精準EDR能力白皮書

目目錄前言 1關(guān)鍵發(fā)現(xiàn) 2定義及描述 3EDR 3精準EDR 3與傳統(tǒng)終端安全產(chǎn)品的區(qū)別 4EDR需求現(xiàn)狀分析 6傳統(tǒng)產(chǎn)品無法有效捕獲企業(yè)終端面臨的新威脅 6混合辦公、多分支辦公等場景下的統(tǒng)一終端安全視角缺失 6EDR缺乏全面有效的監(jiān)控記錄數(shù)據(jù)支持 6溯源分析定位缺少高效的技術(shù)手段與數(shù)據(jù)支撐 7僅靠流量安全產(chǎn)品的威脅定位和響應(yīng)無法閉環(huán) 7行業(yè)用戶場景 83.1分支機構(gòu)資產(chǎn)納管攻防演練中的攻擊檢測與快速響應(yīng) 8APT攻擊的檢測與溯源 8高危安全事件的終端定位與分析 93.4混合辦公、多分支辦公等場景下的威脅感知 9目目錄關(guān)鍵能力 10攻擊檢測能力 檢測準確度 威脅覆蓋度 數(shù)據(jù)采集能力 攻擊溯源分析能力 安全響應(yīng)能力 代表企業(yè) 15COWDSTRIKE ONE 微步在線 未來展望 22EDR向精準化、一體化等不同的方向發(fā)展 EDR從自動執(zhí)行向自主決策發(fā)展 EDR依然是R中核心重要一環(huán) 不斷提速的信創(chuàng)進程需要與之匹配的EDR能力 精準EDR能力白皮書?前 言經(jīng)過近30年的攻防博弈，國內(nèi)傳統(tǒng)終端安全的需求從最初的防病毒、端管理、安全審計等，逐步升級為端點防護平臺EPP、終端數(shù)據(jù)防泄漏等綜合解決方案，隨著近年來國際形勢的變化、國內(nèi)安全演練活動的舉辦、機構(gòu)主安全意識的普遍提升，端點側(cè)的安全能力需求更加側(cè)重對安全威脅的檢測與應(yīng)。由此，端點檢測與響應(yīng)（ER）應(yīng)需而生。然，國內(nèi)目前大部分EDR產(chǎn)品及解決方案都是基于傳統(tǒng)PC防病毒或終端管理產(chǎn)品發(fā)展演化而來，核心能力并非原生滿足檢測與響應(yīng)的需求。例如，防病毒引擎主要基于病毒特征檢威脅攻擊行為，不具備實時威脅情報的支持，同時也缺少上下文關(guān)聯(lián)分析的力；終端管理產(chǎn)品則重在管理，雖然在應(yīng)急響應(yīng)場景中具備一定的批量處置力，但是對威脅的檢出率較弱，安全響應(yīng)的效能化智能化水平也都無法滿足全團隊的需求。與此同時，國際上如CrowdStrike此類以威脅情報為基礎(chǔ)具備云原生優(yōu)的安全企業(yè)已經(jīng)經(jīng)過了市場的驗證，受到用戶、投資人、同行的多方認可。內(nèi)有哪些新興安全企業(yè)也具備這樣的能力特點，各界莫衷一是?；谏鲜霈F(xiàn)狀數(shù)世咨詢認為在傳統(tǒng)終端安全能力與檢測響應(yīng)新需求之間始終缺少一個以行業(yè)調(diào)研為基礎(chǔ)的EDR報告對其做出梳理與闡述。鑒于此，我們協(xié)同國內(nèi)EDR領(lǐng)域安全廠商微步在線開展了為期一個多月的調(diào)研工作，并在保護用戶隱私不泄露任何調(diào)研原始數(shù)據(jù)的基礎(chǔ)上，將調(diào)研成果整理成為各位讀者看到的《精準EDR能力白皮書》。鑒于時間緊迫，調(diào)研對象樣本有限，報告中難免有遺漏、偏頗之處，請位讀者不吝指正。關(guān)鍵發(fā)現(xiàn)精準EDR是指基于海量威脅情報與終端行為分析，以高級威脅攻擊行為應(yīng)對目標，具備精準威脅發(fā)現(xiàn)、快速溯源分析、智能響應(yīng)閉環(huán)的EDR解決案。精準EDR重在精準，關(guān)鍵能力主要有攻擊檢測能力、數(shù)據(jù)采集能力、擊溯源分析能力、安全響應(yīng)能力等四個維度。