目目錄前言 1關(guān)鍵發(fā)現(xiàn) 2定義及描述 3EDR 3精準(zhǔn)EDR 3與傳統(tǒng)終端安全產(chǎn)品的區(qū)別 4EDR需求現(xiàn)狀分析 6傳統(tǒng)產(chǎn)品無(wú)法有效捕獲企業(yè)終端面臨的新威脅 6混合辦公、多分支辦公等場(chǎng)景下的統(tǒng)一終端安全視角缺失 6EDR缺乏全面有效的監(jiān)控記錄數(shù)據(jù)支持 6溯源分析定位缺少高效的技術(shù)手段與數(shù)據(jù)支撐 7僅靠流量安全產(chǎn)品的威脅定位和響應(yīng)無(wú)法閉環(huán) 7行業(yè)用戶場(chǎng)景 83.1分支機(jī)構(gòu)資產(chǎn)納管攻防演練中的攻擊檢測(cè)與快速響應(yīng) 8APT攻擊的檢測(cè)與溯源 8高危安全事件的終端定位與分析 93.4混合辦公、多分支辦公等場(chǎng)景下的威脅感知 9目目錄關(guān)鍵能力 10攻擊檢測(cè)能力 檢測(cè)準(zhǔn)確度 威脅覆蓋度 數(shù)據(jù)采集能力 攻擊溯源分析能力 安全響應(yīng)能力 代表企業(yè) 15COWDSTRIKE ONE 微步在線 未來(lái)展望 22EDR向精準(zhǔn)化、一體化等不同的方向發(fā)展 EDR從自動(dòng)執(zhí)行向自主決策發(fā)展 EDR依然是R中核心重要一環(huán) 不斷提速的信創(chuàng)進(jìn)程需要與之匹配的EDR能力 精準(zhǔn)EDR能力白皮書(shū)?前 言經(jīng)過(guò)近30年的攻防博弈，國(guó)內(nèi)傳統(tǒng)終端安全的需求從最初的防病毒、端管理、安全審計(jì)等，逐步升級(jí)為端點(diǎn)防護(hù)平臺(tái)EPP、終端數(shù)據(jù)防泄漏等綜合解決方案，隨著近年來(lái)國(guó)際形勢(shì)的變化、國(guó)內(nèi)安全演練活動(dòng)的舉辦、機(jī)構(gòu)主安全意識(shí)的普遍提升，端點(diǎn)側(cè)的安全能力需求更加側(cè)重對(duì)安全威脅的檢測(cè)與應(yīng)。由此，端點(diǎn)檢測(cè)與響應(yīng)（ER）應(yīng)需而生。然，國(guó)內(nèi)目前大部分EDR產(chǎn)品及解決方案都是基于傳統(tǒng)PC防病毒或終端管理產(chǎn)品發(fā)展演化而來(lái)，核心能力并非原生滿足檢測(cè)與響應(yīng)的需求。例如，防病毒引擎主要基于病毒特征檢威脅攻擊行為，不具備實(shí)時(shí)威脅情報(bào)的支持，同時(shí)也缺少上下文關(guān)聯(lián)分析的力；終端管理產(chǎn)品則重在管理，雖然在應(yīng)急響應(yīng)場(chǎng)景中具備一定的批量處置力，但是對(duì)威脅的檢出率較弱，安全響應(yīng)的效能化智能化水平也都無(wú)法滿足全團(tuán)隊(duì)的需求。與此同時(shí)，國(guó)際上如CrowdStrike此類以威脅情報(bào)為基礎(chǔ)具備云原生優(yōu)的安全企業(yè)已經(jīng)經(jīng)過(guò)了市場(chǎng)的驗(yàn)證，受到用戶、投資人、同行的多方認(rèn)可。內(nèi)有哪些新興安全企業(yè)也具備這樣的能力特點(diǎn)，各界莫衷一是?；谏鲜霈F(xiàn)狀數(shù)世咨詢認(rèn)為在傳統(tǒng)終端安全能力與檢測(cè)響應(yīng)新需求之間始終缺少一個(gè)以行業(yè)調(diào)研為基礎(chǔ)的EDR報(bào)告對(duì)其做出梳理與闡述。鑒于此，我們協(xié)同國(guó)內(nèi)EDR領(lǐng)域安全廠商微步在線開(kāi)展了為期一個(gè)多月的調(diào)研工作，并在保護(hù)用戶隱私不泄露任何調(diào)研原始數(shù)據(jù)的基礎(chǔ)上，將調(diào)研成果整理成為各位讀者看到的《精準(zhǔn)EDR能力白皮書(shū)》。鑒于時(shí)間緊迫，調(diào)研對(duì)象樣本有限，報(bào)告中難免有遺漏、偏頗之處，請(qǐng)位讀者不吝指正。關(guān)鍵發(fā)現(xiàn)精準(zhǔn)EDR是指基于海量威脅情報(bào)與終端行為分析，以高級(jí)威脅攻擊行為應(yīng)對(duì)目標(biāo)，具備精準(zhǔn)威脅發(fā)現(xiàn)、快速溯源分析、智能響應(yīng)閉環(huán)的EDR解決案。精準(zhǔn)EDR重在精準(zhǔn)，關(guān)鍵能力主要有攻擊檢測(cè)能力、數(shù)據(jù)采集能力、擊溯源分析能力、安全響應(yīng)能力等四個(gè)維度。要構(gòu)建滿足用戶需求的檢測(cè)準(zhǔn)確度，目前在多種可選技術(shù)路線中以“下文關(guān)聯(lián)”最具落地實(shí)踐效果。對(duì)威脅檢測(cè)的覆蓋主要包括基于特征的惡意軟件、覆蓋ATT&CK的IoA、以及包含APT組織在內(nèi)的高質(zhì)量IoC情報(bào)等。