最近幾年,對於防毒軟體能否確保自己電腦不受惡意程式侵襲的這件事,許多人有了疑慮,連資安廠商也高喊「防毒軟體已死」——這是2014年,時任Symantec資深副總裁Brian Dye接受華爾街日報的專訪所說的話,並表示防毒軟體只能抓到45%的網路攻擊。
後來,我們也聽聞有人激進地主張不需安裝防毒軟體,因為擋不住、抓不了。但無論如何,在個人電腦的使用上,面臨這樣險峻的情況,的確是讓人很不安,該如何是好?我們看到,市面上,開始出現一些新型態產品,強調有別於「傳統」防毒軟體。
對於這類型解決方案,市場研究機構Gartner在2013年首度提出「端點偵測與回應(Endpoint Detection and Response,EDR)」的命名,而在2015提供EDR產品的廠商,他們當時洋洋灑灑地列出了將近30家,一般企業較熟悉的資安公司有Check Point、Cisco、FireEye、Symantec、趨勢科技,另外,像是CrowdStrike、Digital Guardian、Fidelis Cybersecurity、Verint Systems等公司,臺灣現在也有代理商引進這些廠牌的產品。
不過,對許多企業用戶而言,仍未導入或接觸過EDR,對這類產品可能比較有點概念的部分在於,先前有些廠商,針對網路、電子郵件、端點電腦等層面,推出了防禦APT攻擊的解決方案,而且,部分產品就以此來命名,例如,Symantec在Advanced Threat Protection(ATP)當中,就有ATP:Endpoint來對應端點防護的部份;趨勢科技在Deep Discovery旗下,也推出Endpoint Sensor(DDES);而另一家FireEye公司,原本就是專門防護APT攻擊的廠商,他們不只是針對網路、電子郵件、端點提供產品,也推出專攻行動應用、檔案系統與儲存的APT防禦系統,而在端點防護的部份,他們是以Endpoint Security HX系列的整合型應用設備對應。
因此,企業若有意評估這類端點防護的產品,目前市面上的廠牌選擇是相當豐富的。而且,就時機而言,這些廠商對於端點進階威脅防護產品的推動,今年的確比較積極,我們本身的產品報導,也因為原廠或代理商在臺舉辦的記者會或是主動聯繫,而陸續接觸到他們,像是Symantec、CrowdStrike,以及Palo Alto ,並透過產品快報的形式,對他們的EDR系統簡單介紹了功能與特色。
除了上述原因,年初我們針對使用者行為分析(User Behavior Analytics,UBA)類型的資安產品,所製作的內部存取行為監控系統採購大特輯,其實,也和端點安全防護有關,但UBA的解決方案著重在異常行為的分析,顯然較偏重在「偵測」,至於該如何「反應」則未多著墨。
這也讓我們思考,是否能在市面上,找到可兼顧兩者的端點資安防護產品來介紹。同時,藉此協助企業進一步了解這類解決方案的長處,使其能夠擁有足夠的防護能力,而不是眼錚錚看著傳統防毒軟體的惡意程式偵測率日益下滑,卻不知道可能有其他延伸或替代的作法,能夠予以補正。
所以,在近期的企業級端點進階威脅偵防系統採購大特輯,我們首度以EDR這類產品作為主角,尋找臺灣市面上合乎企業多人管理需求的解決方案,絕大多數都是知名的大型資安廠商,接下來,我們還會繼續介紹其他新創公司EDR產品,並且進一步探討次世代端點防護產品應有的特色。
值得注意的是,在我們目前所接觸到的EDR系統,幾乎清一色是針對個人電腦平臺,針對Windows作業系統的防護是已經具備的,然而,僅有少數產品支援macOS,至於行動裝置平臺的進階威脅防護,似乎還沒有廠商能推出針對這方面應用的產品,提供較為完備的作法,這樣的現況令人擔憂。