要構(gòu)建滿足用戶需求的檢測準確度，目前在多種可選技術(shù)路線中以“下文關(guān)聯(lián)”最具落地實踐效果。對威脅檢測的覆蓋主要包括基于特征的惡意軟件、覆蓋ATT&CK的IoA、以及包含APT組織在內(nèi)的高質(zhì)量IoC情報等。agent采集的數(shù)據(jù)需要在終端側(cè)進行去重、重組、篩選、標簽等操作以最小化原則回傳。精準EDR進行溯源分析的兩個基礎(chǔ)能力：底層事件的上下文關(guān)聯(lián)、基圖的可視化。精準EDR的安全響應(yīng)以一定程度的智能化溯源分析作為前置能力“點隔離，阻斷橫移”為基本原則。未來EDR將向精準化、一體化、智能化等方向發(fā)展。精準EDR能力白皮書?定義及描述EDR端點檢測與防（EndpointDetectionandResponseEDR是一種采集記錄并存儲數(shù)字空間中機構(gòu)所擁有的各端點狀態(tài)數(shù)據(jù)與行為數(shù)據(jù)，并對數(shù)據(jù)進行關(guān)聯(lián)分析，以應(yīng)對威脅的安全能力。具體包括，分析端點數(shù)據(jù)，檢測發(fā)現(xiàn)威脅，進行隔離、查殺等安全響應(yīng)；對正在發(fā)生或已發(fā)生的安全事件進行追蹤溯源；針對潛在的風險（如二次攻擊、未修復(fù)漏洞等），基于客戶業(yè)務(wù)需求提供修復(fù)與保護建議；最終，實現(xiàn)整個數(shù)字環(huán)境中對未知威脅與高級可持續(xù)威脅的檢測與響應(yīng)。（注：本定義取自《數(shù)世咨詢：EDR能力指南2021》，有修改）端點的范疇：本報告中的“端點”若無特別說明，主要是指數(shù)字空間中機構(gòu)所擁有的辦公電腦、個人移動終端、IoT設(shè)備、網(wǎng)絡(luò)設(shè)備、聯(lián)網(wǎng)打印機、攝像頭等終端設(shè)備。需要強調(diào)的是，本報告的端點中不包含物理主機、虛擬機、容器等服務(wù)設(shè)備，主機場景下的檢測與響，數(shù)世咨詢單獨以“主機檢測與響應(yīng)HDR”進行了劃分，詳見《數(shù)世咨詢：主機檢測與響應(yīng)HDR能力指南》（2022）。精準EDR基于上述EDR定義，精準EDR是指基于海量威脅情報與終端行為分析，高級威脅攻擊行為為應(yīng)對目標，具備精準威脅發(fā)現(xiàn)、快速溯源分析、智能響閉環(huán)的EDR解決方案。圖例1：精準EDR示意簡圖與傳統(tǒng)終端安全產(chǎn)品的區(qū)別精準EDR與終端管理類產(chǎn)品相比（如終端管理、桌面管理）：√產(chǎn)品定位不同，終端管理產(chǎn)品為IT運維工程師提供管理上的便捷，而精準EDR關(guān)注的是黑客攻擊行為，供安全管理員應(yīng)對威脅使用；√安全能力不同，終端管理產(chǎn)品的安全能力較弱，一般具備弱口令掃描、洞掃描等基本安全能力，精準EDR要能夠檢測出高級威脅攻擊行為；√然兩者并不沖突，精準EDR主要角色為高級威脅檢測與響應(yīng)，并且agent較為輕量，在終端側(cè)的資源占用很小，再基于定位與能力上的不同，因此能夠與用戶原有終端管理產(chǎn)品并存發(fā)揮各自能力。精準EDR與國內(nèi)傳統(tǒng)終端安全相比（主要以防病毒為主，包括傳統(tǒng)的EPP、AV在內(nèi)）：√應(yīng)對目標不同，相對傳統(tǒng)殺毒軟件或病毒防護產(chǎn)品，精準EDR更關(guān)注端側(cè)的高級威脅攻擊行為；精準EDR能力白皮書?√基礎(chǔ)架構(gòu)不同，相對傳統(tǒng)的本地化掃描引擎，精準EDR采用SaaS模式或者本地化大數(shù)據(jù)架構(gòu)（SaaS模式基于云具備更強的可擴展計算能力），狀態(tài)數(shù)據(jù)行為數(shù)據(jù)的存儲、溯源分析、策略分發(fā)等都在云端，且多為云生架構(gòu)，支持大規(guī)?？