agent采集的數(shù)據(jù)需要在終端側(cè)進(jìn)行去重、重組、篩選、標(biāo)簽等操作以最小化原則回傳。精準(zhǔn)EDR進(jìn)行溯源分析的兩個(gè)基礎(chǔ)能力：底層事件的上下文關(guān)聯(lián)、基圖的可視化。精準(zhǔn)EDR的安全響應(yīng)以一定程度的智能化溯源分析作為前置能力“點(diǎn)隔離，阻斷橫移”為基本原則。未來(lái)EDR將向精準(zhǔn)化、一體化、智能化等方向發(fā)展。精準(zhǔn)EDR能力白皮書(shū)?定義及描述EDR端點(diǎn)檢測(cè)與防（EndpointDetectionandResponseEDR是一種采集記錄并存儲(chǔ)數(shù)字空間中機(jī)構(gòu)所擁有的各端點(diǎn)狀態(tài)數(shù)據(jù)與行為數(shù)據(jù)，并對(duì)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，以應(yīng)對(duì)威脅的安全能力。具體包括，分析端點(diǎn)數(shù)據(jù)，檢測(cè)發(fā)現(xiàn)威脅，進(jìn)行隔離、查殺等安全響應(yīng)；對(duì)正在發(fā)生或已發(fā)生的安全事件進(jìn)行追蹤溯源；針對(duì)潛在的風(fēng)險(xiǎn)（如二次攻擊、未修復(fù)漏洞等），基于客戶業(yè)務(wù)需求提供修復(fù)與保護(hù)建議；最終，實(shí)現(xiàn)整個(gè)數(shù)字環(huán)境中對(duì)未知威脅與高級(jí)可持續(xù)威脅的檢測(cè)與響應(yīng)。（注：本定義取自《數(shù)世咨詢：EDR能力指南2021》，有修改）端點(diǎn)的范疇：本報(bào)告中的“端點(diǎn)”若無(wú)特別說(shuō)明，主要是指數(shù)字空間中機(jī)構(gòu)所擁有的辦公電腦、個(gè)人移動(dòng)終端、IoT設(shè)備、網(wǎng)絡(luò)設(shè)備、聯(lián)網(wǎng)打印機(jī)、攝像頭等終端設(shè)備。需要強(qiáng)調(diào)的是，本報(bào)告的端點(diǎn)中不包含物理主機(jī)、虛擬機(jī)、容器等服務(wù)設(shè)備，主機(jī)場(chǎng)景下的檢測(cè)與響，數(shù)世咨詢單獨(dú)以“主機(jī)檢測(cè)與響應(yīng)HDR”進(jìn)行了劃分，詳見(jiàn)《數(shù)世咨詢：主機(jī)檢測(cè)與響應(yīng)HDR能力指南》（2022）。精準(zhǔn)EDR基于上述EDR定義，精準(zhǔn)EDR是指基于海量威脅情報(bào)與終端行為分析，高級(jí)威脅攻擊行為為應(yīng)對(duì)目標(biāo)，具備精準(zhǔn)威脅發(fā)現(xiàn)、快速溯源分析、智能響閉環(huán)的EDR解決方案。圖例1：精準(zhǔn)EDR示意簡(jiǎn)圖與傳統(tǒng)終端安全產(chǎn)品的區(qū)別精準(zhǔn)EDR與終端管理類產(chǎn)品相比（如終端管理、桌面管理）：√產(chǎn)品定位不同，終端管理產(chǎn)品為IT運(yùn)維工程師提供管理上的便捷，而精準(zhǔn)EDR關(guān)注的是黑客攻擊行為，供安全管理員應(yīng)對(duì)威脅使用；√安全能力不同，終端管理產(chǎn)品的安全能力較弱，一般具備弱口令掃描、洞掃描等基本安全能力，精準(zhǔn)EDR要能夠檢測(cè)出高級(jí)威脅攻擊行為；√然兩者并不沖突，精準(zhǔn)EDR主要角色為高級(jí)威脅檢測(cè)與響應(yīng)，并且agent較為輕量，在終端側(cè)的資源占用很小，再基于定位與能力上的不同，因此能夠與用戶原有終端管理產(chǎn)品并存發(fā)揮各自能力。精準(zhǔn)EDR與國(guó)內(nèi)傳統(tǒng)終端安全相比（主要以防病毒為主，包括傳統(tǒng)的EPP、AV在內(nèi)）：√應(yīng)對(duì)目標(biāo)不同，相對(duì)傳統(tǒng)殺毒軟件或病毒防護(hù)產(chǎn)品，精準(zhǔn)EDR更關(guān)注端側(cè)的高級(jí)威脅攻擊行為；精準(zhǔn)EDR能力白皮書(shū)?√基礎(chǔ)架構(gòu)不同，相對(duì)傳統(tǒng)的本地化掃描引擎，精準(zhǔn)EDR采用SaaS模式或者本地化大數(shù)據(jù)架構(gòu)（SaaS模式基于云具備更強(qiáng)的可擴(kuò)展計(jì)算能力），狀態(tài)數(shù)據(jù)行為數(shù)據(jù)的存儲(chǔ)、溯源分析、策略分發(fā)等都在云端，且多為云生架構(gòu)，支持大規(guī)?？