被误解的EDR，端点安全如何拨云见日？

 无文件病毒、无文件挖矿、无文件勒索……近年来，一种被称为无文件攻击的渗透形式与日俱增，它的流行给用户的网络安全带来了巨大威胁。面对这种”披着合法外衣”悄悄进行地攻击，许多端点防护平台(Endpoint Protection Platform，EPP)纷纷失效，这让更多信息安全管理者决定，在端点保护中融合检测和响应解决方案(EDR)。这会成为新的端点防护趋势吗?

端点防护战，EDR已占C位

网络攻击，由来已久，且总是带着一些铜臭的味道。当然，每个无底线的攻击者却有着一条铁定的契约，这就是《最小成本法则》。首先，网络攻击者无时无刻不在找寻渗透企业IT环境的途径，其中一个最容易的通道，就是利用终端上的漏洞，这是最具吸引力、成本最小、最柔软脆弱的目标。同时，网络罪犯会寻找阻力最小的途径实施攻击，而无文件攻击可以轻易绕过基于黑白名单和感染指标(IoC)的防病毒(AV)系统，这也正是越来越多的网络罪犯效仿它的原因所在。

作为反击，EDR (Endpoint Detection & Response )正式出场。顾名思义，EDR技术聚焦的是高级威胁的检测与响应，它填补了传统防病毒产品在高级威胁检测及响应方面的技术空白。从本质上来看，EDR技术通过对操作系统行为高清记录和长期存储，根据行为规则IOA和外部特征库IOC来对漏洞攻击和无文件攻击等高级威胁进行关联分级及检测，通过绘制进程事件树实现攻击可视化，对威胁的疑似主机进行远程遏制和修复。

图一：Gartner EPP魔力象限入围产品功能需求之演进

EDR在2016~2019年连续进入 Gartner 的 10 大技术之列，并且预判认为EPP与EDR技术融合会将成为总体趋势，这带动了EPP技术的重大转变。其中，从2018年开始，Gartner规定了15项基本功能必须满足其中的12项才可以入围，很大的一个变化是把过去众多本属于期望功能的EDR放入了必须满足的基本功能中。

被”放大化”的EDR，拨开外皮看”硬核”

Gartner对于EDR治理高级威胁给出了四项基本定义：检测、遏制、调查和修复能力，这为各大网安企业的EDR产品提供了参考。

图二：Gartner定义的EDR四个基本功能

EDR需要具备针对操作系统行为的”内核态”、”用户态”高清记录能力，且行为日志需要储存3 个月以上。其次，EDR还需要实现攻击的可视化，并对无文件攻击和零日漏洞攻击提供IOA/IOC 检测高级威胁，以及提供威胁狩猎(Threat Hunting )服务。然而，国内的许多用户，在无法理解EDR本质用途的情况下，往往会被放大的EPP能力宣传所误导，或是采购被”减配”的EDR方案。

· 【误读1】：能够检测到勒索病毒，这就是EDR

2017年5月12日起，WannaCry/Wcry勒索软件在全球爆发，亚信安全利用”终端防毒+机器学习”等新兴技术，成功协助用户抵御此次攻击。但在当时乃至今天，亚信安全仍将”机器学习”以及检测到勒索病毒列属于传统EPP的技术范畴。

图三：EPP与EDR融合

从EPP技术的发展来看，检测到勒索病毒只是EPP的标准功能，但单独使用EPP”看清无文件攻击”这种高级威胁是非常有难度的，其关键就在于检测异常行为。这需要对端点进行持续检测，同时通过应用程序对操作系统调用等异常行为分析，这其中可以采用威胁隔离、病毒码更新、终端隔离和机器学习技术，但随后的响应补救、IOA威胁狩猎、根本原因分析、回溯查询、影响范围评估等已经超出了传统EPP的防护能力。因此，单独部署EDR或是EPP都是不够的，需要两者的融合与联动。

· 【误读2】：EDR功能强大，无需再部署杀毒产品

一流的 EDR 系统不仅可以检测、分析和验证常见威胁，还需要对无文件攻击、零日威胁和APT攻击提供有效的溯源。比如，通过分析黑客进攻的时间、路径、工具等所有细节，其特征提取出来，自动上传并到 “沙箱” 的隔离测试区域 “引爆”、”验伤”，然后再进行遏制、清除、恢复和优化等。因此，很多人认为，拥有如此强大的EDR，完全可以替代反毒软件(AV )。

事实上，这两种技术在保护你的网络方面有着不同的用途。AV专注于预防，被设计用来在”坏东西”进入你的网络之前捕捉它们，但是它对攻击期间发生的情况一无所知。所以，即使AV软件可以准确的抓住了恶意代码，也不能告诉它(他)们来自哪里，以及攻击是如何在系统中传播的。 而EDR 描述的是整个攻击过程，当一个攻击行为被AV阻止，或者针对无文件型的恶意软件、零日漏洞、APT高级持续性威胁防控失败的时候， EDR 会为你提供洞察能力。因此，在EPP和EDR的选择关口，并不是要做一道”二选一”的判断题，它是”全选题”。

端点安全如何拨云见日：EPP+EDR

众所周知，亚信安全企业级防病毒产品OfficeScan是具有20多年历史的EPP产品，以其成熟的企业级管理功能、超强的稳定性和出众的防病毒能力广泛服务国内5万家以上的企业用户。在此基础上，亚信安全推出了名为”高级威胁终端检测及响应系统”(Cyber Threat Deep Investigation，CTDI)的EDR产品，并通过与OfficeScan深度融合，做到了三个”增强”，并形成了端点安全的最佳组合—— EPP+EDR。

· 增强高级威胁检测能力

· 增强威胁可视化分析能力

· 增强远程遏制及修复能力

在刚刚过去的2019年，亚信安全EPP+EDR的组合在行业用户和重保工作中表现抢眼，为广大企业客户提供了增强的端点安全防护能力。未来，在全新定义的端点安全解决方案中，亚信安全以大数据分析切入EDR，通过应用机器学习算法与行为分析提供精确、全面、实时的防护与响应，能够有效发现未知威胁并减少误报。同时，发挥持续检测和主动狩猎的功能特性，以及智能联动的运行机制，协助用户替代或整合而较为落后的防护体系，实现更简单、更智能、更有效、更主动的威胁防御体系。