蓴U展，能夠及時應(yīng)對多場景下的不同需求；√檢測機制不同，相對基于特征的匹配機制，精準EDR基于海量威脅情報據(jù)與多種行為方法，對威脅攻擊行為的事件上下文進行關(guān)聯(lián)分析，從而現(xiàn)威脅；√響應(yīng)效果不同相對傳統(tǒng)的高級分析師判斷后交由運維網(wǎng)絡(luò)等部門響應(yīng)精準EDR直接具備智能化的端點隔離、橫向阻斷、智能清理攻擊者駐留項等閉環(huán)響應(yīng)能力?！坍斎恍滦偷腅PP中也會不斷融入EDR能力，以國際為例目前已經(jīng)出現(xiàn)了的R為P以為典型；另一種為傳統(tǒng)EPP廠商通過研發(fā)或者并購整合EDR能力。圖例2：與傳統(tǒng)終端安全產(chǎn)品的區(qū)別EDR需求現(xiàn)狀分析傳統(tǒng)產(chǎn)品無法有效捕獲企業(yè)終端面臨的新威脅如定義部分所述，防病毒、EPP等傳統(tǒng)終端安全產(chǎn)品基于已知特征庫、通過傳統(tǒng)簽名技術(shù)實現(xiàn)對惡意文件的檢測發(fā)現(xiàn)；面對未知特征惡意文件，雖逐發(fā)展出了“云查殺”、“啟發(fā)式檢測”等功能，但面對內(nèi)存馬、無文件攻擊新型威脅時，傳統(tǒng)安全產(chǎn)品已無法有效應(yīng)對?；旌限k公、多分支辦公等場景下的統(tǒng)一終端安全視角缺失新冠疫情客觀上加速了業(yè)務(wù)上云、居家辦公、遠程協(xié)同等混合辦公、多分支辦公的場景，機構(gòu)安全團隊需要同時覆蓋多類型、多屬地的終端安全需求，然而在同時面對VPN數(shù)據(jù)中心邊界防護Web防護等多個煙囪式的安全界面時很易出現(xiàn)疏漏。與此同時，機構(gòu)下轄的各分支機構(gòu)安全建設(shè)投入先后有別，水平不一，人員少經(jīng)驗淺安全意識薄弱是普遍現(xiàn)象，攻擊者一旦進入，橫向移動內(nèi)網(wǎng)擴散暢通無阻因此往往成為實網(wǎng)攻防演練中攻擊隊最常突破的目標面對這種情況統(tǒng)一的終端安全視角成為最迫切需求之一。EDR缺乏全面有效的監(jiān)控記錄數(shù)據(jù)支持要想具備統(tǒng)一的終端安全視角，需要對終端進行監(jiān)控記錄全覆蓋。然而們調(diào)研發(fā)現(xiàn)，目前行業(yè)內(nèi)大部分EDR產(chǎn)品在端側(cè)的數(shù)據(jù)采集能力都較弱?！叭坑涗浗K端上的所有數(shù)據(jù)并不能直接為檢測或響應(yīng)帶來更高效助力相反還可能會占用更多的計算資源與網(wǎng)絡(luò)資源，影響業(yè)務(wù)連續(xù)性與用戶體驗。監(jiān)控記錄數(shù)據(jù)是否有效支撐，要看覆蓋度與精準度。覆蓋度與精準度要考慮機精準EDR能力白皮書?構(gòu)用戶的業(yè)務(wù)特點、基礎(chǔ)設(shè)施環(huán)境、安全需求、外部潛在威脅等，有側(cè)重地集所需要的監(jiān)控與記錄數(shù)據(jù)。后文在“關(guān)鍵能力”部分會有詳細論述。溯源分析定位缺少高效的技術(shù)手段與數(shù)據(jù)支撐溯源分析定位環(huán)節(jié)也需要數(shù)據(jù)支撐，標準是“高效”，實現(xiàn)手段是將前提到的端側(cè)采集數(shù)據(jù)，與外部海量的威脅情報數(shù)據(jù)、基于行為的上下文分析測技術(shù)三者在EDR平臺側(cè)進行融合，對端側(cè)提供持續(xù)支撐。這里的價值在于，溯源分析的過程目前大多依賴于有經(jīng)驗的安全事件分師，在安全重保、實網(wǎng)攻防演練、或個別重大高危漏洞爆發(fā)時，人工分析是必要的，但在日常安全運營的“告警風暴”中，如何通過技術(shù)手段實現(xiàn)一定度自動化的溯源分析定位，這是安全運營團隊的另一個迫切需求。