蓴U(kuò)展，能夠及時(shí)應(yīng)對(duì)多場(chǎng)景下的不同需求；√檢測(cè)機(jī)制不同，相對(duì)基于特征的匹配機(jī)制，精準(zhǔn)EDR基于海量威脅情報(bào)據(jù)與多種行為方法，對(duì)威脅攻擊行為的事件上下文進(jìn)行關(guān)聯(lián)分析，從而現(xiàn)威脅；√響應(yīng)效果不同相對(duì)傳統(tǒng)的高級(jí)分析師判斷后交由運(yùn)維網(wǎng)絡(luò)等部門響應(yīng)精準(zhǔn)EDR直接具備智能化的端點(diǎn)隔離、橫向阻斷、智能清理攻擊者駐留項(xiàng)等閉環(huán)響應(yīng)能力。√當(dāng)然新型的EPP中也會(huì)不斷融入EDR能力，以國(guó)際為例目前已經(jīng)出現(xiàn)了的R為P以為典型；另一種為傳統(tǒng)EPP廠商通過(guò)研發(fā)或者并購(gòu)整合EDR能力。圖例2：與傳統(tǒng)終端安全產(chǎn)品的區(qū)別EDR需求現(xiàn)狀分析傳統(tǒng)產(chǎn)品無(wú)法有效捕獲企業(yè)終端面臨的新威脅如定義部分所述，防病毒、EPP等傳統(tǒng)終端安全產(chǎn)品基于已知特征庫(kù)、通過(guò)傳統(tǒng)簽名技術(shù)實(shí)現(xiàn)對(duì)惡意文件的檢測(cè)發(fā)現(xiàn)；面對(duì)未知特征惡意文件，雖逐發(fā)展出了“云查殺”、“啟發(fā)式檢測(cè)”等功能，但面對(duì)內(nèi)存馬、無(wú)文件攻擊新型威脅時(shí)，傳統(tǒng)安全產(chǎn)品已無(wú)法有效應(yīng)對(duì)。混合辦公、多分支辦公等場(chǎng)景下的統(tǒng)一終端安全視角缺失新冠疫情客觀上加速了業(yè)務(wù)上云、居家辦公、遠(yuǎn)程協(xié)同等混合辦公、多分支辦公的場(chǎng)景，機(jī)構(gòu)安全團(tuán)隊(duì)需要同時(shí)覆蓋多類型、多屬地的終端安全需求，然而在同時(shí)面對(duì)VPN數(shù)據(jù)中心邊界防護(hù)Web防護(hù)等多個(gè)煙囪式的安全界面時(shí)很易出現(xiàn)疏漏。與此同時(shí)，機(jī)構(gòu)下轄的各分支機(jī)構(gòu)安全建設(shè)投入先后有別，水平不一，人員少經(jīng)驗(yàn)淺安全意識(shí)薄弱是普遍現(xiàn)象，攻擊者一旦進(jìn)入，橫向移動(dòng)內(nèi)網(wǎng)擴(kuò)散暢通無(wú)阻因此往往成為實(shí)網(wǎng)攻防演練中攻擊隊(duì)最常突破的目標(biāo)面對(duì)這種情況統(tǒng)一的終端安全視角成為最迫切需求之一。EDR缺乏全面有效的監(jiān)控記錄數(shù)據(jù)支持要想具備統(tǒng)一的終端安全視角，需要對(duì)終端進(jìn)行監(jiān)控記錄全覆蓋。然而們調(diào)研發(fā)現(xiàn)，目前行業(yè)內(nèi)大部分EDR產(chǎn)品在端側(cè)的數(shù)據(jù)采集能力都較弱?！叭坑涗浗K端上的所有數(shù)據(jù)并不能直接為檢測(cè)或響應(yīng)帶來(lái)更高效助力相反還可能會(huì)占用更多的計(jì)算資源與網(wǎng)絡(luò)資源，影響業(yè)務(wù)連續(xù)性與用戶體驗(yàn)。監(jiān)控記錄數(shù)據(jù)是否有效支撐，要看覆蓋度與精準(zhǔn)度。覆蓋度與精準(zhǔn)度要考慮機(jī)精準(zhǔn)EDR能力白皮書(shū)?構(gòu)用戶的業(yè)務(wù)特點(diǎn)、基礎(chǔ)設(shè)施環(huán)境、安全需求、外部潛在威脅等，有側(cè)重地集所需要的監(jiān)控與記錄數(shù)據(jù)。后文在“關(guān)鍵能力”部分會(huì)有詳細(xì)論述。溯源分析定位缺少高效的技術(shù)手段與數(shù)據(jù)支撐溯源分析定位環(huán)節(jié)也需要數(shù)據(jù)支撐，標(biāo)準(zhǔn)是“高效”，實(shí)現(xiàn)手段是將前提到的端側(cè)采集數(shù)據(jù)，與外部海量的威脅情報(bào)數(shù)據(jù)、基于行為的上下文分析測(cè)技術(shù)三者在EDR平臺(tái)側(cè)進(jìn)行融合，對(duì)端側(cè)提供持續(xù)支撐。這里的價(jià)值在于，溯源分析的過(guò)程目前大多依賴于有經(jīng)驗(yàn)的安全事件分師，在安全重保、實(shí)網(wǎng)攻防演練、或個(gè)別重大高危漏洞爆發(fā)時(shí)，人工分析是必要的，但在日常安全運(yùn)營(yíng)的“告警風(fēng)暴”中，如何通過(guò)技術(shù)手段實(shí)現(xiàn)一定度自動(dòng)化的溯源分析定位，這是安全運(yùn)營(yíng)團(tuán)隊(duì)的另一個(gè)迫切需求。