EDR普及的關鍵：擊敗警報疲勞

據預測，到2020年，終端檢測與響應(EDR)解決方案將成企業重要安全技術，大型企業中有80%會投資EDR，中型企業是25%，小型企業中投資EDR的比例則是10%。對可檢測高級威脅的事件響應工具的需求將推動EDR市場增長，預計2015-2020年間，EDR市場年複合增長率(CAGR)將達45.27%。

EDR市場已步入高速增長期，2015年的年營業收入還只是2.38億美元，到2016年就倍增到了5億美元，2020年成長為10億美元市場並不是空穴來風，甚至還有可能匹敵歲入32億美元（2015年）的終端防護平台(EPP)市場。

儘管市場增長迅速，EDR這種預防性控制措施依然不是中小企業負擔得起的。因為EDR需要專門的安全運營中心(SOC)團隊人工調查事件警報，而這一高成本障礙目前只有大型企業才有足夠的資源去跨越。但是，真的是這樣嗎？

對抗警報疲勞

EDR解決方案誕生的前提是：不可能防止所有威脅。也就是說，EDR的目標是最小化感染所致的宕機時間，同時儘可能減少所造成的破壞。然而，人手不足的IT團隊很容易被如今越來越多的安全警報數量壓垮，調查決策要麼是信息不足的情況下做出的，要麼是倉促的即審判決。這種粗線條的方法可能導致整個網路都被侵入，尤其是在傳統EDR管理不善或沒完全發揮功效的情況下。

由於EDR代理通常安裝在現有EPP代理和SIEM、IDS和IPS等其他安全技術之上，安全團隊往往會被來自多個安全控制台的成千上萬條警報狂轟濫炸，這種情況下想要給安全事件分個輕重緩急幾乎是不可能的。安全控制台的各自為戰只會讓安全大而無當，對增加可見性和提升企業整體安全態勢毫無幫助。

EDR應只有一個代理，只用一個管理控制台，只專註真正重要的安全事件，而不是分散稀釋掉本就不充裕的人力資源。畢竟，EDR應能讓你的「安全特警隊」專註對付真正的網路匪徒，而不僅僅像片警一樣巡個街查個戶口。

飛入尋常百姓家的EDR

EDR代理提供的高級威脅追捕能力需要警報分級和專業團隊的人工調查，所以其實際使用成本往往會超出最初的購買和部署價格。想要讓EDR解決方案運營成本親民，就得利用終端代理的內建智能來檢測高級攻擊。這麼做可以讓管理員只專註在突破了其他預防層的特定高級威脅上，避免他們在誤報上浪費時間。這種增強版的安全運營可以自動歸類真正重要的安全事件，無需全職安全專家團隊調查每一起事件或異常。

因為檢測出的隱秘威脅以上下文豐富的方式呈現，事件可視化和調查過程也能被大幅簡化，管理員可以在數秒內評估威脅的影響。這種簡化直接轉化成了快速事件響應策略，管理員能夠精準地刪除或隔離威脅，控制威脅的蔓延。

這種進階預防方法還帶有從事件響應工作流微調控制措施防護級別的功能，能夠通過專註真正重要的警報來降低事件響應成本。與傳統EDR不同，智能EDR解決方案沒有那麼多雜訊，不會讓本就資源不足的IT團隊更加捉襟見肘，卻能以高精確度提供同樣的早期檢測功能，而且任何公司企業都能入手——無論企業規模如何，所處行業是什麼，IT團隊有多少人。

真正需要擔心的攻擊就那1%

層次化安全解決方案在檢測、預防和緩解99%的威脅上表現出色。但剩下的1%往往就是能瞞天過海的那類高級攻擊。網路安全的前沿陣地就是要擁有準確識別此類隱秘威脅的能力。

人人都能使用的EDR，其價值在於其與現有EPP解決方案全面集成的能力，以及能夠讓IT管理員對整個基礎設施的安全狀態有個完整視圖。最後1%的攻擊不僅僅難以捉摸，還能隱藏在普通安全事件所產生的背景噪音中，所以IT管理員需要能夠專註在真正的危險和問題上，及時有效地預防、調查、檢測並響應高級威脅。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！