EDR(Endpoint Detection and Response)とは、各端末から収集された情報を基に、既に組織内に侵入済みの脅威を検知し、対策を行うためのセキュリティソリューションである。
近年、攻撃者側は下記のような高度な攻撃手法を採り、エンドポイント製品や次世代ファイヤーウォールの検知を逃れようとしてきている。
- 亜種の大量生成、難読化、サンドボックス回避
- ゼロデイ脆弱性を使った、カスタムマルウェア
- 複数ダウンローダーを経由した、検知されにくい攻撃
- ファイルレス マルウェアや OSの標準機能の悪用
そこで、マルウェアの侵入を水際で防ぐだけでなく、脅威の痕跡や振る舞いなどから侵入済みマルウェアを検知し、対策・復旧を行うことの重要性が認識されるようになった。このような状況下で注目を集めてきているのがEDRであり、多くのセキュリティベンダーが製品を市場に投入している。
EDRは、EPP(Endpoint Protection Platform:エンドポイント保護プラットフォーム)よりも、対策・復旧に重点が置かれているのが特徴であり、脅威プログラムがどの程度蔓延しているかを可視化することができる。
EDRの一般的な機能
多くのEDR製品は、以下の機能を備えている
検知
- 端末で行われている動作をチェックし、不審な動きを検知(脆弱性を突く動作、レジストリ修正、不審なネットワークアクセス、PowerShell実行 等々)
- データをサーバーに送付し、攻撃かどうか判定。判定の際には、振る舞い検知や機械学習が用いられる
対応
- 検知結果を管理者に通知
- 侵入された端末をネットワークから遮断することで隔離(自動または手動)
- 脅威インテリジェンス(マルウェアがどういう特徴を持つか、どの程度流行しているかなどを記載したデータベース)と連携し、脅威の内容を調べる
- 脅威の特徴から得られた痕跡情報(IOC:Indicator of Compromise)を配布
復旧
- 悪意あるプロセスの終了・隔離、ファイル削除、レジストリの修正
- 端末のネットワークの復旧