僅靠流量安全產(chǎn)品的威脅定位和響應(yīng)無(wú)法閉環(huán)IPS、NGFW、UTM等流量檢測(cè)類安全產(chǎn)品在應(yīng)對(duì)辦公網(wǎng)中動(dòng)態(tài)IP、NAT場(chǎng)景時(shí)無(wú)法獲取真實(shí)IP進(jìn)而找到對(duì)應(yīng)的終端也無(wú)法關(guān)聯(lián)到對(duì)應(yīng)的員工即便定位到終端，也無(wú)法第一時(shí)間定位到威脅進(jìn)程，常常需要有經(jīng)驗(yàn)的安全程師進(jìn)一步人工排查，排查到威脅進(jìn)程后，如何在不影響業(yè)務(wù)的情況下進(jìn)行源、清除，更加依賴安全工程師的經(jīng)驗(yàn)水平。整個(gè)排查工作下來(lái)很可能攻擊者已經(jīng)完成了橫向移動(dòng)后門植入等動(dòng)作入侵蹤跡也已經(jīng)刪除完畢。因此流量安全產(chǎn)品要與EDR聯(lián)動(dòng)才可能形成有效的威脅定位、響應(yīng)閉環(huán)。行業(yè)用戶場(chǎng)景攻防演練中的攻擊檢測(cè)與快速響應(yīng)應(yīng)對(duì)攻擊隊(duì)的滲透入侵行，EDR能夠提供快速的檢測(cè)定位與響應(yīng)阻斷能力。EDR的檢測(cè)定位能力可以發(fā)現(xiàn)內(nèi)網(wǎng)中爆破、提權(quán)等常見(jiàn)攻擊工具，此外還可以用于發(fā)現(xiàn)憑據(jù)獲取、權(quán)限維持和提升、防御繞過(guò)、內(nèi)網(wǎng)信息收集、隱藏令控制通信等高級(jí)攻擊手法，另外還可以對(duì)內(nèi)網(wǎng)橫移手段中常用的域控攻擊漏洞利用、遠(yuǎn)程服務(wù)爆破等方式進(jìn)行檢測(cè)。EDR的響應(yīng)阻斷能力可以對(duì)失陷終端進(jìn)行快速隔離，同時(shí)將失陷情報(bào)上報(bào)后同步至機(jī)構(gòu)所有關(guān)聯(lián)終端第一時(shí)間做到全網(wǎng)響應(yīng)失陷終端上的攻擊過(guò)程攻擊手法、具體的攻擊動(dòng)作、攻擊進(jìn)程鏈等上下文信息，可用于溯源分析報(bào)告的快速產(chǎn)出。APT攻擊的檢測(cè)與溯源不同于一般的網(wǎng)絡(luò)攻擊，APT攻擊具備團(tuán)伙化、專業(yè)化、武器化等特點(diǎn)。團(tuán)伙化體現(xiàn)在分工明確、團(tuán)隊(duì)協(xié)同；專業(yè)化體現(xiàn)在殺傷鏈的每個(gè)環(huán)節(jié)都有針性的專業(yè)工具，甚至?xí)閱未喂魧ｉT開(kāi)發(fā)專用工具；武器化體現(xiàn)在大量使從未公開(kāi)過(guò)的0day漏洞，或是在黑市上大肆收購(gòu)網(wǎng)絡(luò)攻擊工具，具備軍火賣的特征；此外，APT組織一旦成功入侵，反而會(huì)低調(diào)蟄伏下來(lái)，輕易不做任何動(dòng)作，這也為日常排查帶來(lái)了極大的難度。在這樣的場(chǎng)景中，EDR能夠從終端上抓取APT攻擊檢測(cè)所需的多種行為數(shù)據(jù)包括進(jìn)程注入Playload反射加載進(jìn)程挖空等APT相關(guān)的高階行為事精準(zhǔn)EDR能力白皮書(shū)?此外依托EDR平臺(tái)側(cè)的威脅情報(bào)能力，可以主動(dòng)將APT組織在其他同類目標(biāo)攻擊線索、攻擊手法、攻擊技巧等轉(zhuǎn)為檢測(cè)腳本，實(shí)現(xiàn)反客為主式的檢測(cè)與源。高危安全事件的終端定位與分析“永恒之藍(lán)”之后的每個(gè)周五晚上，安全團(tuán)隊(duì)負(fù)責(zé)人收到安全漏洞預(yù)警都會(huì)心有余悸。因此，應(yīng)對(duì)高危安全事件，第一時(shí)間對(duì)潛在受到影響的終端行定位與分析，是EDR發(fā)揮作用的另一個(gè)主要場(chǎng)景。對(duì)其他安全設(shè)備上發(fā)現(xiàn)的告警，或者EDR本身發(fā)現(xiàn)的潛在風(fēng)險(xiǎn)，ER都可以快速通過(guò)終端行為定位到威脅的進(jìn)程源頭，進(jìn)而通過(guò)終端間的網(wǎng)絡(luò)訪問(wèn)關(guān)確定其關(guān)聯(lián)影響的其他終端。安全管理者可據(jù)此快速下發(fā)響應(yīng)策略，如隔離修復(fù)?；旌限k公、多分支辦公等場(chǎng)景下的威脅感知EDR能夠?yàn)榛旌限k公多分支辦公等場(chǎng)景提供統(tǒng)一的終端安全視角具體來(lái)說(shuō)包括對(duì)不同場(chǎng)景下的辦公終端都能實(shí)現(xiàn)“隨時(shí)隨地”的接入和保護(hù)，保證勒索軟件、釣魚(yú)郵件、APT攻擊、木馬外聯(lián)、惡意軟件等在內(nèi)的多種攻擊手法，都能通過(guò)EDR實(shí)現(xiàn)統(tǒng)一的安全檢測(cè)與響應(yīng)?