Wykrywanie i reagowanie w punkcie końcowym

Endpoint detection and response (EDR), znane również jako endpoint threat detection and response (ETDR) - ogólna nazwa rozwiązań, które stale monitorują i reagują w celu neutralizowania cyberzagrożeń^[1][2].

Historia

W 2013 r. Anton Chuvakin z firmy Gartner stworzył termin „wykrywanie i reagowanie na zagrożenia punktów końcowych” dla „narzędzi skoncentrowanych głównie na wykrywaniu i badaniu podejrzanych procesów oraz problemów na hostach/punktach końcowych”^[3]. Obecnie jest to powszechnie znane jako EDR.^[4][1]

Raport Endpoint Detection and Response – Global Market Outlook (2017-2026), mówi, że zastosowanie rozwiązań typu EDR opartych na chmurze oraz lokalnie będzie wzrastać o 26% rocznie do 2026 r. będzie wyceniane na 7,26mld USD.^[5] Natomiast według raportu Artificial Intelligence (AI) w Cyber Security Market autorstwa Zion Market Research, rola uczenia maszynowego i sztucznej inteligencji stworzy do 2025 r. rynek cyberbezpieczeństwa o wartości 30,9 mld USD.^[6][7]

W 2020 r. kod źródłowy powszechnie używanego narzędzia EDR został udostępniony przez Comodo Cybersecurity jako OpenEDR^[8].

Pojęcie

Technologia wykrywania i reagowania na punktach końcowych (EDR) służy do rozpoznawania podejrzanego zachowania i zaawansowanych trwałych zagrożeń na punktach końcowych (end pointach) w środowisku oraz do odpowiedniego ostrzegania administratorów. Wykorzystuje do tego dane agregowane z punktów końcowych oraz pozostałych źródeł. Dane te mogą, ale nie muszą być wzbogacone o dodatkową analizę w chmurze. Rozwiązania EDR służą przede wszystkim do ostrzegania, a nie warstwą ochronną, ale funkcje mogą być łączone w zależności od dostawcy i pakietu. Informacje mogą być przechowywane w scentralizowanej bazie danych lub przekazywane do konsoli zarządzającej lub narzędzia SIEM^[9][10].

Każda platforma EDR ma swój unikalny zestaw możliwości działające w trybie online, jak i offline, reagowanie na zagrożenia w czasie rzeczywistym, zwiększanie widoczności i przejrzystości danych użytkownika, wykrywanie zapisanych zdarzeń punktów końcowych i wstrzyknięć złośliwego oprogramowania, tworzenie czarnych i białych list oraz integracja z innymi technologiami. Niektórzy dostawcy technologii EDR wykorzystują darmową klasyfikację i strukturę Mitre Att&ck dla zagrożeń^[11].

Zobacz też

• Ochrona przed wyciekami informacji

Przypisy

1. ŁukaszŁ. Kuc ŁukaszŁ., Technologia ulepszająca zabezpieczenie punktów końcowych (EDR) [online], Blog Net Complex, 19 marca 2021 [dostęp 2022-01-24]  (pol.).
2. Top 6 EDR Tools Compared - A Complete Guide [2021] [online], Cynet [dostęp 2022-01-24]  (ang.).
3. Named: Endpoint Threat Detection & Response [online], Anton Chuvakin, 26 lipca 2013 [dostęp 2022-01-24]  (ang.).
4. Commons Clause License [online], Commons Clause License [dostęp 2022-01-24]  (ang.).strona główna serwisu
5. "Global $7.27 Bn Endpoint Detection and Response Market to 2026". finance.yahoo.com. Retrieved 2019-09-24.
6. 10 Ways AI And Machine Learning Are Improving Endpoint Security [online], Business 2 Community [dostęp 2022-01-24] .
7. Zion MarketZ.M. Research Zion MarketZ.M., Artificial Intelligence (AI) In Cyber Security Market Will Reach to USD 30.9 Billion By 2025: Zion Market Research [online], GlobeNewswire News Room, 28 sierpnia 2019 [dostęp 2022-01-24]  (ang.).
8. CatalinC. Cimpanu CatalinC., Comodo open-sources its EDR solution [online], ZDNet [dostęp 2022-01-24]  (ang.).
9. What is Endpoint Detection and Response? | How does EDR Work? [online], Comodo News For Enterprise Security, 2 sierpnia 2021 [dostęp 2022-01-24]  (ang.).
10. what is endpoint detection and response (EDR)? [online], SearchSecurity [dostęp 2022-01-24]  (ang.).
11. "Symantec Endpoint Detection & response Data Sheet". Broadcom.