僅靠流量安全產(chǎn)品的威脅定位和響應(yīng)無法閉環(huán)IPS、NGFW、UTM等流量檢測類安全產(chǎn)品在應(yīng)對辦公網(wǎng)中動態(tài)IP、NAT場景時無法獲取真實IP進而找到對應(yīng)的終端也無法關(guān)聯(lián)到對應(yīng)的員工即便定位到終端，也無法第一時間定位到威脅進程，常常需要有經(jīng)驗的安全程師進一步人工排查，排查到威脅進程后，如何在不影響業(yè)務(wù)的情況下進行源、清除，更加依賴安全工程師的經(jīng)驗水平。整個排查工作下來很可能攻擊者已經(jīng)完成了橫向移動后門植入等動作入侵蹤跡也已經(jīng)刪除完畢。因此流量安全產(chǎn)品要與EDR聯(lián)動才可能形成有效的威脅定位、響應(yīng)閉環(huán)。行業(yè)用戶場景攻防演練中的攻擊檢測與快速響應(yīng)應(yīng)對攻擊隊的滲透入侵行，EDR能夠提供快速的檢測定位與響應(yīng)阻斷能力。EDR的檢測定位能力可以發(fā)現(xiàn)內(nèi)網(wǎng)中爆破、提權(quán)等常見攻擊工具，此外還可以用于發(fā)現(xiàn)憑據(jù)獲取、權(quán)限維持和提升、防御繞過、內(nèi)網(wǎng)信息收集、隱藏令控制通信等高級攻擊手法，另外還可以對內(nèi)網(wǎng)橫移手段中常用的域控攻擊漏洞利用、遠程服務(wù)爆破等方式進行檢測。EDR的響應(yīng)阻斷能力可以對失陷終端進行快速隔離，同時將失陷情報上報后同步至機構(gòu)所有關(guān)聯(lián)終端第一時間做到全網(wǎng)響應(yīng)失陷終端上的攻擊過程攻擊手法、具體的攻擊動作、攻擊進程鏈等上下文信息，可用于溯源分析報告的快速產(chǎn)出。APT攻擊的檢測與溯源不同于一般的網(wǎng)絡(luò)攻擊，APT攻擊具備團伙化、專業(yè)化、武器化等特點。團伙化體現(xiàn)在分工明確、團隊協(xié)同；專業(yè)化體現(xiàn)在殺傷鏈的每個環(huán)節(jié)都有針性的專業(yè)工具，甚至會為單次攻擊專門開發(fā)專用工具；武器化體現(xiàn)在大量使從未公開過的0day漏洞，或是在黑市上大肆收購網(wǎng)絡(luò)攻擊工具，具備軍火賣的特征；此外，APT組織一旦成功入侵，反而會低調(diào)蟄伏下來，輕易不做任何動作，這也為日常排查帶來了極大的難度。在這樣的場景中，EDR能夠從終端上抓取APT攻擊檢測所需的多種行為數(shù)據(jù)包括進程注入Playload反射加載進程挖空等APT相關(guān)的高階行為事精準EDR能力白皮書?此外依托EDR平臺側(cè)的威脅情報能力，可以主動將APT組織在其他同類目標攻擊線索、攻擊手法、攻擊技巧等轉(zhuǎn)為檢測腳本，實現(xiàn)反客為主式的檢測與源。高危安全事件的終端定位與分析“永恒之藍”之后的每個周五晚上，安全團隊負責人收到安全漏洞預(yù)警都會心有余悸。因此，應(yīng)對高危安全事件，第一時間對潛在受到影響的終端行定位與分析，是EDR發(fā)揮作用的另一個主要場景。對其他安全設(shè)備上發(fā)現(xiàn)的告警，或者EDR本身發(fā)現(xiàn)的潛在風險，ER都可以快速通過終端行為定位到威脅的進程源頭，進而通過終端間的網(wǎng)絡(luò)訪問關(guān)確定其關(guān)聯(lián)影響的其他終端。安全管理者可據(jù)此快速下發(fā)響應(yīng)策略，如隔離修復(fù)?；旌限k公、多分支辦公等場景下的威脅感知EDR能夠為混合辦公多分支辦公等場景提供統(tǒng)一的終端安全視角具體來說包括對不同場景下的辦公終端都能實現(xiàn)“隨時隨地”的接入和保護，保證勒索軟件、釣魚郵件、APT攻擊、木馬外聯(lián)、惡意軟件等在內(nèi)的多種攻擊手法，都能通過EDR實現(xiàn)統(tǒng)一的安全檢測與響應(yīng)?；诖?