；诖耍珽DR能夠持續(xù)采集終端行為數(shù)據(jù)，為遠(yuǎn)程終端和分支機(jī)構(gòu)環(huán)境提供持續(xù)的安全評(píng)估，并通過(guò)API和VPN/零信任網(wǎng)關(guān)聯(lián)動(dòng)，及時(shí)阻斷高風(fēng)險(xiǎn)終端入網(wǎng)，從而以統(tǒng)一視角實(shí)現(xiàn)統(tǒng)一檢測(cè)、統(tǒng)一響應(yīng)。關(guān)鍵能力相比傳統(tǒng)終端安全，精準(zhǔn)EDR重在精準(zhǔn)，因此，精準(zhǔn)背后的關(guān)鍵能力主有攻擊檢測(cè)能力、數(shù)據(jù)采集能力、攻擊溯源分析能力、安全響應(yīng)能力等四個(gè)度。攻擊檢測(cè)能力所謂“精準(zhǔn)”，攻擊檢測(cè)要準(zhǔn)，威脅覆蓋要全。檢測(cè)準(zhǔn)確度數(shù)世調(diào)研調(diào)研發(fā)現(xiàn)，在基于特征的匹配檢測(cè)能力之外，想要構(gòu)建更能滿用戶需求的檢測(cè)準(zhǔn)確度，目前在多種可選技術(shù)路線中以“上下文關(guān)聯(lián)”最具地實(shí)踐效果。其邏輯步驟：首先全面記錄終端產(chǎn)生的行為事件，之后將事件按照文件進(jìn)程上下文的方式進(jìn)行關(guān)聯(lián)，構(gòu)建完整的事件關(guān)系鏈/網(wǎng)，然后對(duì)鏈/網(wǎng)中每個(gè)節(jié)點(diǎn)進(jìn)行判定，確定其行為標(biāo)簽，當(dāng)新增事件或關(guān)系鏈時(shí)，對(duì)所有標(biāo)簽行關(guān)聯(lián)分析，從而判斷該事件是否惡意。這里要說(shuō)明的是，事件涉及到的對(duì)象不局限于文件或進(jìn)程，從系統(tǒng)進(jìn)程服務(wù)、接口、消息、命令行、注冊(cè)表、日志等都應(yīng)當(dāng)加以覆蓋（后面在“數(shù)采集能力”部分會(huì)詳細(xì)闡述）。此外，大量關(guān)聯(lián)分析的工作要在端側(cè)和服務(wù)側(cè)分工協(xié)作并加以平衡。端的數(shù)據(jù)采集與傳輸不能影響終端與網(wǎng)絡(luò)性能；服務(wù)側(cè)的標(biāo)簽判定、關(guān)聯(lián)分析作以人機(jī)結(jié)合的方式——例如基于圖論等理論應(yīng)用與機(jī)器學(xué)習(xí)算法等——自化完成。精準(zhǔn)EDR能力白皮書(shū)?關(guān)于檢測(cè)準(zhǔn)確度的標(biāo)準(zhǔn)，用戶需求場(chǎng)景不同，準(zhǔn)確度的標(biāo)準(zhǔn)也不同。實(shí)攻防演練場(chǎng)景下用戶終端上的準(zhǔn)確度更側(cè)重高檢出率，允許一定的誤報(bào)率；于金融、運(yùn)營(yíng)商等關(guān)基行業(yè)業(yè)務(wù)連續(xù)性要求更高的用戶終端場(chǎng)景，準(zhǔn)確度的求則更高，檢出即要求準(zhǔn)確無(wú)誤；其他日常安全運(yùn)營(yíng)場(chǎng)景，根據(jù)實(shí)際情況調(diào)策略。威脅覆蓋度除了檢測(cè)準(zhǔn)確度，另一個(gè)衡量檢測(cè)能力的維度是威脅覆蓋度。覆蓋的威脅主要包括基于特征的惡意軟件、覆蓋ATT&CK的IoA、以及包含APT組織在內(nèi)的高質(zhì)量IoC情報(bào)等。對(duì)惡意軟件的檢測(cè)可以依靠多引擎交叉檢測(cè)進(jìn)行覆蓋技術(shù)上不難實(shí)現(xiàn)對(duì)于甲方用戶和乙方企業(yè)來(lái)講，主要考慮成本和生態(tài)合作；對(duì)于ATT&CK，需要對(duì)框架中的組織、戰(zhàn)術(shù)、技術(shù)、步驟、工具軟件等進(jìn)行體系化的覆蓋，形成針對(duì)性的IoA檢測(cè)能力。對(duì)于高階威脅場(chǎng)景需要重點(diǎn)覆蓋，例如不同的遠(yuǎn)控框架、釣魚(yú)場(chǎng)景、白加黑利用等，形成APT攻擊手法的IoA檢測(cè)能力；此外，海量、準(zhǔn)確的威脅情報(bào)能力要能覆蓋痛苦金字塔模型中哈希、IP、域名、網(wǎng)絡(luò)/主機(jī)部件、工具等多個(gè)維度，高質(zhì)量的IoC威脅情報(bào)是捕獲TTPs的基礎(chǔ)和保障。數(shù)據(jù)采集能力數(shù)據(jù)采集要全一方面覆蓋足夠多的事件類型如前面提到的進(jìn)程服務(wù)接口、消息、命令行、注冊(cè)表、日志等，另一方面每個(gè)事件所采集的屬性也要盡量豐富，為溯源分析研判打基礎(chǔ)。數(shù)據(jù)采集的過(guò)程中要考慮到，不同用戶態(tài)、內(nèi)核態(tài)下不同權(quán)限所接觸到的數(shù)據(jù)有所差別。例如驅(qū)動(dòng)的加載要避免遺漏，對(duì)內(nèi)存馬等高級(jí)威脅攻擊要注采集內(nèi)存狀態(tài)、內(nèi)存活動(dòng)等行為，避免被繞過(guò)。圖例3：精準(zhǔn)EDR數(shù)據(jù)采集精準(zhǔn)EDR能力白皮書(shū)?