EDR會成為新的端點防護趨勢嗎?

無文件病毒、無文件挖礦、無文件勒索……近年來，一種被稱為無文件攻擊的滲透形式與日俱增，它的流行給用戶的網(wǎng)絡安全帶來了巨大威脅。面對這種"披著合法外衣"悄悄進行地攻擊，許多端點防護平臺(Endpoint Protection Platform，EPP)紛紛失效，這讓更多信息安全管理者決定，在端點保護中融合檢測和響應解決方案(EDR)。這會成為新的端點防護趨勢嗎?

端點防護戰(zhàn)，EDR已占C位

網(wǎng)絡攻擊，由來已久，且總是帶著一些銅臭的味道。當然，每個無底線的攻擊者卻有著一條鐵定的契約，這就是《最小成本法則》。首先，網(wǎng)絡攻擊者無時無刻不在找尋滲透企業(yè)IT環(huán)境的途徑，其中一個最容易的通道，就是利用終端上的漏洞，這是最具吸引力、成本最小、最柔軟脆弱的目標。同時，網(wǎng)絡罪犯會尋找阻力最小的途徑實施攻擊，而無文件攻擊可以輕易繞過基于黑白名單和感染指標(IoC)的防病毒(AV)系統(tǒng)，這也正是越來越多的網(wǎng)絡罪犯效仿它的原因所在。

作為反擊，EDR (Endpoint DetecTIon & Response )正式出場。顧名思義，EDR技術聚焦的是高級威脅的檢測與響應，它填補了傳統(tǒng)防病毒產(chǎn)品在高級威脅檢測及響應方面的技術空白。從本質(zhì)上來看，EDR技術通過對操作系統(tǒng)行為高清記錄和長期存儲，根據(jù)行為規(guī)則IOA和外部特征庫IOC來對漏洞攻擊和無文件攻擊等高級威脅進行關聯(lián)分級及檢測，通過繪制進程事件樹實現(xiàn)攻擊可視化，對威脅的疑似主機進行遠程遏制和修復。

圖一：Gartner EPP魔力象限入圍產(chǎn)品功能需求之演進

EDR在2016~2019年連續(xù)進入 Gartner 的 10 大技術之列，并且預判認為EPP與EDR技術融合會將成為總體趨勢，這帶動了EPP技術的重大轉(zhuǎn)變。其中，從2018年開始，Gartner規(guī)定了15項基本功能必須滿足其中的12項才可以入圍，很大的一個變化是把過去眾多本屬于期望功能的EDR放入了必須滿足的基本功能中。

被"放大化"的EDR，撥開外皮看"硬核"

Gartner對于EDR治理高級威脅給出了四項基本定義：檢測、遏制、調(diào)查和修復能力，這為各大網(wǎng)安企業(yè)的EDR產(chǎn)品提供了參考。

圖二：Gartner定義的EDR四個基本功能

EDR需要具備針對操作系統(tǒng)行為的"內(nèi)核態(tài)"、"用戶態(tài)"高清記錄能力，且行為日志需要儲存3 個月以上。其次，EDR還需要實現(xiàn)攻擊的可視化，并對無文件攻擊和零日漏洞攻擊提供IOA/IOC 檢測高級威脅，以及提供威脅狩獵(Threat HunTIng )服務。然而，國內(nèi)的許多用戶，在無法理解EDR本質(zhì)用途的情況下，往往會被放大的EPP能力宣傳所誤導，或是采購被"減配"的EDR方案。

· 【誤讀1】：能夠檢測到勒索病毒，這就是EDR

2017年5月12日起，WannaCry/Wcry勒索軟件在全球爆發(fā)，亞信安全利用"終端防毒+機器學習"等新興技術，成功協(xié)助用戶抵御此次攻擊。但在當時乃至今天，亞信安全仍將"機器學習"以及檢測到勒索病毒列屬于傳統(tǒng)EPP的技術范疇。

圖三：EPP與EDR融合

從EPP技術的發(fā)展來看，檢測到勒索病毒只是EPP的標準功能，但單獨使用EPP"看清無文件攻擊"這種高級威脅是非常有難度的，其關鍵就在于檢測異常行為。這需要對端點進行持續(xù)檢測，同時通過應用程序?qū)Σ僮飨到y(tǒng)調(diào)用等異常行為分析，這其中可以采用威脅隔離、病毒碼更新、終端隔離和機器學習技術，但隨后的響應補救、IOA威脅狩獵、根本原因分析、回溯查詢、影響范圍評估等已經(jīng)超出了傳統(tǒng)EPP的防護能力。因此，單獨部署EDR或是EPP都是不夠的，需要兩者的融合與聯(lián)動。

· 【誤讀2】：EDR功能強大，無需再部署殺毒產(chǎn)品

一流的 EDR 系統(tǒng)不僅可以檢測、分析和驗證常見威脅，還需要對無文件攻擊、零日威脅和APT攻擊提供有效的溯源。比如，通過分析黑客進攻的時間、路徑、工具等所有細節(jié)，其特征提取出來，自動上傳并到 "沙箱" 的隔離測試區(qū)域 "引爆"、"驗傷"，然后再進行遏制、清除、恢復和優(yōu)化等。因此，很多人認為，擁有如此強大的EDR，完全可以替代反毒軟件(AV )。

事實上，這兩種技術在保護你的網(wǎng)絡方面有著不同的用途。AV專注于預防，被設計用來在"壞東西"進入你的網(wǎng)絡之前捕捉它們，但是它對攻擊期間發(fā)生的情況一無所知。所以，即使AV軟件可以準確的抓住了惡意代碼，也不能告訴它(他)們來自哪里，以及攻擊是如何在系統(tǒng)中傳播的。 而EDR 描述的是整個攻擊過程，當一個攻擊行為被AV阻止，或者針對無文件型的惡意軟件、零日漏洞、APT高級持續(xù)性威脅防控失敗的時候， EDR 會為你提供洞察能力。因此，在EPP和EDR的選擇關口，并不是要做一道"二選一"的判斷題，它是"全選題"。

端點安全如何撥云見日：EPP+EDR

眾所周知，亞信安全企業(yè)級防病毒產(chǎn)品OfficeScan是具有20多年歷史的EPP產(chǎn)品，以其成熟的企業(yè)級管理功能、超強的穩(wěn)定性和出眾的防病毒能力廣泛服務國內(nèi)5萬家以上的企業(yè)用戶。在此基礎上，亞信安全推出了名為"高級威脅終端檢測及響應系統(tǒng)"(Cyber Threat Deep InvesTIgaTIon，CTDI)的EDR產(chǎn)品，并通過與OfficeScan深度融合，做到了三個"增強"，并形成了端點安全的最佳組合—— EPP+EDR。

· 增強高級威脅檢測能力

· 增強威脅可視化分析能力

· 增強遠程遏制及修復能力

在剛剛過去的2019年，亞信安全EPP+EDR的組合在行業(yè)用戶和重保工作中表現(xiàn)搶眼，為廣大企業(yè)客戶提供了增強的端點安全防護能力。未來，在全新定義的端點安全解決方案中，亞信安全以大數(shù)據(jù)分析切入EDR，通過應用機器學習算法與行為分析提供精確、全面、實時的防護與響應，能夠有效發(fā)現(xiàn)未知威脅并減少誤報。同時，發(fā)揮持續(xù)檢測和主動狩獵的功能特性，以及智能聯(lián)動的運行機制，協(xié)助用戶替代或整合而較為落后的防護體系，實現(xiàn)更簡單、更智能、更有效、更主動的威脅防御體系。