，EDR能夠持續(xù)采集終端行為數(shù)據(jù)，為遠程終端和分支機構(gòu)環(huán)境提供持續(xù)的安全評估，并通過API和VPN/零信任網(wǎng)關(guān)聯(lián)動，及時阻斷高風險終端入網(wǎng)，從而以統(tǒng)一視角實現(xiàn)統(tǒng)一檢測、統(tǒng)一響應(yīng)。關(guān)鍵能力相比傳統(tǒng)終端安全，精準EDR重在精準，因此，精準背后的關(guān)鍵能力主有攻擊檢測能力、數(shù)據(jù)采集能力、攻擊溯源分析能力、安全響應(yīng)能力等四個度。攻擊檢測能力所謂“精準”，攻擊檢測要準，威脅覆蓋要全。檢測準確度數(shù)世調(diào)研調(diào)研發(fā)現(xiàn)，在基于特征的匹配檢測能力之外，想要構(gòu)建更能滿用戶需求的檢測準確度，目前在多種可選技術(shù)路線中以“上下文關(guān)聯(lián)”最具地實踐效果。其邏輯步驟：首先全面記錄終端產(chǎn)生的行為事件，之后將事件按照文件進程上下文的方式進行關(guān)聯(lián)，構(gòu)建完整的事件關(guān)系鏈/網(wǎng)，然后對鏈/網(wǎng)中每個節(jié)點進行判定，確定其行為標簽，當新增事件或關(guān)系鏈時，對所有標簽行關(guān)聯(lián)分析，從而判斷該事件是否惡意。這里要說明的是，事件涉及到的對象不局限于文件或進程，從系統(tǒng)進程服務(wù)、接口、消息、命令行、注冊表、日志等都應(yīng)當加以覆蓋（后面在“數(shù)采集能力”部分會詳細闡述）。此外，大量關(guān)聯(lián)分析的工作要在端側(cè)和服務(wù)側(cè)分工協(xié)作并加以平衡。端的數(shù)據(jù)采集與傳輸不能影響終端與網(wǎng)絡(luò)性能；服務(wù)側(cè)的標簽判定、關(guān)聯(lián)分析作以人機結(jié)合的方式——例如基于圖論等理論應(yīng)用與機器學習算法等——自化完成。精準EDR能力白皮書?關(guān)于檢測準確度的標準，用戶需求場景不同，準確度的標準也不同。實攻防演練場景下用戶終端上的準確度更側(cè)重高檢出率，允許一定的誤報率；于金融、運營商等關(guān)基行業(yè)業(yè)務(wù)連續(xù)性要求更高的用戶終端場景，準確度的求則更高，檢出即要求準確無誤；其他日常安全運營場景，根據(jù)實際情況調(diào)策略。威脅覆蓋度除了檢測準確度，另一個衡量檢測能力的維度是威脅覆蓋度。覆蓋的威脅主要包括基于特征的惡意軟件、覆蓋ATT&CK的IoA、以及包含APT組織在內(nèi)的高質(zhì)量IoC情報等。對惡意軟件的檢測可以依靠多引擎交叉檢測進行覆蓋技術(shù)上不難實現(xiàn)對于甲方用戶和乙方企業(yè)來講，主要考慮成本和生態(tài)合作；對于ATT&CK，需要對框架中的組織、戰(zhàn)術(shù)、技術(shù)、步驟、工具軟件等進行體系化的覆蓋，形成針對性的IoA檢測能力。對于高階威脅場景需要重點覆蓋，例如不同的遠控框架、釣魚場景、白加黑利用等，形成APT攻擊手法的IoA檢測能力；此外，海量、準確的威脅情報能力要能覆蓋痛苦金字塔模型中哈希、IP、域名、網(wǎng)絡(luò)/主機部件、工具等多個維度，高質(zhì)量的IoC威脅情報是捕獲TTPs的基礎(chǔ)和保障。數(shù)據(jù)采集能力數(shù)據(jù)采集要全一方面覆蓋足夠多的事件類型如前面提到的進程服務(wù)接口、消息、命令行、注冊表、日志等，另一方面每個事件所采集的屬性也要盡量豐富，為溯源分析研判打基礎(chǔ)。數(shù)據(jù)采集的過程中要考慮到，不同用戶態(tài)、內(nèi)核態(tài)下不同權(quán)限所接觸到的數(shù)據(jù)有所差別。例如驅(qū)動的加載要避免遺漏，對內(nèi)存馬等高級威脅攻擊要注采集內(nèi)存狀態(tài)、內(nèi)存活動等行為，避免被繞過。圖例3：精準EDR數(shù)據(jù)采集精準EDR能力白皮書?