Nick FitzGerald  ESET 资深研究员

摘要：虽然企业和政府机关信息系统的网络防御水平正在不断提高,但同时他们面临的安全威胁也日益复杂和多样化。我们还在运用昨天的方法加大信息系统渗透难度的同时，对手们却在不断与日剧新的调整和寻找新的入侵途径。自然，这就犹如一场猫捉老鼠的游戏，对阵双方分别是防御者和攻击者。虽然机器学习技术/人工智能的发展有着奇迹般的前景，但它们在终端防御产品上所能够发挥的作用毕竟有限，这就使深入洞察网络数据流掌握网络通行数据的活动时间、地点和方式变得日益迫切。终端检测及防御（EDR）软件应运而生。本文将归纳EDR的各项功能和局限性，讨论选购和部署EDR解决方案时，需要考虑的主要因素。

首先讲一讲为什么谈EDR？所有的信息系统都有端点，在场的都是业内人士，一提到端点不要想到台式笔记本这些，要扩展你的思维，一切跟网络连接的东西，包括像平板、服务器等等。讲端点的时候需要保护措施，免得网络乱用攻击。

第一点，有些代码是没有监测出来的恶意代码，包括有一些代码是合法的，但使用是恶意的。

第二点，相关的机构需要做的事情，一定要去监控这些端点，而且要去监测有没有相关的威胁存在，还有如何响应这些威胁。

在谈到为什么讲EDR的时候，这一页非常的重要。所有的端点有相关的安全软件，包括我们公司也有，防病毒、反恶意软件，端点的保护产品ESET，刚刚讲我是来自ESET的公司，公司也有很多端点防护安全的产品。另外，考虑到有些应用程序白名单，软件的防火墙、补丁管理措施等等。

可能现场的朋友会提问或者有疑问说，我的公司企业正在用的是别的版本或者是其他软件、其他系统，为什么要特意讲一讲关于EDR呢？你要了解到资质、系统内置。也有可能您企业正在用的安全软件挺满意，保不起哪一天遇到零日攻击的事情，当下您怎么处理？这可能会是另外的选择。即使我们做到了万全的措施，仍然有网络的使用者，这些网友或者用户们不一定完全按照您给他培训以及指导方针来做。也就是像这一幅图表示的，明明有警告指示牌在那儿，并不一定每个人会遵照它来做。

如果您真的想要考虑EDR解决方案的时候，有哪些因素要特别考虑其中？首先您要了解EDR不是指某一个东西或者某一个元素，它其实是一系列安全工具的组合，而且关注的是各个端点的思维扩展。零日攻击的问题，可能是有目标性持续的网络攻击也是您可以考虑的。有可能你内部的员工与外面串谋起来造成的网络攻击或者其他的事件也可以关注。

常常有朋友或者业内朋友会问我一个问题，EDR和EDP是不是一样的？EDR讲端点的监测和相应，EDP是ESET生产一系列关于端点防护的产品。我常常被他们问，首先会说，是一样，也不一样。EDR相关的有一些术语、一些工具，随着你遇到网络攻击、网络环境和各种威胁的变化，这些东西前者也必须进一步拓展。

在比较早期的时候，每次提到早期的端点威胁，通常会把它定义成仅仅只是病毒，一般有了一个产品会说这是防病毒、杀病毒的。早期叫病毒，接下来会有木马病毒，包括刚才提到恶意的代码，这个时候有怎么称呼的问题。一开始是叫反病毒，别人会叫反恶意软件的，其实目前是没有统一的。

接下来发现有各种各样的网络攻击被一一识别侦测出来，面对不同的问题，包括各种新兴手段方法都层出不穷。你这个时候应该把它叫EDP，这种防护测试就是刚才提到的端点保护测试相关安全产品。通常越大、越复杂的系统会发现整个流程、系统的图表会越来越复杂，甚至比现在动态展示给各位朋友的更加复杂。其实复杂性是两面的，第一，系统作为整体是复杂的。第二，大家理解上面的每一个要素本身自己也是复杂的。所以也就是说整个复杂性涉及两个方面。

用一句话小结刚才之前的几个幻灯片内容，以前叫做防病毒、杀病毒，现在更多的是EDP比它更复杂一些，因为我们增加了端点管控的措施，中间这些跳过，不再给大家赘述。即便是这样，你还会发现那些网络攻击的人也在进步，所以还是会有网络攻击成功。我相信很多朋友都知道，有可能是专业的业内人士帮他，也有可能您企业内部员工帮着他们串谋在一起，还有可能种种其他的原因。我相信大家会同意我，常常发现要取证的时候是最头疼的一件事情，不仅要取证，还要找到解决方案，所以这会是一个问题。

什么是EDR？总结起来有五大功能或者五个最重要的能力。第一个，可以监测出安全事件发生。第二个，进行细致的调查。第三个，把这些放到端点处进行研究。第四个，有没有补救措施或者修补措施？第五个，你希望未来不再发生，还有通过这一次经验教训能够做一些什么样防护的措施？不希望接下来再发生类似的事情。

另外，除了刚刚提到EDR的五大能力以外，提到EDR会想到数据，现在是大数据的时代，想大数据时代的时候会蹦出来几个数据，收集数据、挖掘数据、处理数据。我用了三行并没有全部罗列出来，会处理相关的设备、ID、文件、设置、网络流量、相关扫描、电子邮件过滤器，还有很多相关的各种文件、系统都是涉及到其中的。

当你有了海量数据之后又进行了一部分的处理或者挖掘之后做什么？你要进行组织进一步分析，怎么呈现出数据对你的意义是什么。这中间涉及到搜索能力、过滤能力、分组研究、分组处理能力以及最后要适事发出警报。这个过程是非常的复杂，包括未来是越来越自动化的时代，同样你要考虑这个事情。下一步如何做出积极响应的措施？比如说，继续深挖数据或者是病毒防护措施，最重要的是未来怎么样避免这件事情重复的发生。

