很多企业视终端检测与响应 (EDR) 为数据泄露主要防御手段。2012 年，EDR 作为单独的一类安全产品出现，并很快被认为是漏洞利用、零日恶意软件和无文件攻击等新型威胁的有力响应，补充了传统杀毒软件 (AV) 在这方面的弱势。

虽说 EDR 应对当今多种高级威胁的有效性毋庸置疑，但新型“下一代 EDR”解决方案已浮出水面，不仅拥有全部 EDR 功能，还能抵御 EDR 未覆盖的主要攻击途径，比如那些涉及用户和网络的攻击。

Cynet（一种下一代 EDR 解决方案）共同创始人 Eyal Gruner 解释道：很多人都无意识地搞混淆了两种不同的东西——终端防护和数据泄露防护。

没错，很多攻击始于终端，涉及恶意文件与恶意进程，使 EDR 成为了终端防护的完美解决方案。但实际攻击界面远比终端广阔，你要保护的不仅仅是终端，而是你的公司。

Gruner 白帽黑客出身（从 15 岁就开始了），还创办了以色列最大的网络安全咨询公司 BugSec。如今，他是世界闻名的攻击工具、技术及实践专家。

可以这么想：攻击者的动作必然会产生某种异常。而我们理解的‘正常行为’是不包含染指资源和盗取数据的。这些异常就是安全产品或者说威胁分析师的锚点，用以识别正在发生的不良情况并封锁之。

Gruner 称，这些异常可在三个核心的地方看到——进程执行、网络流量或用户行为。比如说，勒索软件会产生进程执行异常，因为会出现一个尝试与大量文件交互的进程。

另一方面，多种横向移动包含网络流量异常，以超高服务器消息块 (SMB) 流量的形式呈现。与之类似，当攻击者以被盗用户账户凭证登录关键服务器时，唯一的异常存在于用户行为中。两种情况下，仅仅监视进程是无法发现攻击的。

Gruner 表示，EDR 可以很好地防御那些可通过进程异常加以识别的攻击。该工具驻守终端，监视进程行为，形成对此类威胁的有效防护。但其他类型的威胁呢？有很多主流攻击方法在网络流量和用户行为层面操作，不会触发丝毫过程异常，EDR 对此完全失明。

为更好地理解该问题，我们不妨从攻击者的角度来看。攻击者已成功入侵一台终端，正在衡量怎样进一步浸染整个环境，访问并渗漏敏感数据。要完成这一任务还有几个必要的步骤要做。我们以凭证窃取为例。

高权限凭证是访问环境中资源的基础。攻击者可能尝试从已入侵终端的内存中转录出这些凭证。因为该举动会引发进程异常，EDR 可以捕获到该入侵动作。

然而，密码散列值也可以通过拦截内部网络流量（利用地址解析协议 (ARP) 中毒或域名系统 (DNS) 响应器）获取。这种拦截动作只有通过监视网络流量异常才能探知，而 EDR 会完全漏掉这一异常。

Gruner 表示，以自己的经验，厉害的攻击者通常能快速摸清目标都设置了哪些防御措施，然后采取相应的规避和攻击动作。如果发现设置了良好的 EDR，攻击者会换用针对网络和用户领域的技术，在EDR 检测不到的地方肆意操作。

所以，如果你想要的是安全技术栈中有个组件能够防护基于进程的攻击，比如恶意软件、漏洞利用程序等，那 EDR 就能满足你的需求。但如果你寻求的是防止数据泄露，你就得考虑更多东西了——这正是我们创建 Cynet 360 的初衷。

Cynet 360 持续监视进程、网络流量和用户行为，全方位覆盖当今高级攻击中所用各种攻击方法。也就是说，包含全部 EDR 功能，并扩展和集成了用户行为分析和网络分析，补充了健壮的诱骗层——可使操作人员能够植入充当诱饵的数据文件、密码、网络共享等，诱骗攻击者暴露自身。

而且，Cynet 提供的远不止增值那么简单。Gruner 称：不仅仅是基于进程的威胁+基于网络的威胁+基于用户的威胁。攻击者越高端，就越精于隐藏自身及其行为。所以，很多攻击仅靠观测进程或流量或用户行为根本无法发现。

只有通过综合这些信号形成上下文，你才可以看出有恶意事件发生。Cynet 360 自动化该上下文创建过程，揭示其他方法发现不了的多种威胁。

Gruner 总结道：没有哪种防护措施是 100% 无缺口的，但你必须扼守所有主要通路。攻击者能够绕过它们吗？答案是 “能”，只要他们技术够高、决心够大、资源够丰富。但如果你监视所有主要异常路径，就能迫使他们前进得异常艰难——难到足以令他们中大多数人无功而返。

EDR 是个神奇的东西，这正是 Cynet 360 纳入其所有功能并加以扩展和补充的原因所在。EDR 自身不足以提供完备的数据泄露防御，所以我们给 Cynet 360 配齐了欠缺的其他功能。

Cynet 下一代 EDR：

https://www.cynet.com/next-generation-edr/?utm_source=thn