值得一提的是，采集的數(shù)據(jù)并非全部都要回傳，絕大部分數(shù)據(jù)屬于重復(fù)數(shù)據(jù)、靜態(tài)數(shù)據(jù)，它們對于研判是無用的，回傳會占用大量的agent性能與網(wǎng)絡(luò)資源因此需要在終端側(cè)對采集到的數(shù)據(jù)進行去重重組篩選標簽等操作以最小化原則回傳。攻擊溯源分析能力精準EDR對攻擊事件進行溯源分析時，有兩個基礎(chǔ)能力要滿足，首先要備底層事件的上下文關(guān)聯(lián)，其次要具備基于圖的可視化。所謂底層事件上下文關(guān)聯(lián)，是指采集事件時諸多系統(tǒng)進程中的行為看似是系統(tǒng)進程或正常進程，如services.eve、explorer.exe、svchost.exe、winword.exe等，但其實是惡意文件通過系統(tǒng)接口、服務(wù)、消息等方式發(fā)起請求實現(xiàn)的。在采集到這些事件時，需要加以甄別處理，并結(jié)合上下文，判斷真實行為。基于圖的可視化，是指將攻擊過程以知識圖譜等方式進行可視化展示，點突出顯示高風險行為所關(guān)聯(lián)的節(jié)點和邊，這樣即使是普通安全分析師也能速掌握，達到精準的攻擊溯源分析能力。圖例4：基于底層事件上下文關(guān)聯(lián)的圖溯源（本圖例由微步在線提供）在上述兩個能力的基礎(chǔ)上對攻擊威脅進行溯源分析時可根據(jù)用戶場景結(jié)合ATT&CK框架，制定出若干適用的溯源腳本；還可引入圖分析和機器學習算法，從而達到一定程度的自動化、智能化水平；最后，依托云原生能力，可以將所有數(shù)據(jù)匯總形成一個基于云的、可大規(guī)模擴展的圖形數(shù)據(jù)庫，從而形成近乎實時的可視化、數(shù)據(jù)分析與威脅防護能力。安全響應(yīng)能力精準EDR的安全響應(yīng)以一定程度的智能化溯源分析作為前置能力，以“點隔離，阻斷橫移”為基本原則，不同的場景響應(yīng)方式略有不同。在實網(wǎng)攻防演練場景中，可結(jié)合威脅情報針對疑似失陷終端做快速隔離或者通過策略配置限定其可訪問的網(wǎng)絡(luò)范圍，進行快速處置。在APT攻擊場景中，可對全量事件記錄數(shù)據(jù)進行回放溯源分析，初步判威脅的攻擊路徑及源頭，然后給出針對性的處置動作建議，或者由經(jīng)驗豐富安全分析專家直接從云端下發(fā)響應(yīng)處置動作。更精細的響應(yīng)動作上面，除了基本的隔離終端、文件進程阻斷等操作，應(yīng)該支持更精細的響應(yīng)動作以支持高級威脅中的處置這些動作包括但不限計劃任務(wù)和啟動項的刪除、賬號的禁用和刪除、驅(qū)動的卸載、頑固病毒木馬的專殺清理等。為了提升響應(yīng)時效，上述響應(yīng)手段建議以SaaS方式實現(xiàn)，且所有處置動作都應(yīng)可記錄可審計可檢索。當然，這里要說明的是，調(diào)研中我們也發(fā)現(xiàn)，面臨重大安全事件時，用戶普遍認為必要的現(xiàn)場應(yīng)急響應(yīng)目前仍然是必不可的。精準EDR能力白皮書?代表企業(yè)眾所周知，CrowdStrike作為當前終端安全廠商的先進代表，其最早期其出眾威脅情報能力打動市場，后通過EDR產(chǎn)品則使其情報能力在用戶側(cè)得了充分的發(fā)揮和落地。具體到產(chǎn)品和解決方案層面，不同于傳統(tǒng)基于規(guī)則和簽名的殺毒軟件公司（如Symantec和McAfee），CrowdStrike的EDR解決方案Falcon是一款SaaS模式的終端安全平臺，無需重新啟動系統(tǒng)和網(wǎng)絡(luò)，輕量級agent就可以在終端和工作負載上大規(guī)模部署，也無需本地硬件與數(shù)據(jù)庫，管理和置均通過云端實現(xiàn)。這些便捷性，是由100%的云原生架構(gòu)帶來的，如上圖所示。