© 北京数字世界咨询有限公司 2023.2 精准 EDR 能力白皮书© 北京数字世界咨询有限公司 2023.2精准 EDR 能力白皮书　　2020 年，数世咨询首创网络安全三元论，后进化为“数字安全三元论”，该理论由信息技 术、网络攻防、业务应用三个支点与数据安全这个核心构成，其中： ● 信息技术是数字安全工作开展的基础，不清楚资产，何谈保护？没有网络，就没有网络安全； ● 网络安全的伴生、服务和对抗本质，决定了它将永远的场景化、碎片化和动态化； ● 业务应用既是信息技术与网络攻防的成本来源，也是两者最终的价值所在。 　　数字世界 　以网络连接为基础，以数据流动释放价值，以人工智能塑造未来。 　　数字安全 　以网络安全为基本手段，以数据安全为核心目的，支撑数字经济的健康发展和 　　　　　　　国家社会的和谐稳定。 　　数字世界，安全共生！ 　　数世咨询作为国内独立的第三方调研咨询机构，为监管机构、地方政府、投资机构、网安 企业等合伙伙伴提供网络安全产业现状调研，细分技术领域调研、投融资对接、技术尽职调查、 市场品牌活动等调研咨询服务。 报告编委 　　主笔分析师 刘宸宇 　　首席分析师 李少鹏 　　分析团队： 数世智库 数字安全能力研究院 版权声明 　　本报告版权属于北京数字世界咨询有限公司（以下简称数世咨询）。 　　任何转载、摘编或利用其他方式使用本报告文字或者观点，应注明来源。 　　违反上述声明者，数世咨询将保留依法追究其相关责任的权利。目　录 前言　………………………………………………………………………………… 1 关键发现 …………………………………………………………………………… 2 1　定义及描述 …………………………………………………………………… 3 　　1.1　EDR ………………………………………………………………………………… 3 　　1.2　精准 EDR ………………………………………………………………………… 3 　　1.3　与传统终端安全产品的区别 ……………………………………………… 4 2　EDR 需求现状分析 …………………………………………………………… 6 　　2.1　传统产品无法有效捕获企业终端面临的新威胁　……………………… 6 　　2.2　混合办公、多分支办公等场景下的统一终端安全视角缺失 …… 6 　　2.3　EDR 缺乏全面有效的监控记录数据支持 ……………………………… 6 　　2.4　溯源分析定位缺少高效的技术手段与数据支撑 ……………………… 7 　　2.5　仅靠流量安全产品的威胁定位和响应无法闭环 ……………………… 7 3　行业用户场景 　……………………………………………………………… 8 　　3.1　分支机构资产纳管攻防演练中的攻击检测与快速响应　…………… 8 　　3.2　APT 攻击的检测与溯源　……………………………………………………… 8 　　3.3　高危安全事件的终端定位与分析　………………………………………… 9 　　3.4　混合办公、多分支办公等场景下的威胁感知　………………………… 9目　录 4　关键能力　………………………………………………………………………10 　　4.1　攻击检测能力　…………………………………………………………………　10 　　　　4.1.1　检测准确度　…………………………………………………………　10 　　　　4.1.2　威胁覆盖度　…………………………………………………………… 11 　　4.2　数据采集能力　………………………………………………………………… 11 　　4.3　攻击溯源分析能力　…………………………………………………………… 13 　　4.4　安全响应能力　………………………………………………………………… 14 5　代表企业 　…………………………………………………………………… 15 　　5.1　CROWDSTRIKE　 ……………………………………………………………… 15 　　5.2　SENTINELONE　 ……………………………………………………………… 17 　　5.3　微步在线　………………………………………………………………………… 19 6　未来展望　…………………………………………………………………… 22 　　6.1　EDR 向精准化、一体化等不同的方向发展　………………………… 22 　　6.2　EDR 从自动执行向自主决策发展　……………………………………… 22 　　6.3　EDR 依然是 TDR 中核心重要一环　……………………………………… 23 　　6.4　不断提速的信创进程需要与之匹配的 EDR 能力　…………………… 23• 精准 EDR 能力白皮书 •1前　言 　　经过近30年的攻防博弈，国内传统终端安全的需求从最初的防病毒、终 端管理、安全审计等，逐步升级为端点防护平台EPP、终端数据防泄漏等综合 解决方案，随着近年来国际形势的变化、国内安全演练活动的举办、机构主管 安全意识的普遍提升，端点侧的安全能力需求更加侧重对安全威胁的检测与响 应。 　　由此，端点检测与响应（EDR）应需而生。然而，国内目前大部分EDR产 品及解决方案都是基于传统PC防病毒或终端管理产品发展演化而来，核心能 力并非原生满足检测与响应的需求。例如，防病毒引擎主要基于病毒特征检测 威胁攻击行为，不具备实时威胁情报的支持，同时也缺少上下文关联分析的能 力；终端管理产品则重在管理，虽然在应急响应场景中具备一定的批量处置能 力，但是对威胁的检出率较弱，安全响应的效能化智能化水平也都无法满足安 全团队的需求。 　　与此同时，国际上如 CrowdStrike 此类以威胁情报为基础具备云原生优势 的安全企业已经经过了市场的验证，受到用户、投资人、同行的多方认可。国 内有哪些新兴安全企业也具备这样的能力特点，各界莫衷一是。 　　基于上述现状， 数世咨询认为在传统终端安全能力与检测响应新需求之间， 始终缺少一个以行业调研为基础的 EDR 报告对其做出梳理与阐述。鉴于此，我 们协同国内 EDR 领域安全厂商微步在线开展了为期一个多月的调研工作，并在 保护用户隐私不泄露任何调研原始数据的基础上，将调研成果整理成为各位读 者看到的《精准 EDR 能力白皮书》。 　　鉴于时间紧迫，调研对象样本有限，报告中难免有遗漏、偏颇之处，请各 位读者不吝指正。2 关键发现 　　●精准 EDR 是指基于海量威胁情报与终端行为分析，以高级威胁攻击行为 为应对目标，具备精准威胁发现、快速溯源分析、智能响应闭环的 EDR 解决方 案。 　　●精准 EDR 重在精准，关键能力主要有攻击检测能力、数据采集能力、攻 击溯源分析能力、安全响应能力等四个维度。 　　●要构建满足用户需求的检测准确度，目前在多种可选技术路线中以“上 下文关联”最具落地实践效果。 　　●对威胁检测的覆盖主要包括基于特征的恶意软件、覆盖ATT&CK的 IoA、以及包含 APT 组织在内的高质量 IoC 情报等。 　　●agent 采集的数据需要在终端侧进行去重、重组、筛选、标签等操作， 以最小化原则回传。 　　●精准 EDR 进行溯源分析的两个基础能力：底层事件的上下文关联、基于 图的可视化。 　　●精准EDR的安全响应以一定程度的智能化溯源分析作为前置能力， 以 “单 点隔离，阻断横移”为基本原则。 　　●未来 EDR 将向精准化、一体化、智能化等方向发展。