值得一提的是，采集的數(shù)據(jù)并非全部都要回傳，絕大部分?jǐn)?shù)據(jù)屬于重復(fù)數(shù)據(jù)、靜態(tài)數(shù)據(jù)，它們對(duì)于研判是無(wú)用的，回傳會(huì)占用大量的agent性能與網(wǎng)絡(luò)資源因此需要在終端側(cè)對(duì)采集到的數(shù)據(jù)進(jìn)行去重重組篩選標(biāo)簽等操作以最小化原則回傳。攻擊溯源分析能力精準(zhǔn)EDR對(duì)攻擊事件進(jìn)行溯源分析時(shí)，有兩個(gè)基礎(chǔ)能力要滿足，首先要備底層事件的上下文關(guān)聯(lián)，其次要具備基于圖的可視化。所謂底層事件上下文關(guān)聯(lián)，是指采集事件時(shí)諸多系統(tǒng)進(jìn)程中的行為看似是系統(tǒng)進(jìn)程或正常進(jìn)程，如services.eve、explorer.exe、svchost.exe、winword.exe等，但其實(shí)是惡意文件通過(guò)系統(tǒng)接口、服務(wù)、消息等方式發(fā)起請(qǐng)求實(shí)現(xiàn)的。在采集到這些事件時(shí)，需要加以甄別處理，并結(jié)合上下文，判斷真實(shí)行為?；趫D的可視化，是指將攻擊過(guò)程以知識(shí)圖譜等方式進(jìn)行可視化展示，點(diǎn)突出顯示高風(fēng)險(xiǎn)行為所關(guān)聯(lián)的節(jié)點(diǎn)和邊，這樣即使是普通安全分析師也能速掌握，達(dá)到精準(zhǔn)的攻擊溯源分析能力。圖例4：基于底層事件上下文關(guān)聯(lián)的圖溯源（本圖例由微步在線提供）在上述兩個(gè)能力的基礎(chǔ)上對(duì)攻擊威脅進(jìn)行溯源分析時(shí)可根據(jù)用戶場(chǎng)景結(jié)合ATT&CK框架，制定出若干適用的溯源腳本；還可引入圖分析和機(jī)器學(xué)習(xí)算法，從而達(dá)到一定程度的自動(dòng)化、智能化水平；最后，依托云原生能力，可以將所有數(shù)據(jù)匯總形成一個(gè)基于云的、可大規(guī)模擴(kuò)展的圖形數(shù)據(jù)庫(kù)，從而形成近乎實(shí)時(shí)的可視化、數(shù)據(jù)分析與威脅防護(hù)能力。安全響應(yīng)能力精準(zhǔn)EDR的安全響應(yīng)以一定程度的智能化溯源分析作為前置能力，以“點(diǎn)隔離，阻斷橫移”為基本原則，不同的場(chǎng)景響應(yīng)方式略有不同。在實(shí)網(wǎng)攻防演練場(chǎng)景中，可結(jié)合威脅情報(bào)針對(duì)疑似失陷終端做快速隔離或者通過(guò)策略配置限定其可訪問(wèn)的網(wǎng)絡(luò)范圍，進(jìn)行快速處置。在APT攻擊場(chǎng)景中，可對(duì)全量事件記錄數(shù)據(jù)進(jìn)行回放溯源分析，初步判威脅的攻擊路徑及源頭，然后給出針對(duì)性的處置動(dòng)作建議，或者由經(jīng)驗(yàn)豐富安全分析專家直接從云端下發(fā)響應(yīng)處置動(dòng)作。更精細(xì)的響應(yīng)動(dòng)作上面，除了基本的隔離終端、文件進(jìn)程阻斷等操作，應(yīng)該支持更精細(xì)的響應(yīng)動(dòng)作以支持高級(jí)威脅中的處置這些動(dòng)作包括但不限計(jì)劃任務(wù)和啟動(dòng)項(xiàng)的刪除、賬號(hào)的禁用和刪除、驅(qū)動(dòng)的卸載、頑固病毒木馬的專殺清理等。為了提升響應(yīng)時(shí)效，上述響應(yīng)手段建議以SaaS方式實(shí)現(xiàn)，且所有處置動(dòng)作都應(yīng)可記錄可審計(jì)可檢索。當(dāng)然，這里要說(shuō)明的是，調(diào)研中我們也發(fā)現(xiàn)，面臨重大安全事件時(shí)，用戶普遍認(rèn)為必要的現(xiàn)場(chǎng)應(yīng)急響應(yīng)目前仍然是必不可的。精準(zhǔn)EDR能力白皮書(shū)?代表企業(yè)眾所周知，CrowdStrike作為當(dāng)前終端安全廠商的先進(jìn)代表，其最早期其出眾威脅情報(bào)能力打動(dòng)市場(chǎng)，后通過(guò)EDR產(chǎn)品則使其情報(bào)能力在用戶側(cè)得了充分的發(fā)揮和落地。具體到產(chǎn)品和解決方案層面，不同于傳統(tǒng)基于規(guī)則和簽名的殺毒軟件公司（如Symantec和McAfee），CrowdStrike的EDR解決方案Falcon是一款SaaS模式的終端安全平臺(tái)，無(wú)需重新啟動(dòng)系統(tǒng)和網(wǎng)絡(luò)，輕量級(jí)agent就可以在終端和工作負(fù)載上大規(guī)模部署，也無(wú)需本地硬件與數(shù)據(jù)庫(kù)，管理和置均通過(guò)云端實(shí)現(xiàn)。