以点带面 全局掌控的微步EDR 原创

当提到安全问题时，许多安全运维人员可能会感到困扰和无奈。他们需要应对各种终端安全挑战，如防范病毒、打补丁、进行桌面管控、资产管理、数据防泄漏等等。即使完成了这些任务，他们仍然可能会遇到未知的问题。事实上，这是一个非常严重的问题，特别是在当前企业数字化业务比例日益增长的情况下，数字化的安全威胁也在日益显现。如果不能采取正确的措施来应对这些威胁，后果将难以预料。

让企业数字化业务变安全的EDR

问题要如何解决？让我们来看一下EDR。EDR的全称是Endpoint Detection and Response，是一种主动式端点安全解决方案。它通过记录终端与网络事件（例如用户、文件、进程、注册表、内存和网络事件），并将这些信息本地存储在端点或集中数据库。结合已知的攻击指示器（Indicators of Compromise，IOCs）、行为分析的数据库、连续搜索数据和机器学习技术，检测任何可能的安全威胁，并对这些安全威胁做出快速响应。从Gartner给EDR下的定义来看，它其实就是要解决高级威胁的发现、检测和快速响应。

但是EDR能做什么呢？通过微步技术合伙人黄雅芳的介绍我们可以了解：

• EDR具有全面记录功能：能够捕捉终端上发生的所有事件，包括文件的创建、写入计划任务、启动VBA、网络连接以及内存行为等，并将每个关键动作准确记录在案。
• EDR可以检测和发现执行动作中的风险项，以及发现恶意攻击能力：它可以对每个行为进行分析，以确定是否存在风险。例如，在office启动rundll32的情况下，EDR可以对行为序列进行检测，并判断是否是一个恶意攻击行为。
• EDR具备对攻击过程完整追溯能力：能够全面掌握攻击的影响范围，准确展示攻击过程中的所有动作，包括具体执行了哪些操作，影响了多少账户和机器，所有信息一目了然。
• EDR可以迅速对攻击进程进行遏制，并通过智能化手段彻底清除威胁源头：它提供了多样化的响应措施，既可以快速将受感染的终端进行隔离，也能有效地清理具有威胁的机器、进程、文件和注册表等。

不要将EDR与杀毒软件混淆！

黄雅芳首先澄清的是：EDR不是终端杀毒，无法查杀恶意文件，但是它能发现绕过杀毒的恶意文件行为；EDR不是桌面管理，无法管控员工的软件、网络访问和外设的使用，但是它能发现由于员工不合规操作带来的安全威胁；EDR不能零信任和准入，无法验证身份并实现接入控制，但是它能作为持续的终端安全验证引擎，增强零信任的策略控制。

其次，黄雅芳强调EDR不能做什么：EDR不能做到在恶意行为执行前就提前防护，但是它能在一个攻击事件中检测到攻击者的攻击动作，帮助在攻击中进行快速响应；EDR不能做到完全自动化，无需人参与，但是它能提高日常安全运营的效率，帮助安全分析人员聚焦真实威胁。

相较于传统的终端安全，EDR在某些方面具有本质的变化。首先，计算方式发生了变化，从传统的基于PC端的计算转移到了服务端。尽管杀毒软件通过特征匹配来识别威胁和攻击，但其计算过程主要是在用户电脑上使用有限的资源来进行。这可能会对电脑的运行和资源造成一定的干扰和占用。而EDR的Agent在电脑上的安装只是一个数据采集器，更复杂的关联计算是在更强大的服务端和云端资源上进行。这不仅提高了对威胁的发现能力，还降低了对终端设备的性能要求。

其次，从安全运营的角度来看，EDR实现了从防御到检测与响应的转变。传统的杀毒软件主要采用防御策略，即在病毒文件尚未执行时就将其清除。然而，EDR则侧重于在恶意代码执行后的有效检测和高效响应，以避免最终安全事件的发生。这种转变将注意力从阻止攻击转为快速响应和恢复系统，从而提高了整体的安全运营效率。

综合上述信息我们可以了解，对于企业而言，EDR的关键作用在于对其数字化业务应用进行透明化安全管理。在当前的数字化时代，企业的威胁无处不在，数字化业务应用中也不存在绝对的安全。因此，对于企业的任何一个业务端点而言，可以清楚地了解到每个业务应用的行为，并实施应用安全监管已成为必然趋势。EDR的出现，恰恰可以满足企业数字化业务安全防护的这方面需求。

EDR产品能力要如何评估

EDR具备轻量级、全监控和对威胁及恶意攻击发现能力等特点，能为企业数字化业务提供有效的保障，也符合当前流行的数字化安全防护技术发展趋势。然而EDR的产品能力要如何进行评估？

在这方面，黄雅芳也提供了相应的评估建议，将EDR从能力划分为四大模块：

第一，行为采集，包括采集事件的类型、采集技术种类，以及采集带来的网络带宽压力

行为采集是后续检测、分析能力的重要基础。一方面，从事件采集的类型来看，只靠基础行为事件是远远不够的，要随攻防不断调整事件采集类型；另一方面，从采集采用的技术来看，单纯基于ETW、API Hook技术，会带来不稳定、丢失、绕过多种风险；最后，网络带宽压力是EDR技术中容易被忽视的，但是确实极大限制EDR应用的重要因素，特别是在网络带宽受限的环境（如专线）。

