Wykrywanie i reagowanie w punkcie końcowym

Endpoint detection and response (EDR), znane również jako endpoint threat detection and response (ETDR) - ogólna nazwa rozwiązań, które stale monitorują i reagują w celu neutralizowania cyberzagrożeń[1][2].

HistoriaEdytuj

W 2013 r. Anton Chuvakin z firmy Gartner stworzył termin „wykrywanie i reagowanie na zagrożenia punktów końcowych” dla „narzędzi skoncentrowanych głównie na wykrywaniu i badaniu podejrzanych procesów oraz problemów na hostach/punktach końcowych”[3]. Obecnie jest to powszechnie znane jako EDR.[4][1]

Raport Endpoint Detection and Response – Global Market Outlook (2017-2026), mówi, że zastosowanie rozwiązań typu EDR opartych na chmurze oraz lokalnie będzie wzrastać o 26% rocznie do 2026 r. będzie wyceniane na 7,26mld USD.[5] Natomiast według raportu Artificial Intelligence (AI) w Cyber Security Market autorstwa Zion Market Research, rola uczenia maszynowego i sztucznej inteligencji stworzy do 2025 r. rynek cyberbezpieczeństwa o wartości 30,9 mld USD.[6][7]

W 2020 r. kod źródłowy powszechnie używanego narzędzia EDR został udostępniony przez Comodo Cybersecurity jako OpenEDR[8].

PojęcieEdytuj

Technologia wykrywania i reagowania na punktach końcowych (EDR) służy do rozpoznawania podejrzanego zachowania i zaawansowanych trwałych zagrożeń na punktach końcowych (end pointach) w środowisku oraz do odpowiedniego ostrzegania administratorów. Wykorzystuje do tego dane agregowane z punktów końcowych oraz pozostałych źródeł. Dane te mogą, ale nie muszą być wzbogacone o dodatkową analizę w chmurze. Rozwiązania EDR służą przede wszystkim do ostrzegania, a nie warstwą ochronną, ale funkcje mogą być łączone w zależności od dostawcy i pakietu. Informacje mogą być przechowywane w scentralizowanej bazie danych lub przekazywane do konsoli zarządzającej lub narzędzia SIEM[9][10].

Każda platforma EDR ma swój unikalny zestaw możliwości działające w trybie online, jak i offline, reagowanie na zagrożenia w czasie rzeczywistym, zwiększanie widoczności i przejrzystości danych użytkownika, wykrywanie zapisanych zdarzeń punktów końcowych i wstrzyknięć złośliwego oprogramowania, tworzenie czarnych i białych list oraz integracja z innymi technologiami. Niektórzy dostawcy technologii EDR wykorzystują darmową klasyfikację i strukturę Mitre Att&ck dla zagrożeń[11].

Zobacz teżEdytuj

PrzypisyEdytuj

  1. a b Łukasz Kuc, Technologia ulepszająca zabezpieczenie punktów końcowych (EDR), Blog Net Complex, 19 marca 2021 [dostęp 2022-01-24] (pol.).
  2. Top 6 EDR Tools Compared - A Complete Guide [2021], Cynet [dostęp 2022-01-24] (ang.).
  3. Named: Endpoint Threat Detection & Response, Anton Chuvakin, 26 lipca 2013 [dostęp 2022-01-24] (ang.).
  4. Commons Clause License, Commons Clause License [dostęp 2022-01-24] (ang.).
  5. "Global $7.27 Bn Endpoint Detection and Response Market to 2026". finance.yahoo.com. Retrieved 2019-09-24.
  6. 10 Ways AI And Machine Learning Are Improving Endpoint Security, Business 2 Community [dostęp 2022-01-24].
  7. Zion Market Research, Artificial Intelligence (AI) In Cyber Security Market Will Reach to USD 30.9 Billion By 2025: Zion Market Research, GlobeNewswire News Room, 28 sierpnia 2019 [dostęp 2022-01-24] (ang.).
  8. Catalin Cimpanu, Comodo open-sources its EDR solution, ZDNet [dostęp 2022-01-24] (ang.).
  9. What is Endpoint Detection and Response? | How does EDR Work?, Comodo News For Enterprise Security, 2 sierpnia 2021 [dostęp 2022-01-24] (ang.).
  10. what is endpoint detection and response (EDR)?, SearchSecurity [dostęp 2022-01-24] (ang.).
  11. "Symantec Endpoint Detection & response Data Sheet". Broadcom.