，這些解決方案無法抵禦最新的威脅手法，例如無檔案 (fileless) 攻擊。查看一個 EDR 解決方案如何減少攻擊面並從那裡著手。隨著在家與遠距辦公的人數激增，您需要相信您選擇的 EDR 解決方案將能夠保護端點安全，無論它在哪裡運作。 

二、勒索軟體防禦與恢復能力
勒索軟體是迄今為止最具破壞性的惡意軟體形式，也是當今對駭客最具吸引力的攻擊方式之一，尤其是在針對政府機構時。MITRE 的 Engenuity ATT&CK 評估 是了解供應商的 EDR 使用者端對勒索軟體的回應情況的一個很好的來源，但還必須了解供應商如何回應所有形式的勒索軟體。此外，在勒索軟體防禦方面，人工智慧 (AI) 與機器學習 (ML) 功能被認為是最重要的。當購買者詢問“如果端點離線 (例如在家工作)，它能否抵禦勒索軟體？”時，這一點就很明顯了。其他評估因素是即時復原與 EDR 使用者端可以進行復原任務的系統類型。 

三、參考 MITRE ATT&CK 評估結果
供應商即使無法阻止攻擊或發現 MITRE ATT&CK 評估中大多數的子技術 (sub techniques)，也會找到方法使自己看起來像頂尖的 EDR 解決方案提供者。為了阻止和搜尋威脅，判斷 EDR 解決方案是否能夠抵禦攻擊並適當地發現子技術 (sub techniques) 的最佳方法是從評估中看四個可能的事情。首先，他們是否選擇參加保護測試?他們可能發現了子技術(sub techniquies)，但可能沒有能力阻止它們。第二，它是否阻止了所有他們參與的攻擊測試? 值得注意的是，在最後一輪測試 (例如Fortinet) 中，有些客戶端不是在 Linux 上運行，或是正在開發針對 Linux 的威脅搜索。第三，他們在檢測測試中是否發現了 90% 以上的子技術 (sub techniques) 呢？這對於威脅獵捕與保護很重要。第四，供應商是否能夠透過分析檢測到絕大多數的子技術 (亦稱為技術Techniques)，因為這表明該解決方案不需要威脅情報來操作？

四、防篡改 (Anti-tampering) 功能
許多駭客希望以破壞設備為目標，特別是在勒索軟體攻擊中。使用者需要了解一個解決方案如何保護設備免受這種攻擊。使用惡意的引導程序 (bootloader)，是惡意軟體開發過程中的一個常見步驟。如果惡意軟體成功了，它就會使人無法恢復文件，讓復原系統的功能損壞，甚至無法使用系統，這對醫療和零售機構來說將是巨大的損失。您購買的 EDR 套裝軟體應作為系統內核層的防火牆，以保護其免受試圖突破該層或改變操作系統的攻擊。

五、對 OT 營運技術的支援
您是否考慮將 OT 系統連接到網路？如果是的話，您的 OT 系統需要保護，而且當中許多的設備仍在使用舊的作業系統，如 Windows 7 或 XP。像許多製造、金融和教育產業一樣，系統環境中使用 Windows 或 Linux 伺服器，或使用 macOS 作業系統，如果供應商支援這些作業系統(新與舊)，需要詢問主機和工作站的授權成本是否相同。

六、代理是否輕量化
將 AI 與機器學習 ML 技術運用於端點安全軟體的最大推動力之一即是減少對特徵碼的依賴，冗長的特徵碼會拖累試圖完成工作的端點。 EDR 解決方案對系統資源的影響各不相同，人們應該只考慮平均使用不到 1% 的 CPU 利用率的解決方案。

七、EDR 自動化
EDR 自動化是其優勢所在，也是與舊的 AV 與 EPP 平台不同的地方。這將使負擔過重的 SOC 或 IT 人員從忽略告警到更專注於調整 EDR 解決方案來為他們完成工作，以便可以將更多時間用於 EDR 管理與威脅獵捕。在朝向 XDR 方案邁進之前，請先研究它如何與其他安全設備與服務進行整合。 

八、XDR 功能
XDR 是許多企業正在評估的解決方案，並將成為 IT 資安中成長最快速的領域之一。XDR 是一個較新的解決方案，在資安領域中尚未完全定義。許多供應商急於使 EPP 與 EDR 解決方案看起來像 XDR，但著名的評分機構 Gartner 對此提出告誡。一個成熟的 XDR 公司應該有經驗豐富的 SIEM 與 SOAR 產品線來擴充與成長。尋找能夠與該公司其他解決方案整合而不是第三方 API 介面的解決方案，Gartner 將其稱為“Open XDR”，這種解決方案並不是人們需要與期望的。

九、託管服務選項
由於 SOC 員工負擔過重，讓一個外包團隊管理遇到威脅中的警報與事件將十分有幫助。託管偵測與回應 (MDR) 服務是一項非常推薦給所有客戶的服務，尤其是在第一年，MDR 能夠協助調整 EDR 技術以適應企業組織的網路環境。許多購買者經常詢問是否可以與 MDR 團隊一起提供部署服務。很多時候，他們還詢問該團隊屬於供應商內部團隊還是外包給其他第三方，對於 24 小時運作的全球公司，他們還會詢問供應商在他們的地區是否有支援中心。因為 EDR 與整個安全生態系統息息相關，所以與提供事件響應服務的供應商合作要比依賴 API 和權限的供應商更有效率。

▌結論
並非所有 EDR 供應商提供的解決方案都是相同。購買者必須了解市場上 EDR 方案的關鍵效能且確保無論他們在哪裡工作或如何連線到網路，EDR 都能夠勝任保護其端點的任務，以做出最適合自己組織的選擇。將轉換 XDR 解決方案的時程也列入評估，檢查當今您的 EDR 解決方案是否能夠在您的資安計劃推動協作時幫助彌合這一項差距。

了解 FortiEDR 能如何協助組織有效防範當今的威脅。
★ Fortinet 推出【端點防護策略地圖】，快跟著我們一起解鎖，帶你輕鬆一步步邊學邊做 » Fortinet【端點防護策略地圖】 – Fortinet Taiwan