又饒舌了

適用人員: 技術人員。
適用法規: 資通安全責任等級分級辦法

技術面分類提要

• 網路架構
• 端點安全防護
  • 防毒軟體與軟體防火牆
  • 端點防護軟體 EDR
  • GCB
  • VANS
• 應用開發

端點偵測及應變機制，指具備對端點進行主動式掃描偵測、漏洞防護、可疑程式或異常活動行為分析及相關威脅程度呈現功能之防護作業。

端點防護軟體對應應辦事項中的「端點偵測及應變機制」。名詞上可能有點容易混淆，畢竟防毒軟體也是在端點負責防護的工作。因此以下以 EDR (Endpoint Detection and Response)代之。

EDR 安裝的情境舉一如下

• 由資訊單位(如計中)採購 EDR 產品並安裝控制中心
• 端點(如伺服器)安裝代理小程式 (agaent)
• 代理小程式會定期收集本機的(程式)行為回報給控制中心
• 由管理人員從控制中心了解每一台端點的異常行為

如此看下來 EDR 有幾點要注意，一是這些行為看下來與部份的防毒軟體有點像，因此在發展上也有更多樣化的產品。例如結合傳統的防毒軟體功能與收集情報的 EDR，或是更進發展成 MDR、XDR等。那麼到底資安法要求的程度到哪? 參考資通安全管理法修法說明會（北區第2 場次）其實也沒什麼標準答案...最大誠意導入(X)，選最便宜的 EDR 產品(O)

二是 EDR 會收集本機端的行為，雖然在端點不會有任何感覺，但在部署到一般使用者電腦時，多多少少會碰到隱私的問題，需要特別留意。EDR 一般也只有收集並通報的動作，對於應辦事項的「應變」機制需要自行建立。

三是 EDR 目前沒有看到能手工達成的方式，只能乖乖花錢買廠商的產品...