后疫情时代使得办公方式发生了巨大的变化，每一台访问组织网络平台的计算设备作为互联网中的一个点构成了政企机构的工作网。现如今网络攻击的手段花样繁出，由0-day漏洞引发的无文件攻击更是绕过传统扫描机制，逐渐成为黑客主要的攻击手段之一。攻击呈现出更迅速、更为隐蔽的变化趋势，传统基于特征值进行检测的安全手段显然已无法满足时代发展需求。

随着威胁形势的不断发展，企业选择EDR产品方案的过程中需要考虑更多因素。组织选择EDR解决方案的目标，是让安全团队能够更快地检测和响应威胁，同时降低成本和复杂性。嘶吼于近日采访了启明星辰终端安全产品线总经理万淼和启明星辰EDR产品经理宋晓鹏，了解近期启明星辰终端高级检测与响应系统的产品功能以及产品发展趋势等相关情况。

一、持续积累 自主研发EDR

嘶吼：启明星辰具备资深网络安全经验，应该很早便具备终端检测与响应能力，为什么我们现在才选择推出EDR产品？

万淼：EDR这个概念最早是2013年由Gartner提出的，主要面向欧美市场。由于我国网络基础设施建设节奏与国外存在差异，EDR真正受到国内市场大范围重视大约是在2018年前后，以永恒之蓝为代表的勒索软件爆发，传统终端安全产品如杀毒软件、终端防护软件等会被新型威胁绕过，我们需要补充新的安全能力，促使EDR产品在国内的关注度广为提升。

（启明星辰终端安全产品线总经理 万淼）

启明星辰集团自身已经在终端安全上积累了十多年，涉及到的终端安全产品包括桌面管理、准入、杀毒、DLP、文档加密等。天珣终端高级威胁检测与响应系统（以下简称：天珣EDR）在设计初期我们就对架构进行反复论证、推敲，以解决用户实际问题和痛点作为出发点，整合国内外对于EDR产品的理解和定义，加上独创的“数据随动机制”，保障天珣EDR符合用户实际使用场景，解决用户实际需要，在弥补终端安全空白的前提下做一款真正经得起市场考验、用户考验的产品。为了保证EDR产品的广泛适用性，在产品正式发布之前，我们在核心用户群里做了大量试用。虽然推出时间点较晚，但我们认为解决用户实际问题的产品永不过时。

嘶吼：受勒索病毒等新型威胁的出现及其他因素的影响，EDR产品应运而生。您能进一步解释一下天珣EDR产品现阶段具备哪些安全能力，怎样帮助组织解决终端威胁呢？

万淼：任何威胁在终端上都有可能产生，对于EDR来说终端不仅有PC端，还包括所有安全设备、服务器在内的均为终端。终端面临很多种类的威胁，例如常见的基于特征的威胁、恶意代码的威胁，以及APT攻击等一些新兴威胁。新兴威胁的出现更多代表无法基于传统特征值判断威胁种类，因此需要EDR持续检测，在看似正常的行为中发现未知威胁。攻防是一个不断博弈的过程，攻击方手段层出不穷。我们认为EDR解决的威胁并没有结束，也就是我们要不断更新威胁库、发现、分析、研究，并对整个过程记录，它也是对威胁检测、威胁分析、威胁溯源能力的帮助，这也正是EDR需要具备的对于威胁前因后果进行分析和追溯的能力。

二、何为标准化的EDR产品？

嘶吼：您认为该怎样定义一款合格的EDR产品，有哪些功能是它比较关键的？

宋晓鹏：仅从我们的天珣EDR来说明，首先，天珣EDR作为一种安全工具需要被灵活调用，也就是我们一直在说的数据随动机制。天珣EDR是对传统终端安全防护技术的补充，既然作为补充需要减少系统负担，达到灵活调动，以形成对于威胁更好的追踪和定位。

（“数据随动机制”防御体系）

其次，天珣EDR要具备极简的客户端架构，因为它面临的终端类型更加广泛，不光是服务器、终端设备，还有现代万物互联的工控智能化终端，这些智能化终端自身空间非常有限，完成自身业务已经很吃力，如果针对性部署一个较重的手段进行防护，显然是不现实的。但是，这些终端又处于一些特殊的应用场景下，比如：ATM机、汽车充电桩等，它们需要的是极轻量的防护手段，EDR恰好具备这一特性。

第三，终端的持续性采集和监控，传统防护手段只能记录并告警产生的瞬间信息，无法回传威胁产生的前因后果，EDR通过对终端的持续监测，从一系列正常数据中发现异常行为和未知威胁，便于用户在威胁还未发生时快速处置、主动响应。最后就是威胁溯源能力，能够帮助管理人员从海量的告警信息中分析事件发生原因、处置方法。天珣EDR通过采集终端设备的全量运行信息，提供网络溯源、文件溯源和进程溯源，将内网中横向移动的过程串联起来，向管理人员提供威胁移动的全视角地图，给出更精确的后续处置建议，这就是威胁溯源带来的最大价值，也是天珣EDR的核心安全功能之一。天珣EDR绝非对传统安全产品的升级或替换，它是补充了一个技术方向。

