终端安全步入“深水区”，EDR如何破局？

随着流量加密的普及，终端承受的安全压力客观上增加，新型网络威胁和攻击手法如勒索和无文件攻击等显著增加；而我国软件业的渗透测试和漏洞众测等工作尚未普及，0day漏洞成为终端上最重要的安全隐患之一；员工安全意识的缺乏和责任心的淡漠，让钓鱼、社工等新型攻击方式有了更多可乘之机。终端防护更为艰难，成本也更高。2023年2月，国内知名信息化与安全咨询研究机构数世咨询发布《精准EDR能力白皮书》（EDR即Endpoint Detect and Response，端点检测响应技术），通过对白皮书的解读，我们认为国内的终端安全建设正在步入“深水区”，而真正意义上的EDR，或许是破局之法。

深水区的外患与内忧

终端安全技术可被概括为资产、风险、防护、检测、溯源、响应六大方向。目前终端上比较普及的安全技术以杀毒软件、桌面管理、准入控制等被动防御技术为主。但时过境迁，被动防御技术早已无法覆盖现阶段终端安全所需解决的问题和面临的场景。《精准EDR能力白皮书》中总结概括出了以下几大场景：

一、攻防演练中的攻击检测与快速响应。红蓝对抗，尤其是大型攻防演练中，主流攻击手法正在从常见病毒木马转向无文件，检测的主要场景从流量到端，而大量基于CS马和Silver的攻击更为隐蔽，蓝方无感出局已经不算新鲜。精准检测和快速响应，成为大型企业安全运营需要解答的题目。

二、APT攻击的检测与溯源。APT攻击手法高级，行踪隐秘，可在受害网络中潜伏数年之久，近几年国家相关部门与各行业也开始推动针对APT攻击的集中整治政策，但对于安全团队人数少、技术能力不足的关基企业来说，对APT的检测和溯源难度可谓极大。

三、0day、勒索等高危安全事件的终端定位与分析。这类安全事件的特点是爆发突然且影响面较广，需要在终端上第一时间排查出受害终端范围，才能进行隔离和后续处置。同时，这些事件也可以在终端上检出，如果在早期进行干预，就能有效降低损失，甚至提前规避事故。

四、混合办公、多分支办公等场景下的威胁感知。由于技术、成本所限，员工在远程办公、混合办公场景下获得的安全保障往往弱于办公网内，分支机构的办公网防护能力又会弱于总部，安全能力差异的后果在攻防演练中被进一步放大：将总部打穿、拿下标靶的攻击往往来自下属的二级协防单位，甚至有单位年年因此出局。

这些新场景需要企业通过进一步安全建设补足以检测、溯源和响应为核心的主动防御能力，即EDR技术。在2016年，EDR入选了Gartner年度十大信息安全技术，多年来在国际上被公认为主动防御的最佳实践。但当国内大企业开始选型EDR时，又会遇到来自内部的阻力：在终端上装更多的agent，就要承担性能降低和多agent不兼容等潜在风险，另外来自业务侧的压力也将一如既往。

精准EDR：可能是破局的希望

EDR面临的市场需求既包括性能上的轻量稳定，也包括检测响应技术上的精准和全面。数世咨询在《精准EDR白皮书》中重点调研了国际国内三家代表性厂商CrowdStrike、Sentinel One和微步在线的EDR产品，提出了精准EDR应当具备的四个能力：攻击检测能力、数据采集能力、攻击溯源分析能力、安全响应能力。

其中，数据采集能力是一项基础能力，为后续检测、溯源分析和响应做准备。应当采集足够多、维度足够全的行为数据，才能保证检测的精准，做到低误报、少漏报，同时也能做到更完善的关联分析和溯源。

攻击检测能力是保证EDR精准的核心能力，应当保证检出的覆盖度和准确度。前者通过威胁情报获取大量高质量的IOA、IOC对威胁进行覆盖，并通过多引擎交叉检测等技术检测恶意软件和恶意文件；后者则依靠图检测等技术做行为分析，与威胁情报等数据进行交叉验证，从而检出较为隐蔽的恶意文件和攻击手法。

攻击溯源分析能力应做到基于底层事件进行上下文关联，以图溯源的可视化技术展现攻击事件的全貌，在此基础上可进一步关联ATT&CK、或结合机器学习和图分析等技术。如果依托云原生能力，则可以将所有数据汇总形成一个基于云的、可大规模扩展的图形数据库，从而形成近乎实时的可视化、数据分析与威胁防护能力。同时，溯源分析能力也是安全响应能力的前置能力。

安全响应能力应以“单点隔离，阻断横移”为基本原则，根据实网攻防和APT攻击等不同场景进行不同的响应动作，如快速隔离或基于全量事件数据的溯源分析，并支持一定的精细化响应动作。响应动作可通过SaaS化手段实现，也可由人工现场响应，但所有的响应动作都必须可记录、可审计、可检索。

企业用户更偏爱什么样的EDR？

企业在选型过程中，不仅仅重视EDR的技术能力，产品侧的形态、体验和职能也非常重要。EDR产品如果想要切实融入企业日常安全运营流程，还需具备以下几个特点：

SaaS化。SaaS意味着轻量，检测能力被云化，才能做到更轻、更快，同时安全SaaS的策略依托于更强大的云端计算能力，也可以做到优于本地化设备。建议企业不要为了解决眼下合规问题而草率选型和建设传统能力，应当关注终端安全产品的能力可否持续成长，不断跟进网络安全技术趋势。

强服务能力。EDR和MDR相辅相成，甲方想提升整体安全运营能力，不仅需要选型出适合自身的产品，也要考察乙方的服务能力。好的服务不意味着一定要驻场，关键在于及时响应，处置彻底，流程和建议更为专业。

兼容性强，稳定性好，可解耦。从我国现阶段企业终端安全建设情况看，国内做得比较完善的企业已经有采购了桌面管理、准入控制、杀毒软件等多类软件，单个agent的稳定性与agent之间的兼容性都需要考察，因此终端安全产品势必结合EDR、杀毒、管控等多种安全能力，但可供企业根据自身的安全建设情况进行甄选，以可解耦为佳。

结语：

从国产化和网络安全政策的长远牵引力来看，主打SaaS的精准EDR将成为企业终端安全步入深水区时的关键破局点。