第一个，我用词比较简单，想简单的告诉大家，假设一开始的时候网络是干净的、没问题的。给大家解释，一开始干净的意思是两点：（1）系统运行正常。（2）独立，没有外来的入侵。大家知道我讲故事的结局是出现不好的外来的攻击，先把故事的开端跟结局告诉大家。中间有各种可能性，比如说，大家常见的有可能你在使用你电子邮件的时候出现恶意的软件，还有可能你在插优盘的时候不知道怎么回事带来恶意软件，还有服务器出现问题或者是其他恶意的攻击。我想把服务器的问题作为例子详细的讲一下。

刚刚要讲的是服务器的问题，一开始讲系统是干净的、独一无二的，没有外来入侵的。你的网站、服务器联系的非常好，这个时候有坏人来做坏事了。在说这些网络攻击的时候，刚才有提到我们进步的同时他们也在进步。有一些人厉害到什么程度？不需要借助外来的任何设备或者是其他外来的一些技术，他就是我们用英文中转成中文叫做“就地取材”。他入侵了你的系统、入侵了你的网站、你的服务器，在里面溜达一圈之后，他可以利用你里面任何参数或者本身具备的某种性能里面的东西就可以来做一些文章。

这个时候大家通常会怎么做？我猜有些朋友是为某个机构或者是为某一家公司工作的，你的上司或者你本人就是上司，第一件事情是不同的部门决定一下到底发生什么样的入侵。假设您正在使用的是讲的EDR的解决方案，这个时候EDR能帮你做到的事情就是及时、快速的追踪，到底是哪个环节或者是发生了什么样的入侵，在服务器上检查出来。还有识别出来是配置发生了问题，是哪个参数发生问题，是有补丁必须要马上修复等快速的识别出来在做下一步，这个时候把服务器回到故事一开始的时候给大家讲到干净、独立的服务器的样子。

用一个图给大家解释一下，刚才讲的入侵行为是怎么发生的。首先，不管您是主观的怀疑有状况发生，还是您的系统自动的给您发出警报可能有状况发生。我用激光笔指到黄色的位置是它首先的位置。因为您用了EDR，所以管理员第一时间会去关注，而且解决方案会帮助您清晰的看到入侵者是入侵到了哪个位置，是到哪一个步骤以及它整个入侵的路线是怎么样的，你可以清晰的看到，这是第一点。也就是说，做出反映之前找到别人入侵行为的路径。第二点，发出的警报，其实就是EDR的解决方案帮助您收到警报的。

同样EDR怎么样发现网络环境中有不当的行为？现在大家看到的这些设备、机器，有可能您是跟第三方合作的，收到来自于第三方的信息，可能有外来入侵或者是外来不当作为影响到机器运行，这个时候您想了解这一台机器设备中某一个地方发生了什么样的问题，是怎么洋法生的。

我用了比较夸张的图像移动，引起大家的注意。你识别出的是那一台机器或者设备的那一个环节出现问题，这个时候EDR有一个很大的功能，可以帮助您日后的取证。它准确的、精准的识别了定位了，这个时候对于您日后的取证是非常好的基础。它也是跟这个例子或者其他的例子相关的，有一些细节会稍微谈一下。更加复杂，但是又非常容易清晰操作理解的流程是这样的，在上一步之后大家一目了然知道有很多的IP地址，通过地址知道某一台机器怎么样运作，过程中就会精准的追踪到机器发生什么问题，另外遇到问题怎么去打破它，还有更加复杂的流程是怎么处理。

EDR还有一个很大的帮助，它能帮助我们根据现有的状况去设计出一系列的规则。这个规则针对你怎么样更好的去了解识别IP地址，这是针对IP地址规则的例子。这是关键软件的例子，两种情况，第一种是您跟软件开发上的例子，第二种是您跟软件开发上签约的形式。如果大家真的想要了解EDR，并且想要寻求供应商，应该特别看重什么呢？有很多不同的，大概有30多个选择。如果您真的想要考虑，EDR怎么样和您内部的安全战略匹配？

如果您需要做的有以下事情，您的响应的速度也好、措施也好，应该要更好，而且是研发性攻击前提下。如果接下来还有可能发生攻击，甚至你还没有办法识别的这一部分，你也应该把它识别跟找到。如果你想要停止或者是响应攻击的时候，大家考虑到内部是不是有合规部门要处理了。还有风险是不是存在供应链部分等等。接下来您需要知道怎么样在未来防止类似或者这样的事情重复发生，最后你可能要展现你已经做的事情恩避免它发生。假设上面讲的东西都在各位朋友的脑海里面，如果你有这些考量因素的话，那我觉得EDR挺适合您的。

如果您真的想要用EDR，到底最大获益是多少？如果您真的要用EDR，它取决于您本身的企业和组织内部的安全措施成熟度。还有关于不同的组织机构，可能您的科学技术的发展程度也是不一样的。举个例子来说，这里列出来像更好的什么叫成熟的，本身企业安全的措施和安全的项目非常好建立起来，而且还有很好的SOC。另外考虑警报措施、威胁猎杀，还有您在使用EDR的功能是不是来自于非常专注、非常卓越的供应商，它实时更新的，给您的是最新的这些技术解决方案。还有您要考虑资源运用。

如果是成熟的机构和成熟的安全措施，你的很多的安全能力是具备的，包括刚才提到怎么样去甄别出这些威胁，还有怎么样快速做出响应。另外，我们会知道它可能会有一个要求，希望对用户来讲是特别容易使用的。还有你是不是有一些相关的调查、指导方针？另外，是不是整合了现有的安全工具？