這些便捷性，是由100%的云原生架構(gòu)帶來(lái)的，如上圖所示。通過(guò)安裝在客戶終端上的單一輕量級(jí)agent將收集來(lái)的數(shù)據(jù)傳輸至云端一數(shù)據(jù)庫(kù)ThreatGraph，基于ThreatGraph，F(xiàn)alcon持續(xù)地收集、處理和實(shí)時(shí)分析所有客戶終端所面臨的的威脅。功能方面，通過(guò)智能優(yōu)先排序、上下文關(guān)聯(lián)、快速搜索等功能，F(xiàn)acnInsight能夠帶來(lái)顯著的效率提升，如下圖所示：同時(shí)在多年的威脅情報(bào)積累與出色的數(shù)據(jù)溯源分析能力形成的“CrowdStrike安全云的支持下其在可視化智能化等方面做的也很出色，精準(zhǔn)EDR能力白皮書(shū)?一個(gè)顯著指標(biāo)是，據(jù)稱其能夠減少90%以上的無(wú)效預(yù)警，避免告警風(fēng)暴；再上完備生態(tài)帶來(lái)的響應(yīng)閉環(huán)能力，安全運(yùn)營(yíng)團(tuán)隊(duì)的整體效率可以得到進(jìn)一步升。市面上對(duì)CrowdStrike產(chǎn)品能力的介紹有很多本報(bào)告不多做贅述總之以優(yōu)異的威脅情報(bào)能力為基礎(chǔ)CrowdStrike又充分利用了云和AI的能力特性如輕量快速部署、大規(guī)模可擴(kuò)展、單事件-全平臺(tái)學(xué)習(xí)與更新等，使其能夠在海量威脅事件中快速精準(zhǔn)發(fā)現(xiàn)會(huì)真正影響用戶的真實(shí)潛在威脅，這讓它在終端側(cè)的快速檢測(cè)與響應(yīng)場(chǎng)景中獲得了普遍高于同行的客戶評(píng)價(jià)。SENTINESentinelOne公司成立于2013年，總部位于美國(guó)加州的帕洛阿爾托市，公司的產(chǎn)品使用人工智能技術(shù)自動(dòng)化識(shí)別企業(yè)網(wǎng)絡(luò)中的異常行為，保護(hù)用戶端設(shè)備免受網(wǎng)絡(luò)安全漏洞的侵害。SentinelOne的主打產(chǎn)品是基于人工智能的XDR奇點(diǎn)平臺(tái)（SingularityPlatfor）。該產(chǎn)品將終端防護(hù)、云端安全、事件響應(yīng)、攻擊面管理、甚ITDR等集中在一個(gè)平臺(tái)中，為企業(yè)所有的互聯(lián)網(wǎng)接入點(diǎn)提供保護(hù)，包括筆記本電腦和臺(tái)式機(jī)，以及各種云設(shè)備、數(shù)據(jù)中心和物聯(lián)網(wǎng)設(shè)備等，防止它們受惡意軟件、腳本攻擊以及其他的危害。就本報(bào)告所關(guān)注的EDR場(chǎng)景而言，SentinelOne的能力特點(diǎn)有AI驅(qū)動(dòng)的威脅防護(hù)與檢測(cè)、實(shí)時(shí)的攻擊面管理、基于ATT&CK的自動(dòng)化快速響應(yīng)等。其能力特點(diǎn)與其他安全軟件最大的不同之處是，其他安全軟件需要把監(jiān)測(cè)數(shù)據(jù)上傳到云端進(jìn)行分析，同時(shí)也依賴人工處理監(jiān)測(cè)預(yù)警并采取應(yīng)對(duì)措施，SentinelOne則推崇用機(jī)器對(duì)抗機(jī)器，略去大量的人工判斷轉(zhuǎn)而采用自動(dòng)化監(jiān)測(cè)從而大幅度減少錯(cuò)誤判斷。雖然效果仍需要驗(yàn)證，但在筆者看來(lái)，自動(dòng)化監(jiān)測(cè)確實(shí)可以帶來(lái)至少2好處：一是可以解放人工的關(guān)注度，使安全團(tuán)隊(duì)可以把精力集中在更為關(guān)鍵風(fēng)險(xiǎn)點(diǎn)上；二是略去人工參與后，響應(yīng)速度最快可以到毫秒級(jí)別，一旦監(jiān)測(cè)有安全威脅，平臺(tái)就可以快速采取措施進(jìn)行處理。因此要達(dá)到這個(gè)目標(biāo)，SentielOne的人工智能引擎是部署在用戶的本精準(zhǔn)EDR能力白皮書(shū)?地化終端側(cè)或云端平臺(tái)的，能在沒(méi)有云端服務(wù)器的情況下運(yùn)行?？吹贸鰜?lái)，SentinelOe相信將其設(shè)備、云服務(wù)和AI融合在一起，能夠比現(xiàn)場(chǎng)或云原生服務(wù)更快地響應(yīng)威脅（毫不避諱且有針對(duì)性地對(duì)標(biāo)CrowdStrike，其官網(wǎng)上甚至專門有與各個(gè)友商EDR的正面對(duì)比）。除了理念上的不同，功能方面SentinelOne也有一些亮點(diǎn)，例如它支持將實(shí)時(shí)的上下文以時(shí)間線的方式進(jìn)行可視化展示，再例如針對(duì)勒索軟件，SentinelOne具備“一鍵回滾”功能，使系統(tǒng)能夠自動(dòng)將自身重置為以前的某個(gè)狀態(tài)。