通過安裝在客戶終端上的單一輕量級agent將收集來的數(shù)據(jù)傳輸至云端一數(shù)據(jù)庫ThreatGraph，基于ThreatGraph，F(xiàn)alcon持續(xù)地收集、處理和實時分析所有客戶終端所面臨的的威脅。功能方面，通過智能優(yōu)先排序、上下文關(guān)聯(lián)、快速搜索等功能，F(xiàn)acnInsight能夠帶來顯著的效率提升，如下圖所示：同時在多年的威脅情報積累與出色的數(shù)據(jù)溯源分析能力形成的“CrowdStrike安全云的支持下其在可視化智能化等方面做的也很出色，精準EDR能力白皮書?一個顯著指標是，據(jù)稱其能夠減少90%以上的無效預(yù)警，避免告警風暴；再上完備生態(tài)帶來的響應(yīng)閉環(huán)能力，安全運營團隊的整體效率可以得到進一步升。市面上對CrowdStrike產(chǎn)品能力的介紹有很多本報告不多做贅述總之以優(yōu)異的威脅情報能力為基礎(chǔ)CrowdStrike又充分利用了云和AI的能力特性如輕量快速部署、大規(guī)?？蓴U展、單事件-全平臺學習與更新等，使其能夠在海量威脅事件中快速精準發(fā)現(xiàn)會真正影響用戶的真實潛在威脅，這讓它在終端側(cè)的快速檢測與響應(yīng)場景中獲得了普遍高于同行的客戶評價。SENTINESentinelOne公司成立于2013年，總部位于美國加州的帕洛阿爾托市，公司的產(chǎn)品使用人工智能技術(shù)自動化識別企業(yè)網(wǎng)絡(luò)中的異常行為，保護用戶端設(shè)備免受網(wǎng)絡(luò)安全漏洞的侵害。SentinelOne的主打產(chǎn)品是基于人工智能的XDR奇點平臺（SingularityPlatfor）。該產(chǎn)品將終端防護、云端安全、事件響應(yīng)、攻擊面管理、甚ITDR等集中在一個平臺中，為企業(yè)所有的互聯(lián)網(wǎng)接入點提供保護，包括筆記本電腦和臺式機，以及各種云設(shè)備、數(shù)據(jù)中心和物聯(lián)網(wǎng)設(shè)備等，防止它們受惡意軟件、腳本攻擊以及其他的危害。就本報告所關(guān)注的EDR場景而言，SentinelOne的能力特點有AI驅(qū)動的威脅防護與檢測、實時的攻擊面管理、基于ATT&CK的自動化快速響應(yīng)等。其能力特點與其他安全軟件最大的不同之處是，其他安全軟件需要把監(jiān)測數(shù)據(jù)上傳到云端進行分析，同時也依賴人工處理監(jiān)測預(yù)警并采取應(yīng)對措施，SentinelOne則推崇用機器對抗機器，略去大量的人工判斷轉(zhuǎn)而采用自動化監(jiān)測從而大幅度減少錯誤判斷。雖然效果仍需要驗證，但在筆者看來，自動化監(jiān)測確實可以帶來至少2好處：一是可以解放人工的關(guān)注度，使安全團隊可以把精力集中在更為關(guān)鍵風險點上；二是略去人工參與后，響應(yīng)速度最快可以到毫秒級別，一旦監(jiān)測有安全威脅，平臺就可以快速采取措施進行處理。因此要達到這個目標，SentielOne的人工智能引擎是部署在用戶的本精準EDR能力白皮書?地化終端側(cè)或云端平臺的，能在沒有云端服務(wù)器的情況下運行?？吹贸鰜?，SentinelOe相信將其設(shè)備、云服務(wù)和AI融合在一起，能夠比現(xiàn)場或云原生服務(wù)更快地響應(yīng)威脅（毫不避諱且有針對性地對標CrowdStrike，其官網(wǎng)上甚至專門有與各個友商EDR的正面對比）。除了理念上的不同，功能方面SentinelOne也有一些亮點，例如它支持將實時的上下文以時間線的方式進行可視化展示，再例如針對勒索軟件，SentinelOne具備“一鍵回滾”功能，使系統(tǒng)能夠自動將自身重置為以前的某個狀態(tài)?？