信息化觀察網(wǎng)

無文件病毒、無文件挖礦、無文件勒索……近年來，一種被稱為無文件攻擊的滲透形式與日俱增，它的流行給用戶的網(wǎng)絡(luò)安全帶來了巨大威脅。面對這種“披著合法外衣”悄悄進行地攻擊，許多端點防護平臺（Endpoint Protection Platform，EPP）紛紛失效，這讓更多信息安全管理者決定，在端點保護中融合更加先進的檢測和響應(yīng)解決方案(EDR)。這會成為新的端點防護趨勢嗎？

端點防護戰(zhàn)，EDR已占C位

網(wǎng)絡(luò)攻擊，由來已久，且總是帶著一些銅臭的味道。當(dāng)然，每個無底線的攻擊者卻有著一條鐵定的契約，這就是《最小成本法則》。首先，網(wǎng)絡(luò)攻擊者無時無刻不在找尋滲透企業(yè)IT環(huán)境的途徑，其中一個最容易的通道，就是利用終端上的漏洞，這是最具吸引力、成本最小、最柔軟脆弱的目標(biāo)。同時，網(wǎng)絡(luò)罪犯會尋找阻力最小的途徑實施攻擊，而無文件攻擊可以輕易繞過基于黑白名單和感染指標(biāo)（IoC）的防病毒（AV）系統(tǒng)，這也正是越來越多的網(wǎng)絡(luò)罪犯效仿它的原因所在。

作為反擊，EDR (Endpoint Detection & Response )正式出場。顧名思義，EDR技術(shù)聚焦的是高級威脅的檢測與響應(yīng)，它填補了傳統(tǒng)防病毒產(chǎn)品在高級威脅檢測及響應(yīng)方面的技術(shù)空白。從本質(zhì)上來看，EDR技術(shù)通過對操作系統(tǒng)行為高清記錄和長期存儲，根據(jù)行為規(guī)則IOA和外部特征庫IOC來對漏洞攻擊和無文件攻擊等高級威脅進行關(guān)聯(lián)分級及檢測，通過繪制進程事件樹實現(xiàn)攻擊可視化，對威脅的疑似主機進行遠(yuǎn)程遏制和修復(fù)。

圖一：Gartner EPP魔力象限入圍產(chǎn)品功能需求之演進

EDR在2016~2019年連續(xù)進入 Gartner 的 10 大技術(shù)之列，并且預(yù)判認(rèn)為EPP與EDR技術(shù)融合會將成為總體趨勢，這帶動了EPP技術(shù)的重大轉(zhuǎn)變。其中，從2018年開始，Gartner規(guī)定了15項基本功能必須滿足其中的12項才可以入圍，最大的變化是把過去眾多本屬于期望功能的EDR放入了必須滿足的基本功能中。

被“放大化”的EDR，撥開外皮看“硬核”

Gartner對于EDR治理高級威脅給出了四項基本定義：檢測、遏制、調(diào)查和修復(fù)能力，這為各大網(wǎng)安企業(yè)的EDR產(chǎn)品提供了參考。

圖二：Gartner定義的EDR四個基本功能

EDR需要具備針對操作系統(tǒng)行為的“內(nèi)核態(tài)”、“用戶態(tài)”高清記錄能力，且行為日志需要儲存3 個月以上。其次，EDR還需要實現(xiàn)攻擊的可視化，并對無文件攻擊和零日漏洞攻擊提供IOA/IOC 檢測高級威脅，以及提供威脅狩獵（Threat Hunting ）服務(wù)。然而，國內(nèi)的許多用戶，在無法理解EDR本質(zhì)用途的情況下，往往會被放大的EPP能力宣傳所誤導(dǎo)，或是采購被“減配”的EDR方案。

【誤讀1】：能夠檢測到勒索病毒，這就是EDR

2017年5月12日起，WannaCry/Wcry勒索軟件在全球爆發(fā)，亞信安全成為國內(nèi)首個利用“終端防毒+機器學(xué)習(xí)”等新興技術(shù)，成功協(xié)助用戶抵御此次攻擊的安全企業(yè)。但在當(dāng)時乃至今天，亞信安全仍將“機器學(xué)習(xí)”以及檢測到勒索病毒列屬于傳統(tǒng)EPP的技術(shù)范疇。

