EDR會(huì)成為新的端點(diǎn)防護(hù)趨勢(shì)嗎?

無文件病毒、無文件挖礦、無文件勒索……近年來，一種被稱為無文件攻擊的滲透形式與日俱增，它的流行給用戶的網(wǎng)絡(luò)安全帶來了巨大威脅。面對(duì)這種"披著合法外衣"悄悄進(jìn)行地攻擊，許多端點(diǎn)防護(hù)平臺(tái)(Endpoint Protection Platform，EPP)紛紛失效，這讓更多信息安全管理者決定，在端點(diǎn)保護(hù)中融合檢測(cè)和響應(yīng)解決方案(EDR)。這會(huì)成為新的端點(diǎn)防護(hù)趨勢(shì)嗎?

端點(diǎn)防護(hù)戰(zhàn)，EDR已占C位

網(wǎng)絡(luò)攻擊，由來已久，且總是帶著一些銅臭的味道。當(dāng)然，每個(gè)無底線的攻擊者卻有著一條鐵定的契約，這就是《最小成本法則》。首先，網(wǎng)絡(luò)攻擊者無時(shí)無刻不在找尋滲透企業(yè)IT環(huán)境的途徑，其中一個(gè)最容易的通道，就是利用終端上的漏洞，這是最具吸引力、成本最小、最柔軟脆弱的目標(biāo)。同時(shí)，網(wǎng)絡(luò)罪犯會(huì)尋找阻力最小的途徑實(shí)施攻擊，而無文件攻擊可以輕易繞過基于黑白名單和感染指標(biāo)(IoC)的防病毒(AV)系統(tǒng)，這也正是越來越多的網(wǎng)絡(luò)罪犯效仿它的原因所在。

作為反擊，EDR (Endpoint Detection & Response )正式出場(chǎng)。顧名思義，EDR技術(shù)聚焦的是高級(jí)威脅的檢測(cè)與響應(yīng)，它填補(bǔ)了傳統(tǒng)防病毒產(chǎn)品在高級(jí)威脅檢測(cè)及響應(yīng)方面的技術(shù)空白。從本質(zhì)上來看，EDR技術(shù)通過對(duì)操作系統(tǒng)行為高清記錄和長(zhǎng)期存儲(chǔ)，根據(jù)行為規(guī)則IOA和外部特征庫(kù)IOC來對(duì)漏洞攻擊和無文件攻擊等高級(jí)威脅進(jìn)行關(guān)聯(lián)分級(jí)及檢測(cè)，通過繪制進(jìn)程事件樹實(shí)現(xiàn)攻擊可視化，對(duì)威脅的疑似主機(jī)進(jìn)行遠(yuǎn)程遏制和修復(fù)。

圖一：Gartner EPP魔力象限入圍產(chǎn)品功能需求之演進(jìn)

EDR在2016~2019年連續(xù)進(jìn)入 Gartner 的 10 大技術(shù)之列，并且預(yù)判認(rèn)為EPP與EDR技術(shù)融合會(huì)將成為總體趨勢(shì)，這帶動(dòng)了EPP技術(shù)的重大轉(zhuǎn)變。其中，從2018年開始，Gartner規(guī)定了15項(xiàng)基本功能必須滿足其中的12項(xiàng)才可以入圍，很大的一個(gè)變化是把過去眾多本屬于期望功能的EDR放入了必須滿足的基本功能中。

被"放大化"的EDR，撥開外皮看"硬核"

Gartner對(duì)于EDR治理高級(jí)威脅給出了四項(xiàng)基本定義：檢測(cè)、遏制、調(diào)查和修復(fù)能力，這為各大網(wǎng)安企業(yè)的EDR產(chǎn)品提供了參考。

圖二：Gartner定義的EDR四個(gè)基本功能

EDR需要具備針對(duì)操作系統(tǒng)行為的"內(nèi)核態(tài)"、"用戶態(tài)"高清記錄能力，且行為日志需要儲(chǔ)存3 個(gè)月以上。其次，EDR還需要實(shí)現(xiàn)攻擊的可視化，并對(duì)無文件攻擊和零日漏洞攻擊提供IOA/IOC 檢測(cè)高級(jí)威脅，以及提供威脅狩獵(Threat Hunting )服務(wù)。然而，國(guó)內(nèi)的許多用戶，在無法理解EDR本質(zhì)用途的情況下，往往會(huì)被放大的EPP能力宣傳所誤導(dǎo)，或是采購(gòu)被"減配"的EDR方案。

· 【誤讀1】：能夠檢測(cè)到勒索病毒，這就是EDR

2017年5月12日起，WannaCry/Wcry勒索軟件在全球爆發(fā)，亞信安全利用"終端防毒+機(jī)器學(xué)習(xí)"等新興技術(shù)，成功協(xié)助用戶抵御此次攻擊。但在當(dāng)時(shí)乃至今天，亞信安全仍將"機(jī)器學(xué)習(xí)"以及檢測(cè)到勒索病毒列屬于傳統(tǒng)EPP的技術(shù)范疇。