第二，威胁检测，包含检测的覆盖度和精准度

威胁检测，一方面检测的覆盖度，考验的是对攻防和实战的深度认知和持续跟进；另一方面检测的准确度，是EDR检测中最难的部分。

第三、溯源分析，包括溯源到进程的源头、执行的源头和事件的源头的能力

溯源分析，一般来说溯源到进程源头和执行源头还比较容易，要溯源到事件源头，涉及跨机器间的执行链的关联是一个非常难的课题。

第四，事件响应，涉及响应动作的丰富性

事件响应，响应动作不是简单隔离机器和进程，面对复杂威胁，通常还需要进一步调查取证。

微步EDR的优势

今年年初，微步为了帮助企业应对数字化新形势下办公网安全挑战，推出了具备真正意义上EDR模块的终端安全管理平台OneSEC。（请参见报道：下一个被GPT取代的工作会是“网工”？）半年时间里，微步OneSEC获得了来自金融、央企、大型互联网企业等诸多头部客户的青睐。接下来，让我们看一下微步OneSEC所具备的技术优势：

一、更全面的终端事件采集能力

微步OneSEC不仅采集基础事件，还针对攻击者常用的行为事件进行采集，例如窃取、横向移动、自启位置等。此外，微步OneSEC运用关联器、快照分析、智能过滤等采集技术，增强了其采集能力。同时，微步OneSEC通过先进的事件重组和网络传输压缩技术，对不同实体进行标记，每次网络传输只传递变量的部分，静态未变化不进行传输。云端通过大数据关联进行重组日志，从而大幅降低网络传输量，实现单一日志压缩比可达5:1。

二、更全面的威胁检测能力

在服务端，微步OneSEC具备一套全面的威胁检测技术，该技术基于多种最新的入侵指标（IoC）、攻击指标（IoA）和黑样本，并调用云端算力进行大数据分析和筛查。其中，威胁情报是微步的核心竞争力之一，能够实现百万级别、秒级更新，并且准确率高达99.9%，使高级威胁难以遁形。

在此基础上，微步OneSEC综合运用其他各类威胁指标，结合「图关联检测」技术，有效避免了单一行为告警带来的高误报问题，实现了精准告警。这种综合运用威胁情报和其他威胁指标的方法，使得微步OneSEC在威胁检测方面具有较高的准确性和可靠性。

三、更全面的溯源和响应能力

在溯源方面，传统安全产品仅能覆盖中间进程链的回溯，而微步OneSEC则具备补充完善左右两边链条的能力。此外，微步OneSEC还提供了序列化、智能化以及自动化的响应能力，且其响应体系正在不断进化中。微步还拥有一支由一线运营专家、样本分析专家以及狩猎专家组成的专业安全服务团队，他们时刻在云端为客户提供人工研判、特殊事件以及威胁的处置帮助。

四、更灵活的SaaS化部署模式

微步OneSEC还具备SaaS化更灵活的部署模式，为客户提供更低的成本、更好的效果、更强的服务以及更低的风险。对于支持SaaS化部署的客户来说，这种部署模式能够更好地满足他们的需求并提高效率。

对于选择上云的客户而言，他们所关心的核心问题主要集中在安全性和数据管理两个方面。首先，微步OneSEC在运作过程中，不会获取或传输任何敏感数据，仅会收集操作系统的底层数据，而不会采集任何应用内的行为数据，同时确保文件不外传。其次，微步OneSEC云端平台具备一套完善的安全保障机制，覆盖六个维度：安全开发机制、租户隔离机制、数据加密机制、渗透测试和安全评估、威胁检测和响应机制以及漏洞奖励机制和应急响应机制。这些维度全方位确保了微步OneSEC云端平台的安全性。并且，微步OneSEC的云端平台还取得了等保三级和信创兼容性认证。

微步OneSEC 的SaaS模式能够带来更强大且及时的能力。这包括更强的计算能力、更丰富的规则库和狩猎库，以及云化协同带来的实时规则更新和情报更新。这意味着企业可以更及时地检测到新的威胁。同时，由于云化带来的托管服务，有更专业的团队在云端进行及时的分析和响应。

从成本角度考虑，云化能够带来更低的成本。SaaS版本的价格更为优惠，客户无需承担额外的运维、软件、硬件等费用。这为企业节省了大量的人力和资源成本，例如无需为服务端提供机柜、运维、扩容等成本。目前，已有超过5000点的超大规模金融企业选择了SaaS模式，这充分说明客户对SaaS的认可和接受程度正在不断提高。

在今年微步OneSEC成功经历了安防大考的考验。在首次亮相中，微步OneSEC挫败了好几起最顶尖红队的一些新的攻击手法，包括供应链攻击，0day漏洞攻击等都是OneSEC第一时间发现的，在业内也产生了比较大的影响力。

目前一些超大型集团企业普遍存储多分支机构、业务移动端部署或者应用场景外包的情况，通过部署传统“盒子”进行安全防护基本上已无法实现。而微步OneSEC的SaaS模式，可以为企业提供更加简洁的统一管理模式，有效加强企业办公网络终端安全，以点带面从而实现全局掌控，为企业提供更加健壮的数字化安全响应能力，而这也是传统杀毒软件所难以实现的。