什么是EPP/EDR

EPP和EDR的介绍

为了应对日益增加的对于端点设备的攻击，企业需要考虑升级自己的终端防御。此时，他们可以使用端点保护（EPP）以及端点检测与响应（EDR）。这两种工具都创建了一种方法来保护那些远程连接到客户端设备的网络。因此，它们在降低配置薄弱的端点和系统被利用而受到攻击的风险方面起着重要的作用。这些解决方案警示着安全团队关注潜在的网络安全，并且帮助纠正错误的配置。

为什么公司需要EPP或EDR？

在企业业的IT环境中，变化是不断发生的。也就是说，并不是所有的变化都是相同。事实上，IT和安全团队需要持续了解的变化，有三种。

• 内部计划中的变化:通过内部计划中的变化，IT和安全部门批准了对系统和流程的某些修改，这通常采取“员工实现供应商修复“的形式来提高其设备的性能和安全性。
• 内部计划外的变化:并不是所有的内部改变都是经过IT和安全部门批准的。比如管理者可能会错误地传递本不该传递的补丁，或进行一些不应该的升级。另一方面，IT用户可能会无意间修改或者通过未被批准的变化来完成工作相关的任务。 
• 外部的变化: 外部变化来自于外部因素。因此，外部变化往往未经过IT和安全部门的批准，并对组织构成威胁。比如，当恶意软件感染终端设备并使用受损资产呼叫其指挥控制（C&C）服务器时，就会发生外部变化。

这里的问题是：如今的IT网络如此复杂，以至于我们无法总能弄清楚每次的变化意味着什么，以及终端设备每天发生了多少改变。这使得组织处于被动状态，难以应对已经发生变化的攻击。响应的时间越长也就意味着宕机的时间越久，而这样会损害组织的商业信誉。

EPP/EDR如何提供帮助

EPP可以阻止病毒或者恶意软件感染终端设备，并扩散到网络。就其本身而言，EDR是EPP的一个演变。它通常包括一些附加功能，比如行为分析、监控、防病毒以及对脆弱性的检测与响应。

EPP和EDR可以帮助IT和安全团队回答一些重要的问题，如“设备中是否存在已知恶意软件？”以及“设备中有多少新应用？”。然后员工可以利用这些信息来主动降低宕机、知识产权盗窃以及勒索病毒感染的风险。它们也可以提高在威胁产生时自动做出响应的能力。

一个重要的警告

并非所有的EPP/EDR厂商都是一样的。例如，许多端点防护厂商开始根据已知威胁列表来检查设备中的恶意软件。这对于简单攻击是有效的，但是却很难解决APT。

领先的EPP/EDR厂商也通过利用行为分析来监视系统的行为，并在系统发生异常时，发出警报。这有助于组织识别以往未知的威胁。但是由于恶意软件已经导致设备发生了异常，所以团队最终在杀伤链中作出的响应往往是不够及时的。因为恶意软件改变了系统，而且恶意软件是主动的、武器化的，并且可能正在扩散。所以，我们无法验证用户正在连接的设备以及他们正在运行的，以进行保护的系统配置是否发生了变化。

EPP/EDR 作为分层安全方法的一部分

组织需要一个安全策略，用安全配置管理（SCM）来完善EPP/EDR。这就是Tripwire的用武之地。其自动化配置监控解决方案，以自动化的方式验证流程、实时检查配置以及报告变化的时间、人员和原因，从而提升了EPP解决方案的安全性和警报能力。这些功能增强了Tripwire检测上述三种不同类型端点变化的能力。

• 内部计划中的改变: Tripwire可以监控对系统做出的更改，并通过Jira或ServiceNow等“票务系统”的API集成来验证这些更改，以验证它们是否是计划内的变更以及是谁发起的变更。它还通过与SIEM的API连接，根据系统的当前漏洞来提供变更的风险评分。
• 内部计划之外的变化: Tripwire为内部计划外的变化提供的功能与它为内部计划中的变化提供的功能一样。另外它还可以将系统恢复到已知的良好状态。这不仅降低了风险，以及通过审计功能改进了流程管理，而且由于不必支持流氓配置，从而节省了IT团队的时间。
• 外部更改: Tripwire 带来了对于企业中发生的变化的深入理解、审计以及报告。它通过与SIEMs/SOARs/“票务平台”的集成来快速识别潜在有害的变化，对这些更改的风险进行评分，也提供了快速响应和修复，以降低整体风险并帮助确保系统的最佳性能。

数世点评

在新冠疫情的影响下，远程办公已逐渐成为一种新常态，端点也进而成为企业的最高安全风险所在。如今，传统端点安全措施的被动应对机制已无法有效防御日益增长的安全威胁。EPP和EDR的引入，帮助组织有效地进行事前预警防范、事中应急处置、事后追责溯源，完成终端安全威胁闭环。其中，EPP着重解决已知威胁，EDR更加针对未知威胁。单独部署EDR或是EPP都是不够的,两者的融合与联动才是发展的趋势所在。