圖三：EPP與EDR融合

從EPP技術(shù)的發(fā)展來看，檢測到勒索病毒只是EPP的標(biāo)準(zhǔn)功能，但單獨使用EPP“看清無文件攻擊“這種高級威脅是非常有難度的，其關(guān)鍵就在于檢測異常行為。這需要對端點進行持續(xù)檢測，同時通過應(yīng)用程序?qū)Σ僮飨到y(tǒng)調(diào)用等異常行為分析，這其中可以采用威脅隔離、病毒碼更新、終端隔離和機器學(xué)習(xí)技術(shù)，但隨后的響應(yīng)補救、IOA威脅狩獵、根本原因分析、回溯查詢、影響范圍評估等已經(jīng)超出了傳統(tǒng)EPP的防護能力。因此，單獨部署EDR或是EPP都是不夠的，需要兩者的融合與聯(lián)動。

【誤讀2】：EDR功能強大，無需再部署殺毒產(chǎn)品

一流的 EDR 系統(tǒng)不僅可以檢測、分析和驗證常見威脅，還需要對無文件攻擊、零日威脅和APT攻擊提供有效的溯源。比如，通過分析黑客進攻的時間、路徑、工具等所有細(xì)節(jié)，其特征提取出來，自動上傳并到 “沙箱” 的隔離測試區(qū)域 “引爆”、“驗傷”，然后再進行遏制、清除、恢復(fù)和優(yōu)化等。因此，很多人認(rèn)為，擁有如此強大的EDR，完全可以替代反毒軟件（AV ）。

事實上，這兩種技術(shù)在保護你的網(wǎng)絡(luò)方面有著不同的用途。AV專注于預(yù)防，被設(shè)計用來在“壞東西”進入你的網(wǎng)絡(luò)之前捕捉它們，但是它對攻擊期間發(fā)生的情況一無所知。所以，即使AV軟件可以準(zhǔn)確的抓住了惡意代碼，也不能告訴它（他）們來自哪里，以及攻擊是如何在系統(tǒng)中傳播的。 而EDR 描述的是整個攻擊過程，當(dāng)一個攻擊行為被AV阻止，或者針對無文件型的惡意軟件、零日漏洞、APT高級持續(xù)性威脅防控失敗的時候， EDR 會為你提供洞察能力。因此，在EPP和EDR的選擇關(guān)口，并不是要做一道“二選一”的判斷題，它是“全選題”。

端點安全如何撥云見日：EPP+EDR

眾所周知，亞信安全企業(yè)級防病毒產(chǎn)品OfficeScan是具有20多年歷史的EPP產(chǎn)品，以其成熟的企業(yè)級管理功能、超強的穩(wěn)定性和出眾的防病毒能力廣泛服務(wù)國內(nèi)5萬家以上的企業(yè)用戶。在此基礎(chǔ)上，亞信安全推出了名為“高級威脅終端檢測及響應(yīng)系統(tǒng)”（Cyber Threat Deep Investigation，CTDI）的EDR產(chǎn)品，并通過與OfficeScan深度融合，做到了三個“增強”，并形成了端點安全的最佳組合—— EPP+EDR。

●增強高級威脅檢測能力

●增強威脅可視化分析能力

●增強遠(yuǎn)程遏制及修復(fù)能力

在剛剛過去的2019年，亞信安全EPP+EDR的組合在行業(yè)用戶和重保工作中表現(xiàn)搶眼，為廣大企業(yè)客戶提供了增強的端點安全防護能力。未來，在全新定義的端點安全解決方案中，亞信安全以大數(shù)據(jù)分析切入EDR，通過應(yīng)用機器學(xué)習(xí)算法與行為分析提供精確、全面、實時的防護與響應(yīng)，能夠有效發(fā)現(xiàn)未知威脅并減少誤報。同時，發(fā)揮持續(xù)檢測和主動狩獵的功能特性，以及智能聯(lián)動的運行機制，協(xié)助用戶替代或整合而較為落后的防護體系，實現(xiàn)更簡單、更智能、更有效、更主動的威脅防御體系。