總體而言，即便有市值最高的網(wǎng)絡(luò)安全公司CrowdStrike在前，與之對(duì)的這家成立于以色列的公司SentinelOne仍然亮點(diǎn)多多，鮮明地走出了自己創(chuàng)新技術(shù)路線。資本市場(chǎng)對(duì)其也是青睞有加，2021年IPO時(shí)超過(guò)在2019年創(chuàng)下的初始估值67億美元的紀(jì)錄，以88億美元成為歷史上價(jià)值最高網(wǎng)絡(luò)安全股IPO。但就核心能力而言，其短板也是很明顯的，即威脅情報(bào)的能力在客戶側(cè)普遍反應(yīng)不如CrowdStrike，這大大影響了SentinelOne在市場(chǎng)執(zhí)行層面的表現(xiàn)。因此，只有首先解決客戶最在意的核心訴求——精準(zhǔn)發(fā)現(xiàn)威脅，之后的動(dòng)化響應(yīng)才更有價(jià)值。微步在線2022年微步在線進(jìn)行了品牌升級(jí)，品牌升級(jí)背后是安全能力的升級(jí)。以威脅情報(bào)為基礎(chǔ)優(yōu)勢(shì)能力，全面覆蓋了端點(diǎn)、流量、邊界、云端等多個(gè)維度的安全能力。這一點(diǎn)與CrowdStrike是發(fā)展路徑是相類似的。就本報(bào)告所關(guān)注的EDR場(chǎng)景，微步在線對(duì)應(yīng)的產(chǎn)品為OneSEC，功能覆蓋事前事中事后全流程其能力主要包括攻擊面收斂?jī)?nèi)存檢測(cè)行為檢測(cè)溯源分析、智能響應(yīng)等。與前面兩家代表企業(yè)相比，微步在線OneSEC既具備CrowdStrikeFalcon的云原生架構(gòu)與威脅情報(bào)優(yōu)勢(shì)，又具備SentinelOne奇點(diǎn)平臺(tái)的攻擊面管理與AI驅(qū)動(dòng)能力，因此可以同時(shí)在檢測(cè)準(zhǔn)確度、威脅覆蓋度、數(shù)據(jù)采集、溯源分析、快速響應(yīng)等關(guān)鍵能力點(diǎn)上滿足“精準(zhǔn)”要求。此外，結(jié)合國(guó)內(nèi)重保與網(wǎng)攻防演練等本土化場(chǎng)景，微步在線還提供了專殺工具以及資產(chǎn)梳理、終端管等本地化安全運(yùn)營(yíng)服務(wù)。精準(zhǔn)EDR能力白皮書(shū)?值得一提的是，微步在線OneSEC具備出色的威脅狩獵能。正如“關(guān)鍵能力部分所描述的以底層事件的上下文關(guān)聯(lián)為基礎(chǔ)通過(guò)圖的可視化能力微步在線OneSC能夠顯著提高威脅檢測(cè)的精準(zhǔn)度，也使普通的安全工程師能夠快速溯源，找出攻擊源頭，實(shí)現(xiàn)快速響應(yīng)，達(dá)到高級(jí)安全工程師的效果。未來(lái)展望EDR向精準(zhǔn)化、一體化等不同的方向發(fā)展不同行業(yè)不同場(chǎng)景對(duì)EDR的差異化需求，未來(lái)會(huì)影響EDR向著不同的方發(fā)展。本報(bào)告所討論的精準(zhǔn)EDR，用戶群體主要為關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)用戶，其終端數(shù)量在數(shù)萬(wàn)到數(shù)百萬(wàn)不等，終端側(cè)的攻擊暴露面較廣，且以高級(jí)威脅測(cè)與響應(yīng)為主要需求。終端數(shù)量較多且以安全管理為主要需求，同時(shí)高級(jí)威脅檢測(cè)需求相對(duì)較的用戶，需要的是整體終端安全解決方案，在此類需求的推動(dòng)下，EDR逐漸演變?yōu)椤耙惑w化終端安全”解決方案。EDR從自動(dòng)執(zhí)行向自主決策發(fā)展雖然多種機(jī)器學(xué)習(xí)技術(shù)都已在網(wǎng)絡(luò)安全領(lǐng)域得到應(yīng)用但目前EDR的檢測(cè)響應(yīng)都需要以積累的海量威脅情報(bào)為基礎(chǔ)。因?yàn)橐坏┳采线@些簽名，幾乎可以確定攻擊，省去大量的關(guān)聯(lián)分析工作，“自動(dòng)執(zhí)行”阻斷響應(yīng)，因此威脅情報(bào)簽名仍然是檢測(cè)已知威脅的關(guān)鍵基線。在這一基礎(chǔ)上，接下來(lái)EDR將向“自主決策”發(fā)展，即通過(guò)人工智能技將創(chuàng)造性思維從耗時(shí)的自動(dòng)執(zhí)行操作任務(wù)中解放出來(lái)，例如更多關(guān)注在檢測(cè)級(jí)威脅時(shí)的上下文關(guān)聯(lián)分析、威脅處置優(yōu)先級(jí)排序等，針對(duì)不同風(fēng)險(xiǎn)自主決采用不同的控制措施（如隔離可疑文件或要求用戶重新驗(yàn)證），逐步提高安運(yùn)營(yíng)效率、降低威脅風(fēng)險(xiǎn)。也有像SentinelOne這樣的安全企業(yè)，把EDR