傮w而言，即便有市值最高的網(wǎng)絡(luò)安全公司CrowdStrike在前，與之對的這家成立于以色列的公司SentinelOne仍然亮點多多，鮮明地走出了自己創(chuàng)新技術(shù)路線。資本市場對其也是青睞有加，2021年IPO時超過在2019年創(chuàng)下的初始估值67億美元的紀錄，以88億美元成為歷史上價值最高網(wǎng)絡(luò)安全股IPO。但就核心能力而言，其短板也是很明顯的，即威脅情報的能力在客戶側(cè)普遍反應(yīng)不如CrowdStrike，這大大影響了SentinelOne在市場執(zhí)行層面的表現(xiàn)。因此，只有首先解決客戶最在意的核心訴求——精準發(fā)現(xiàn)威脅，之后的動化響應(yīng)才更有價值。微步在線2022年微步在線進行了品牌升級，品牌升級背后是安全能力的升級。以威脅情報為基礎(chǔ)優(yōu)勢能力，全面覆蓋了端點、流量、邊界、云端等多個維度的安全能力。這一點與CrowdStrike是發(fā)展路徑是相類似的。就本報告所關(guān)注的EDR場景，微步在線對應(yīng)的產(chǎn)品為OneSEC，功能覆蓋事前事中事后全流程其能力主要包括攻擊面收斂內(nèi)存檢測行為檢測溯源分析、智能響應(yīng)等。與前面兩家代表企業(yè)相比，微步在線OneSEC既具備CrowdStrikeFalcon的云原生架構(gòu)與威脅情報優(yōu)勢，又具備SentinelOne奇點平臺的攻擊面管理與AI驅(qū)動能力，因此可以同時在檢測準確度、威脅覆蓋度、數(shù)據(jù)采集、溯源分析、快速響應(yīng)等關(guān)鍵能力點上滿足“精準”要求。此外，結(jié)合國內(nèi)重保與網(wǎng)攻防演練等本土化場景，微步在線還提供了專殺工具以及資產(chǎn)梳理、終端管等本地化安全運營服務(wù)。精準EDR能力白皮書?值得一提的是，微步在線OneSEC具備出色的威脅狩獵能。正如“關(guān)鍵能力部分所描述的以底層事件的上下文關(guān)聯(lián)為基礎(chǔ)通過圖的可視化能力微步在線OneSC能夠顯著提高威脅檢測的精準度，也使普通的安全工程師能夠快速溯源，找出攻擊源頭，實現(xiàn)快速響應(yīng)，達到高級安全工程師的效果。未來展望EDR向精準化、一體化等不同的方向發(fā)展不同行業(yè)不同場景對EDR的差異化需求，未來會影響EDR向著不同的方發(fā)展。本報告所討論的精準EDR，用戶群體主要為關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)用戶，其終端數(shù)量在數(shù)萬到數(shù)百萬不等，終端側(cè)的攻擊暴露面較廣，且以高級威脅測與響應(yīng)為主要需求。終端數(shù)量較多且以安全管理為主要需求，同時高級威脅檢測需求相對較的用戶，需要的是整體終端安全解決方案，在此類需求的推動下，EDR逐漸演變?yōu)椤耙惑w化終端安全”解決方案。EDR從自動執(zhí)行向自主決策發(fā)展雖然多種機器學習技術(shù)都已在網(wǎng)絡(luò)安全領(lǐng)域得到應(yīng)用但目前EDR的檢測響應(yīng)都需要以積累的海量威脅情報為基礎(chǔ)。因為一旦撞上這些簽名，幾乎可以確定攻擊，省去大量的關(guān)聯(lián)分析工作，“自動執(zhí)行”阻斷響應(yīng)，因此威脅情報簽名仍然是檢測已知威脅的關(guān)鍵基線。在這一基礎(chǔ)上，接下來EDR將向“自主決策”發(fā)展，即通過人工智能技將創(chuàng)造性思維從耗時的自動執(zhí)行操作任務(wù)中解放出來，例如更多關(guān)注在檢測級威脅時的上下文關(guān)聯(lián)分析、威脅處置優(yōu)先級排序等，針對不同風險自主決采用不同的控制措施（如隔離可疑文件或要求用戶重新驗證），逐步提高安運營效率、降低威脅風險。也有像SentinelOne這樣的安全企業(yè)，把EDR