Kể từ thời sơ khai của chiến tranh mạng, các chuyên gia bảo mật cho rằng cần phản ứng với một sự kiện khi một cảnh báo đáng sợ được gửi đến bảng điều khiển quản lý của họ, cảnh báo về một cuộc tấn công đang diễn ra hoặc kết quả của cuộc tấn công đó. Khi ngày càng có nhiều cuộc tấn công tìm cách lẻn vào hệ thống của tổ chức, các nhóm bảo mật nhận thấy rằng họ đang theo đuổi ngày càng nhiều cảnh báo hơn, cần ưu tiên cảnh báo nào sắp xảy ra, cảnh báo nào nhẹ và cảnh báo nào là cánh báo giả.

Vòng đời của NGAV (Next-Generation Antivirus)
Hiểu được việc thiếu khả năng ngăn chặn các mối đe dọa nâng cao bằng cách sử dụng các giải pháp dựa trên chữ ký khi các cuộc tấn công zero-day phát triển nhanh chóng, ngành an ninh mạng đang tìm kiếm các phương pháp mới để phát hiện và giảm thiểu các cuộc tấn công như vậy. Các phương pháp này dựa trên ML (máy học), AI (trí tuệ nhân tạo), phân tích file dựa trên đám mây, phát hiện hành vi và các phương pháp khác để cuối cùng thử và ngăn chặn cuộc tấn công tiếp theo mà không cần chữ ký hoặc kiến ​​thức trước. Điều này dẫn đến sự ra đời của Phần mềm chống Virus thế hệ tiếp theo sử dụng các phương pháp mới (ML, AI, v.v.) cùng với các cơ chế dựa trên chữ ký và phỏng đoán để phát hiện các cuộc tấn công.

Lịch sử ra đời của EDR
Vào năm 2013, thuật ngữ EDR (Endpoint Detection & Response) được đặt ra bởi Anton Chuvakin, một Nhà phân tích của Gartner, người đã xác định sự thay đổi giữa AV thông thường và NGAV sau này mà các tổ chức đã sử dụng, sang cơ chế phát hiện Mối đe dọa tiên tiến hơn, dựa vào ML hoặc AI để phát hiện các điểm bình thường/bất thường trong hành vi của file và nhận dạng các mẫu Độc hại, do đó cung cấp cho người quản trị một cách đáng tin cậy hơn để xác định các mối đe dọa và thông tin tương quan từ các nguồn khác nhau.

Vấn đề ở đây là gì? Khi không được cấu hình chính xác hoặc không được hỗ trợ bổ sung bởi các giải pháp khác (như EPP, quản lý bản vá, v.v.), EDR đã tạo ra nhiều thông tin sai lệch và nhiễu đối với các nhóm bảo mật khiến họ phải theo đuổi cảnh báo, cố gắng xác định các cuộc tấn công thực sự và đắm chìm trong số lượng các sự kiện mà họ phải xử lý.

Sự xuất hiện của XDR (Extended Detection and Response)
Vì các nhóm bảo mật đang rất cần sự trợ giúp để vượt qua các cảnh báo, thông tin và thông tin xác thực sai mà các hệ thống đó tạo ra, tương quan dữ liệu giữa các hệ thống và có bối cảnh tốt hơn cho cuộc tấn công. Một dạng EDR nâng cao mới đã được giới thiệu, XDR (Phát hiện và phản hồi mở rộng) là sự kết hợp các công nghệ khác như SOAR, SIEM & SOC và giám sát các khu vực khác trong tổ chức như mạng, đám mây, v.v. để giúp người quản trị bảo mật có được hình ảnh tốt hơn về chiến trường của họ. Mặc dù XDR cung cấp khả năng hiển thị tốt hơn cho môi trường tổ chức, với các công nghệ tự động hóa &  hợp nhất dữ liệu, nhưng nó vẫn khiến các tổ chức được bảo vệ bởi EDR ẩn bên trong mà kẻ tấn công vẫn có thể bỏ qua, dễ bị sai lệch và lỗi dữ liệu giống nhau, cảnh báo giả và các vấn đề khác nhược điểm.

Thông tin về các cảnh báo phòng ngừa
Điều gì sẽ xảy ra nếu có một cách để xác định các mối đe dọa thực sự mà không cần phải liên tục đuổi theo những cảnh báo giả? Điều gì sẽ xảy ra nếu các nhóm bảo mật hoặc CNTT không cần khôi phục hoặc khắc phục sau một cuộc tấn công thành công? Nghe có vẻ như khoa học viễn tưởng nhưng điều này rất thực tế, việc xuất hiện giải pháp Active Endpoint Deception vào các giải pháp bảo mật Endpoint cho phép các nhóm bảo mật giảm cảnh báo phát hiện và chuyển sang thông báo phòng ngừa vì giải pháp ngăn chặn các cuộc tấn công theo thời gian thực, không yêu cầu chữ ký hoặc phân tích mẫu và có thông báo trung thực cao vì nó dựa trên cùng một kỹ thuật mà phần mềm độc hại đang sử dụng để tránh bị phát hiện và tự bảo vệ mình. Điều này làm giảm thiểu các cảnh báo mà các nhóm bảo mật phải đối mặt khi xử lý các giải pháp phức tạp hơn, đồng thời cho phép các doanh nghiệp vừa và nhỏ không đủ khả năng mua các giải pháp EDR và ​​các dịch vụ phát hiện được quản lý giám sát môi trường của họ liên tục vì không cần phải làm điều đó một khi cuộc tấn công đã bị ngăn chặn.

Sau đây là một ví dụ về cách ngăn chặn Ransomware và các cuộc tấn công tương tự khác.