3 月 30 日消息：隨著流量加密的普及，終端承受的安全壓力客觀上增加，新型網絡威脅和攻擊手法如勒索和無文件攻擊等顯著增加;而我國軟件業的滲透測試和漏洞眾測等工作尚未普及，0day漏洞成為終端上最重要的安全隱患之一;員工安全意識的缺乏和責任心的淡漠，讓釣魚、社工等新型攻擊方式有了更多可乘之機。終端防護更為艱難，成本也更高。2023年2月，國內知名信息化與安全咨詢研究機構數世咨詢發布《精準EDR能力白皮書》(EDR即Endpoint Detect and Response，端點檢測響應技術)，通過對白皮書的解讀，我們認為國內的終端安全建設正在步入“深水區”，而真正意義上的EDR，或許是破局之法。

　　深水區的外患與內憂

　　終端安全技術可被概括為資產、風險、防護、檢測、溯源、響應六大方向。目前終端上比較普及的安全技術以殺毒軟件、桌面管理、準入控制等被動防御技術為主。但時過境遷，被動防御技術早已無法覆蓋現階段終端安全所需解決的問題和面臨的場景?！毒珳蔈DR能力白皮書》中總結概括出了以下幾大場景：

　　一、攻防演練中的攻擊檢測與快速響應。紅藍對抗，尤其是大型攻防演練中，主流攻擊手法正在從常見病毒木馬轉向無文件，檢測的主要場景從流量到端，而大量基于CS馬和Silver的攻擊更為隱蔽，藍方無感出局已經不算新鮮。精準檢測和快速響應，成為大型企業安全運營需要解答的題目。

　　二、APT攻擊的檢測與溯源。APT攻擊手法高級，行蹤隱秘，可在受害網絡中潛伏數年之久，近幾年國家相關部門與各行業也開始推動針對APT攻擊的集中整治政策，但對于安全團隊人數少、技術能力不足的關基企業來說，對APT的檢測和溯源難度可謂極大。

　　三、0day、勒索等高危安全事件的終端定位與分析。這類安全事件的特點是爆發突然且影響面較廣，需要在終端上第一時間排查出受害終端范圍，才能進行隔離和后續處置。同時，這些事件也可以在終端上檢出，如果在早期進行干預，就能有效降低損失，甚至提前規避事故。

　　四、混合辦公、多分支辦公等場景下的威脅感知。由于技術、成本所限，員工在遠程辦公、混合辦公場景下獲得的安全保障往往弱于辦公網內，分支機構的辦公網防護能力又會弱于總部，安全能力差異的后果在攻防演練中被進一步放大：將總部打穿、拿下標靶的攻擊往往來自下屬的二級協防單位，甚至有單位年年因此出局。

　　這些新場景需要企業通過進一步安全建設補足以檢測、溯源和響應為核心的主動防御能力，即EDR技術。在2016年，EDR入選了Gartner年度十大信息安全技術，多年來在國際上被公認為主動防御的最佳實踐。但當國內大企業開始選型EDR時，又會遇到來自內部的阻力：在終端上裝更多的agent，就要承擔性能降低和多agent不兼容等潛在風險，另外來自業務側的壓力也將一如既往。

　　精準EDR：可能是破局的希望

　　EDR面臨的市場需求既包括性能上的輕量穩定，也包括檢測響應技術上的精準和全面。數世咨詢在《精準EDR白皮書》中重點調研了國際國內三家代表性廠商CrowdStrike、Sentinel One和微步在線的EDR產品，提出了精準EDR應當具備的四個能力：攻擊檢測能力、數據采集能力、攻擊溯源分析能力、安全響應能力。

　　其中，數據采集能力是一項基礎能力，為后續檢測、溯源分析和響應做準備。應當采集足夠多、維度足夠全的行為數據，才能保證檢測的精準，做到低誤報、少漏報，同時也能做到更完善的關聯分析和溯源。

　　攻擊檢測能力是保證EDR精準的核心能力，應當保證檢出的覆蓋度和準確度。前者通過威脅情報獲取大量高質量的IOA、IOC對威脅進行覆蓋，并通過多引擎交叉檢測等技術檢測惡意軟件和惡意文件;后者則依靠圖檢測等技術做行為分析，與威脅情報等數據進行交叉驗證，從而檢出較為隱蔽的惡意文件和攻擊手法。

　　攻擊溯源分析能力應做到基于底層事件進行上下文關聯，以圖溯源的可視化技術展現攻擊事件的全貌，在此基礎上可進一步關聯ATT&CK、或結合機器學習和圖分析等技術。如果依托云原生能力，則可以將所有數據匯總形成一個基于云的、可大規模擴展的圖形數據庫，從而形成近乎實時的可視化、數據分析與威脅防護能力。同時，溯源分析能力也是安全響應能力的前置能力。

　　安全響應能力應以“單點隔離，阻斷橫移”為基本原則，根據實網攻防和APT攻擊等不同場景進行不同的響應動作，如快速隔離或基于全量事件數據的溯源分析，并支持一定的精細化響應動作。響應動作可通過SaaS化手段實現，也可由人工現場響應，但所有的響應動作都必須可記錄、可審計、可檢索。

　　企業用戶更偏愛什么樣的EDR？

　　企業在選型過程中，不僅僅重視EDR的技術能力，產品側的形態、體驗和職能也非常重要。EDR產品如果想要切實融入企業日常安全運營流程，還需具備以下幾個特點：

　　SaaS化。SaaS意味著輕量，檢測能力被云化，才能做到更輕、更快，同時安全SaaS的策略依托于更強大的云端計算能力，也可以做到優于本地化設備。建議企業不要為了解決眼下合規問題而草率選型和建設傳統能力，應當關注終端安全產品的能力可否持續成長，不斷跟進網絡安全技術趨勢。

　　強服務能力。EDR和MDR相輔相成，甲方想提升整體安全運營能力，不僅需要選型出適合自身的產品，也要考察乙方的服務能力。好的服務不意味著一定要駐場，關鍵在于及時響應，處置徹底，流程和建議更為專業。

　　兼容性強，穩定性好，可解耦。從我國現階段企業終端安全建設情況看，國內做得比較完善的企業已經有采購了桌面管理、準入控制、殺毒軟件等多類軟件，單個agent的穩定性與agent之間的兼容性都需要考察，因此終端安全產品勢必結合EDR、殺毒、管控等多種安全能力，但可供企業根據自身的安全建設情況進行甄選，以可解耦為佳。

　　結語：

　　從國產化和網絡安全政策的長遠牽引力來看，主打SaaS的精準EDR將成為企業終端安全步入深水區時的關鍵破局點。