圖三：EPP與EDR融合

從EPP技術(shù)的發(fā)展來看，檢測(cè)到勒索病毒只是EPP的標(biāo)準(zhǔn)功能，但單獨(dú)使用EPP"看清無文件攻擊"這種高級(jí)威脅是非常有難度的，其關(guān)鍵就在于檢測(cè)異常行為。這需要對(duì)端點(diǎn)進(jìn)行持續(xù)檢測(cè)，同時(shí)通過應(yīng)用程序?qū)Σ僮飨到y(tǒng)調(diào)用等異常行為分析，這其中可以采用威脅隔離、病毒碼更新、終端隔離和機(jī)器學(xué)習(xí)技術(shù)，但隨后的響應(yīng)補(bǔ)救、IOA威脅狩獵、根本原因分析、回溯查詢、影響范圍評(píng)估等已經(jīng)超出了傳統(tǒng)EPP的防護(hù)能力。因此，單獨(dú)部署EDR或是EPP都是不夠的，需要兩者的融合與聯(lián)動(dòng)。

· 【誤讀2】：EDR功能強(qiáng)大，無需再部署殺毒產(chǎn)品

一流的 EDR 系統(tǒng)不僅可以檢測(cè)、分析和驗(yàn)證常見威脅，還需要對(duì)無文件攻擊、零日威脅和APT攻擊提供有效的溯源。比如，通過分析黑客進(jìn)攻的時(shí)間、路徑、工具等所有細(xì)節(jié)，其特征提取出來，自動(dòng)上傳并到 "沙箱" 的隔離測(cè)試區(qū)域 "引爆"、"驗(yàn)傷"，然后再進(jìn)行遏制、清除、恢復(fù)和優(yōu)化等。因此，很多人認(rèn)為，擁有如此強(qiáng)大的EDR，完全可以替代反毒軟件(AV )。

事實(shí)上，這兩種技術(shù)在保護(hù)你的網(wǎng)絡(luò)方面有著不同的用途。AV專注于預(yù)防，被設(shè)計(jì)用來在"壞東西"進(jìn)入你的網(wǎng)絡(luò)之前捕捉它們，但是它對(duì)攻擊期間發(fā)生的情況一無所知。所以，即使AV軟件可以準(zhǔn)確的抓住了惡意代碼，也不能告訴它(他)們來自哪里，以及攻擊是如何在系統(tǒng)中傳播的。 而EDR 描述的是整個(gè)攻擊過程，當(dāng)一個(gè)攻擊行為被AV阻止，或者針對(duì)無文件型的惡意軟件、零日漏洞、APT高級(jí)持續(xù)性威脅防控失敗的時(shí)候， EDR 會(huì)為你提供洞察能力。因此，在EPP和EDR的選擇關(guān)口，并不是要做一道"二選一"的判斷題，它是"全選題"。

端點(diǎn)安全如何撥云見日：EPP+EDR

眾所周知，亞信安全企業(yè)級(jí)防病毒產(chǎn)品OfficeScan是具有20多年歷史的EPP產(chǎn)品，以其成熟的企業(yè)級(jí)管理功能、超強(qiáng)的穩(wěn)定性和出眾的防病毒能力廣泛服務(wù)國(guó)內(nèi)5萬(wàn)家以上的企業(yè)用戶。在此基礎(chǔ)上，亞信安全推出了名為"高級(jí)威脅終端檢測(cè)及響應(yīng)系統(tǒng)"(Cyber Threat Deep Investigation，CTDI)的EDR產(chǎn)品，并通過與OfficeScan深度融合，做到了三個(gè)"增強(qiáng)"，并形成了端點(diǎn)安全的最佳組合—— EPP+EDR。

· 增強(qiáng)高級(jí)威脅檢測(cè)能力

· 增強(qiáng)威脅可視化分析能力

· 增強(qiáng)遠(yuǎn)程遏制及修復(fù)能力

在剛剛過去的2019年，亞信安全EPP+EDR的組合在行業(yè)用戶和重保工作中表現(xiàn)搶眼，為廣大企業(yè)客戶提供了增強(qiáng)的端點(diǎn)安全防護(hù)能力。未來，在全新定義的端點(diǎn)安全解決方案中，亞信安全以大數(shù)據(jù)分析切入EDR，通過應(yīng)用機(jī)器學(xué)習(xí)算法與行為分析提供精確、全面、實(shí)時(shí)的防護(hù)與響應(yīng)，能夠有效發(fā)現(xiàn)未知威脅并減少誤報(bào)。同時(shí)，發(fā)揮持續(xù)檢測(cè)和主動(dòng)狩獵的功能特性，以及智能聯(lián)動(dòng)的運(yùn)行機(jī)制，協(xié)助用戶替代或整合而較為落后的防護(hù)體系，實(shí)現(xiàn)更簡(jiǎn)單、更智能、更有效、更主動(dòng)的威脅防御體系。