まずは、クライアントセキュリティ廻りから
EPPとは
EPP(Endpoint Protection Platform:エンドポイント保護基盤)は、その名の通り、Endpoint(ユーザが利用するPCやスマホなどが、マルウェアなどに感染することを防止することに特化したプロダクトです。エンドポイント内に侵入したマルウェアを検知し、自動的に駆除したりマルウェアが実行されない(できない)しくみを提供します。
実際の製品では、英国Sophos社のIntercept X Advancedや、イスラエルMorphisec社のMorphisecなどがEPPに分類されます。
かつてはパターンマッチング方式が検知手法として一般的でしたが、近年では機械学習や振る舞い解析などの技術が発達し、暗号化されたファイルのロールバック機能や、未知のマルウェアの検知、駆除、メモリ配置を動的に行うことでマルウェアの実行自体が無意味化される製品も出現しています。
EDRとは
EDR(Endpoint Detection and Response:エンドポイントでの検出と対応)は、組織内で発生した事象に関し、組織内の他の端末への影響確認と対応を支援するプロダクトです。また、今現在侵入されていないかプロアクティブな調査(ハンティング)も支援します。
実際の製品では、英国Sophos社のIntercept X Advanced with XDRや、ClowdStrike、Cybereasonなどがあります。
最近では、もう少し広い意味で、XDRと呼ばれることもしばしばあります。
コメント