Top
首页 > 正文

小型企业如何选择适合自身需求的 EDR 解决方案建议

发布时间:2020-09-10 16:31        来源:        作者:

发生在中小企业(SME)身上的攻击正在变得越来越复杂,这意味着传统的端点保护机制无法轻松阻止这些攻击。在这种情况下,及时的事件监测对于最大程度地降低潜在不良影响至关重要。但是,如果不增强端点的可视性、探索可疑活动和了解攻击执行过程,就无法完成这一具有挑战性的任务。

根据我们的经验,中小企业了解他们需要提高安全能力,他们通常会联系我们的销售代表,咨询我们的产品。但是,对于一个由IT部门负责网络安全的企业来说(中小企业通常如此),将这种意图转化为实践是很困难的。他们根本不知道从哪里开始。 看起来,理想的计划是购买一个将所有重要功能都结合在一起的解决方案。

但这种方法会有问题吗?公司是否能够利用现代端点监测和相应(EDR)解决方案提供的功能筛选出所有数据和事件,同时还能够区分误报和真正的威胁?

重要功能涉及大量投资——这不仅仅是钱的问题

首先,是价格问题。卡巴斯基的一篇报告《2019年IT安全经济学:企业如何在网络攻击中损失资金和节省成本》显示,平均而言,信息安全方面的支出份额相当于整个IT预算的四分之一左右。对于小型和大型企业都是如此,但绝对数量上有很大的不同。员工人数在50-999人的组织在网络安全上的支出估计为267,000美元,而员工人数超过1000人的企业平均支出为1890万美元。因此,针对大型企业客户的解决方案可能不适合小型企业的预算。

不仅如此,需要的投入不仅仅是资金。企业级产品可能很难安装并与现有的安全解决方案进行整合。在拥有较大规模IT安全部门的企业中,有些员工可以专门负责这项任务。不过这对于小公司来说可能是个问题,因为负责维护整个基础设施的员工较少。

不要用大锤子砸开螺母

当然,当新的安全解决方案能够使公司的保护水平受益时,所有这些努力都是值得的。 但是,在实践中,即使中小企业设法获得预算并实施企业级解决方案,如果没有足够的信息安全专业知识,也很难充分利用其功能范围。

首先,高级功能可能根本与他们的特定请求无关。例如,如果检测到一个之前未知的可疑对象,一些在网络安全方面不是很成熟的组织只需要知道它是否是恶意的,或者是否需要阻止。与此同时,另一些组织只需要全面了解该对象的行为和背景,以便进行深入调查。重要的是,要了解组织的需求是什么,现有的团队能够做什么。根据这一点,公司可以决定他们是否准备购买,例如,为安全研究人员设计的沙盒。

其次,为安全分析人员创建的产品不适合“一劳永逸”的方法。例如,功能丰富的EDR解决方案需要一支能够调整检测逻辑并创建新规则以不断提高检测水平的专家分析人员团队。如果没有这样的专家,解决方案主动搜索入侵迹象的能力就不会有用。

对中小企业来说,通常由系统管理员来管理端点保护解决方案。但即使是提供基本功能的EDR,也需要一名具备基本网络安全知识的员工。当然,一下就不用一个完整的威胁猎手团队或高级安全分析人员是一项很难完成的任务,而且这样的专业人员薪水特别高,而且很难找到。因此,值得从具备信息安全知识的员工开始。结合对IT领域的了解,可以验证警报,消除威胁,同时考虑到其行动的风险,例如隔离某些工作站或服务器,或停止关键的业务流程。

当EDR成为一款货架产品,而不是一款有效被使用的解决方案时,这不仅仅是对中小企业预算的浪费。这种一开始就发生的失败会打消企业领导者制定网络安全计划的积极性:如果他们没有看到效益,企业为什么要投资其他安全产品呢?

因此,组织应该首先决定是否做好准备雇佣一名专门负责信息安全问题的员工。如果没有做好准备,最有效的选择将是向外部事件检测和响应专业人士寻求帮助。

对于那些决定在内部开发此功能的企业,最重要的是,首先找到一种有益的解决方案,同时不需要金钱和人力上投入大量额外资源。为了避免上述陷阱,卡巴斯基亚太区董事总经理Stephan Neumeier建议您注意以下指导意见:

- 为了提供无 “盲点”的可视性和集中响应功能,EDR需要与端点保护平台(EPP)集成。增强网络安全能力应该是一个循序渐进的过程。一旦企业可以使用端点保护解决方案检测到恶意对象,就可以扩展现有技术,使其能够了解其来源并在其他工作站上搜索这种威胁。

- 如果EDR解决方案能够以集中的方式与现有的端点安全解决方案顺利集成,就能缩短部署所需的时间。所以,在购买产品之前,请询问该产品是否支持与EPP的进行turnkey集成。

- 如果您的企业负责安全的员工人数有限,请确保您选择的 EDR 解决方案能够提供良好的可视性和自动化,同时又不会让无关信息让专业人员不知所措。所有事件信息均应可从单个控制台轻松获得,并且应将攻击扩散路径可视化,以简化威胁分析。自动化感染迹象搜索和事件响应功能能够加快工作速度并提高员工的工作效率。

每日必读

专题访谈

合作站点