EDR解决方案的最佳测试是适合您的测试

自成立以来，端点检测和响应(EDR)市场随着新的创新技术迅速发展，以更好地解决网络环境和满足客户对有效和简单的解决方案的需求这只是工作．

但是，根据企业的规模、安全专业知识和需求，找到有效的方法对每个企业来说都意味着不同的东西。

总体而言，EDR市场经历了三次规模可观的创新浪潮:

第一波:事件可见性

随着市场对EDR解决方案的引入，第一波创新浪潮聚焦于为安全团队提供对组织中发生的所有事件的可见性。

“第一波”EDR产品的主要用例是让终端用户在数百万事件中搜索，并希望找到“大海捞针”的关键和可操作的事件。

然而，这种类型的检测和响应方法未能提供足够的相关背景或可操作的情报，使其对拥有任何规模或技能水平的安全团队的组织有用。相反，第一波EDR解决方案主要是由具有经验丰富的事件响应调查人员的组织和安全运营中心(SOC)团队采用的，这些团队拥有经过3级培训的分析师，他们可以在攻击调查期间将EDR事件可见性作为额外的数据点。

第二波:事件警报

目前市场上的大多数EDR产品都是第二次创新浪潮产品。为了解决第一波的“大海捞针”可用性缺陷，EDR产品在大量事件可见性和上下文的同时增加了警报功能。

然而，这些EDR产品并不是完全自动化的，而且由于警报与可操作的补救过程不相关，因此会导致警报疲劳。事件响应工作的实际使用需要SOC 2级分析师深入分析和调查每个检测，以确定它是关键的还是可操作的，然后再关闭罚单。

第三次浪潮带来了什么?

EDR市场开始看到一些供应商——在第三波创新浪潮中——主要专注于普及安全性，增强可用性和自动化，使EDR成为大大小小的组织和任何技术水平的安全团队的有效工具。

有几个市场驱动因素促成了对第三次浪潮的需求。首先，随着攻击工具的进步，网络犯罪分子将攻击目标从企业组织扩大到中小企业。事实上，根据Verizon的《2019年数据泄露调查报告》，小企业受害者现在占所有企业数据泄露的43%。与此同时，市场在可用的网络安全人员(ISC)方面继续看到一个不断扩大和不可持续的缺口。²目前估计全球劳动力缺口为407万。

随着攻击的数量和严重程度的增加，加上可用或高技能网络安全人员的普遍缺乏，对能够解决这些问题的EDR解决方案的需求增加了。第三波edr产品努力满足这一需求，包括:

• 可控诉的情形

第三波的EDR产品发现我们正处于自动化的巅峰，只向终端用户发出可操作的警报。前提是第一波和第二波的可见性和背景很重要，但不应该妨碍可操作性。如果没有可操作性，EDR产品就无法被那些没有大型或高级安全团队来调查这些数以万计的日常事件的组织使用。

• 自动化

最新这波功能的产品已经实现了完全自动化的艰巨的任务EDR-from检测通过矫正来支持中小型组织没有一个大的安全团队,使他们能够受益于相同的先进EDR技术已经被组织在使用训练有素的保安人员。

• 全面的安全

第三波EDR产品提供了一套紧密集成的功能，可以有效地管理攻击链——从主动保护到可疑活动的检测和自动事件响应。这些功能创建了一个生态系统，可以自我通知、学习和适应，因此，从本质上讲，整个安全堆栈大于各个部分的总和。

第三方测试

随着这些EDR创新的浪潮，第三方测试实验室如何在选择过程中发挥作用?

为了帮助公司寻找供应商，第三方评估和测试资源已经可用，以帮助潜在买家缩小供应商选择领域。这些资源的独特悖论是，测试方法的设计具有特定的和狭窄定义的范围，以“公平竞争”，这反过来又通常使测试落后于最新的、尖端的EDR创新。当然，这是有道理的，因为考试中心只有在看到和理解了最新的EDR进展之后，才能适应他们的标准化方法。

鉴于EDR市场已经进入第三次浪潮，测试实验室也需要调整他们的评估和测试标准，以纳入这些创新。

例如:

• 可行动性vs.警觉疲劳

测试将需要区分行动性和警惕性疲劳。EDR产品的第三波重点是提供以客户为中心的方法，使各种规模的组织和具有各种能力的安全团队都可以轻松访问安全。

就测试而言，这意味着通过只分享在可疑活动中发现的可操作检测——那些与最终阻止攻击最相关的检测——来避免警报疲劳。这些解决方案提供了额外的深入搜索选项来查看检测，如果安全分析师想要深入研究它们，第三波测试标准应该包含“主UI事件通知”和“用于搜索额外检测的辅助UI”的概念。

• 测试整体而不是单独的部分的有效性

测试将需要关注解决方案的整体有效性，该解决方案评估集成EDR生态系统的保护、检测和补救工作，因为它们是为现实世界的功能而设计的，而不是通过关闭系统的一部分(如保护)，从而造成人为的产品缺陷。以狭义地测试检测能力。

企业如何应对这种现实?

第三方测试是了解不同解决方案对特定测试方法的公平程度的一个很好的资源。然而，由于测试在它们打算评估的技术背后创造了一个循环，最终，没有任何标准化测试能像在组织的实际环境中进行可靠的概念验证一样好。

就像公司求助于值得信赖的同事和社区资源(如Spiceworks和Reddit论坛)一样，当发现关于良好的EDR解决方案的建议时，第三方测试提供了一种有价值的、类似的资源:作为对顶级EDR解决方案进行评估的指南。

当评估EDR解决方案时，组织应该专注于选择具有符合其目标的检测和补救策略的供应商。在进行EDR评估时需要考虑的一些标准包括:

1. 识别风险:所有敏感数据位于何处，以及到这些数据的路由是什么?
2. 优先保护重要的数据:敏感的组织数据和客户数据。
3. 考虑可用的安全专业知识的级别。大多数组织没有足够的网络安全专家，因此评估应该着眼于解决方案的复杂性水平。它是否需要额外的集成，是否有复杂的UI，或者是否需要额外的操作技能?
4. 考虑组织在同行评议网站上的品牌和声誉，例如G2Crowd，Gartner对等的见解,Capterra．
5. 选择一个或多个具有与定义的标准一致的功能的解决方案进行评估。

最后，一旦组织将EDR解决方案的范围缩小到他们想要评估的小组，就没有什么能取代进行现场测试的经验，以查看产品在他们独特的环境中如何抵御实时攻击，并与他们信任的团队学习导航解决方案，看看管理是多么容易或困难。

EDR以惊人的速度发展，只为了做一件事——帮助你和你的企业检测、预防和补救网络威胁。通过更好地理解今天的测试环境，您可以更好地交付您的EDR结果。