我们到达了吗?基于溯源的终点检测和响应工具的工业视角
摘要:基于来源的终端检测和响应(P-EDR)系统被认为是未来高级持续性威胁(APT)防御的关键。尽管学术界提出了许多改进P-EDR系统的新技术,但行业是否会采用P-EDR系统以及行业对P-EDR系统的改进需求还不清楚。为此,我们进行了关于P-EDR系统有效性和限制性的第一组系统性研究。我们的研究包括四个组成部分:一对一访谈、在线问卷调查、相关文献调查和系统性测量研究。我们的研究表明,所有行业专家都认为P-EDR系统比传统的终端检测和响应(EDR)系统更有效。然而,行业专家对P-EDR系统的运行成本表示关注。此外,我们的研究揭示了学术界和行业之间存在三个重要差距:(1)忽视客户端负载;(2)平衡警报分拣成本和解释成本之间的差距;以及(3)过高的服务器端内存消耗。本文的研究结果提供了有关P-EDR系统有效性以及行业采用P-EDR系统所需改进的客观数据。
作者:Feng Dong, Shaofei Li, Peng Jiang, Ding Li, Haoyu Wang, Liangyi Huang, Xusheng Xiao, Jiedong Chen, Xiapu Luo, Yao Guo, Xiangqun Chen
论文ID:2307.08349
分类:Cryptography and Security
分类简称:cs.CR
提交时间:2023-07-18