Säkerhetsbranschen är inte direkt känd för sin öppenhet och kristallklara budskap. Marknaden är full av leverantörer som känner sig pressade att differentiera sig och hålla jämna steg med konkurrenterna. Numera har man en tendens att hävda att det finns ett skydd i flera lager eller “allt-i-ett”, men det varierar vad exakt det består av och det kan vara förvirrande att jämföra erbjudanden.
Det hjälper inte heller att säkerhetsterminologin är en alfabetssoppa.
En av de förkortningar som används ofta på sistone är EDR, en förkortning för endpoint detection and response. Nästan alla säkerhetsleverantörer säger nu att de erbjuder någon form av EDR, så låt oss definiera vad det är och förklara vad det gör i förhållande till andra produkter i din säkerhetsstack.
Vad är EDR?
Med EDR (Endpoint detection and response ) avses programvara som är utformad för att hjälpa organisationer att identifiera, stoppa och reagera på hot som har kringgått andra skyddsåtgärder.
Precis som andra säkerhetsprogram för endpoints installeras EDR genom att agenter installeras på endpoints och hanteras via en molnbaserad SaaS-portal.
Observera: Det här blogginlägget berör EDR på en övergripande nivå, men om du är intresserad av att få mer information och lära dig hur du utvärderar EDR-produkter, se vår nya MSP:s Hype-Free Guide till EDR. Det är 26 sidor fyllda med forskning och information som vi ger bort helt gratis.
Vad gör EDR-verktyg?
På en övergripande nivå samlar EDR-lösningar in data från endpoints, använder dessa data för att identifiera potentiella säkerhetshot och tillhandahåller hjälpmedel för att undersöka och reagera på dessa potentiella hot.
Historiskt sett har detta varit en möjlighet som i stort sett varit begränsad till stora företag som hade råd att ha team av erfarna säkerhetsanalytiker som arbetade från ett säkerhetsoperationscenter (SOC). Att sortera genom mängder av data, identifiera misstänkt aktivitet och förstå hur man snabbt ska reagera på incidenter krävde mycket tid, arbete och expertis.
I ett försök att göra dessa funktioner mer tillgängliga har säkerhetsleverantörerna arbetat med att introducera EDR-erbjudanden som är mindre komplexa och mer inriktade på strömlinjeformade arbetsflöden och automatisering. Målet med dessa “EDR Lite”-lösningar är att sänka inträdesbarriären och ge EDR-funktioner till ett segment av marknaden som verkligen behöver dem: Små och medelstora företag.
Var passar EDR in i en modern säkerhetsstack?
EDR är en funktion som ligger efter förebyggande säkerhetslösningar. Det primära syftet är att möjliggöra upptäckt och svar på hot när de har gått förbi andra försvarssystem som brandväggar och antivirus (AV).
EDR-funktioner säljs dock sällan ensamma längre. I stället paketeras den ofta tillsammans med förebyggande teknik som NGAV för att ge mer enhetlig säkerhet för endpoints. Även om “EDR” hänvisar till en klart definierad uppsättning funktioner har gränserna mellan EDR-verktyg och andra verktyg för säkerhet i endpoints blivit otroligt suddiga.
Som Gartner uttrycker det i sin rapport Competitive Landscape: Endpoint Protection Platforms, Worldwide, 2019 rapport:
“På marknadsföringsfronten har många av leverantörerna i [endpoint security] marknaden ser nu drastiskt likadana ut, med maskininlärning och beteendebaserad analys, vilket gör det svårare för organisationer att fatta välgrundade produktbeslut. Gartner tror att detta orsakar viss förvirring på marknaden.”
Det är sant.
Särskilt har konvergensen mellan AV/NGAV-produkter och EDR-produkter till ett enda erbjudande lett till den (förståeliga) förvirrade uppfattningen att EDR-verktyg är bättre AV-verktyg. Det stämmer inte. Även om många EDR-verktyg nu erbjuder NGAV-funktioner är EDR-funktioner inte utformade för att hålla onda saker borta. Den är utformad för att varna dig när något potentiellt farligt har brutit sig in och sedan hjälpa dig att reagera.
Sanningen är att de flesta leverantörer inte är ekonomiskt motiverade att ställa allt till rätta när det gäller EDR. Om potentiella kunder är intresserade av den för att de tror att den kommer att blockera fler attacker kommer de inte att korrigera dem. Men det gör det svårt att undersöka och utvärdera EDR-lösningar, så för att hjälpa till har vi sammanställt en ny guide som beskriver allting på ett tydligt och enkelt sätt.
Vill du ha mer fakta om EDR och tips för att utvärdera lösningar?
Ladda ner vår kostnadsfria 26-sidiga MSP’s Hype-Free Guide to EDR. Den besvarar alla frågor du bör ställa om EDR, så att du har svar när dina kunder, din chef eller potentiella kunder frågar om det.