嘶吼：什么应用场景用户会倾向于选择杀毒软件，而什么场景会选择部署EDR呢？

万淼：我认为EDR和杀毒软件是互补关系，从长远趋势上将EDR分为狭义EDR和广义EDR，狭义EDR就是我们现在在做的内容，它和EPP、杀软是完全互补的。从长远角度看的广义EDR，它是集EPP、杀软、EDR于一体，逐渐融合统一，整体化的为用户提供终端安全防护能力。由于信息化建设的步伐和用户本身每年安全预算的情况，无法做到一步到位，终端防护类产品还会并行一段时间。但我们认为，最终它们会走向融合，从用户的角度出发，他们的安全需求是EDR、EPP的并集。

应用场景主要分为两类：

1）已经部署EPP、AV、NAC等产品，但是终端防护仍出现问题，需要部署EDR作为补充去发现未知威胁、并对威胁进行溯源。比如金融用户终端部署了很多传统EPP产品，虽然能够阻断恶意服务器连接的行为，却始终找不到是哪一台机器发出连接命令，无法进行类似威胁事件的事前防御，即使部署了传统的DLP、杀毒软件也无法进行溯源，记录事件前后。天珣EDR产品的数据采集和溯源分析功能就可以发现发起C2连接的设备和具体进程，定位威胁产生的源头。

2）新型智能化终端，例如现在人们常用的充电桩、智能电源等等，它们内置芯片和操作系统，自身资源和计算空间很有限，可能只具备一个简单的嵌入系统，无法部署比较重的EPP客户端。

嘶吼：我们现在应用EDR的行业有哪些？它对于简化运营、减少成本上是否有作用？

万淼： 我们除了大的企业用户以外，还包括政府、金融、电力等行业。当然，Gartner从提出这一概念时它的定义就是对端点威胁进行取证和分析的一种协助人工运营的工具，为运营人员提供丰富数据来源，扩宽基于日志的运营维度，提升运营效果。其次，在分析平台中加入多维度关联分析模型、多种溯源手段、告警鉴别机制，在海量的告警中推送高级别的告警信息，并对灰色数据进行自动确认，降低发现问题的人工筛选成本。

嘶吼：我们刚刚有提到天珣EDR的轻量级客户端，不同的行业场景该产品是如何标准化部署的？

万淼：这个就是我们刚刚讲到的数据随动机制，通过分析用户的复杂需求、终端环境的多样性，不同用户对于终端要求不是一个标准化或量化的过程，而是顺应场景的变化、随用户的实际需求而动，灵活调用检测分析、溯源等引擎，进而实现面临不同威胁的分析。我们参考了控制系统里随动系统的概念，当系统的输入不固定随着时间变化而变化，输出也是随之变化，该系统最终目标就是实现快速追踪和精准定位。天珣EDR就是利用场景变化解决终端威胁的快速追踪和精确定位。对于业务比较固定的用户，用户一般比较倾向于用白名单引擎进行防护，通过内置的自学习过程把业务维度梳理出来，并根据用户的动态反馈生成白名单，利用“非白即黑”的防护逻辑，更加有效防御业务外未知的安全威胁。

三、EDR未来发展趋势

嘶吼：我们根据现在当下网络环境、网络危险的发展趋势，您觉得未来EDR产品这些方面从功能上它会有一些怎样的发展趋势，有什么待完善、待提高的地方？

要淼：从趋势上来看，因为国内现在EDR起步时间较短，从现有的经验来看不好推测，但是国外做了很长时间了，比较有代表性的几家：Crowdstrike、VMware Carbon Black。所以说其实做EDR在国外来看发展潜力是非常大的。国内来看，用户对未知威胁发现的需求，对威胁溯源的需求以及数据采集的需求是非常明确的，并且需求量也是十分庞大，所以我认为EDR有非常好的发展空间的，后期动力潜能很大。

EDR在安全能力的定义上是一个功能比较复杂的产品，它肯定要通过各种项目的不断磨炼，进而完善其功能，包括分析引擎的维度、数据采集的维度和响应的精准度，这都是亟需安全行业未来探讨的问题。这些问题在实战演练中不断凸显，导致EDR的需求激增。需求量和事件处理复杂度催促着技术进步、发展和完善。终端安全发展的未来必定是以统一的终端解决方案形式存在。

小结：当前，恶意攻击变得越来越复杂，能够成功绕过传统防护措施，并使业务链内的各个领域面临安全威胁。而终端设备特别容易受到这些恶意攻击，为了保护这些终端，防止黑客将其作为基础结构的切入环节，组织急需根据实际需求完善自己的防御措施，通过EDR实现自动化威胁阻止和快速响应复杂事件，进而形成完整的终端保护周期，保护组织免受网络犯罪的侵害。

如若转载，请注明原文地址