数字时代 EDR 技术发展趋势 2 1. 背景概述 安 全 形 势 高 危 ：随 着 5G、 云计算、 大数据和人工智能的持续发展， 信息化、 智能化 已经渗透到社会发展的方方面面， 网络空间的概念和范围得到前所未有的拓展。 政府和企业信息化建设朝着高层次、 多维度、 立体化的方向发展， 网络安全边界持续 扩大， 安全形势也越来越复杂。 与此同时， 网络空间的攻击面随之延伸和拓展， 网络 空间攻防双方信息的不对称性现象愈发明显。 伴随着攻防对抗态势的升级， 自动化、 智能化技术与攻防技术的融合已成为网络安全技术发展的必然趋势之一， 在数以亿计 的终端上的安全防护变得越来越急迫， 我们面临的是传统安全与高级威胁并存的防 护环境。 业 务 环 境 复 杂 ：在 当 前 及 未 来 的 智 能 化 社 会 ，数 据 资 产 的 安 全 变 得 尤 为 重 要 ，而 政 企 用户大量有价值的生产及业务数据早已成为有组织网络犯罪的重点目标。 同时， 在 新冠疫情的冲击下， 远程办公变得越来越普遍， 用户会使用各类终端远程访问企业 网络， 企业既要保护终端安全， 防止终端被攻击和突破， 又要允许用户使用多种类型 终端访问企业内部网络， 并且要保证最小化的影响用户体验， 这意味着企业的数据 和人已经走出了企业的传统边界， 使得企业的数据安全和网络安全的防护变得越来 越复杂。 国 际 形 势 严 峻 ：近 年 来 ，网 络 空 间 领 域 的 斗 争 已 经 是 大 国 博 弈 的 焦 点 ，网 络 战 愈 演 愈烈， APT 攻 击 活 动 大 幅 增 加 ，仅 2021 年 上 半 年 ，全 球 公 开 APT 相关报告约 500 篇， 涉及APT 组织达 90个， 攻击目标涉及政府、 国防军工、 核工业、 科研、 医疗、 金融等 诸 多 行 业 。中 国 仍 是 APT 攻击的主要受害者， 针对我国的攻击持续上升， 其中政府 ， 教育和国防军工等相关单位是重点被攻击目标。 APT 攻击具有针对性强、 组织严密、 持续时间长、 隐蔽性高、 采用技术手段先进等多 种特征， 检测相关的攻击给安全行业带来很大的挑战。 对于攻击者而言， 内网终端和 主机既可以作为被攻击目标， 也可以作为攻击的跳板。 同时勒索病毒和 APT 结合的攻 击方式也开始逐渐显现， 外加新冠疫情冲击下直接带来的以聚焦远程办公为突破口 ， 围绕新冠疫情话题攻击， 针对医疗行业窃取抗疫情报的 APT 威胁也开始愈演愈烈。数字时代 EDR 技术 发展趋势 数字时代 EDR 技术发展趋势 2 Gartner 的调研报告 2021 年端点安全的 技术成熟度曲线 16 关于360政企安全集团 38 《数字时代 EDR 技术发展趋势》 由奇虎发布。 由奇虎提供的编辑内容与 Gartner 的分析结果相互独立。 Gartner 的所有调研报告的版权均为 Gartner, Inc. 所有。 © 2022 Gartner, Inc. 保留所有权利。 所有 Gartner 资料在本出版物中的使用均已获得 授 权 。使 用 或 者 发 布 Gartner 调研报告并不表示 Gartner 认可奇虎的产品和 /或 战 略 。未 经 Gartner 事先书面许可， 不得以任何形式复制或分发本出版物。 本出版物中包含的信息均取自公认的可靠来源。 Gartner 不对此类信息的准确性、 完整性或 适当性做出任何保证。 并且不对此类信息中的错误、 遗漏或不适当承担任何责任， 也不对此类信息的任何解读承担任何责任。 此处表明的观点随时可能更改， 恕不另行通知。 虽然 Gartner 调研报告可能会讨论相关的法律问题， 但 Gartner 并不提供 法律建议或法律服务， 不应将其调研报告解释为或用作法律建议或法律服务。 Gartner 是一家上市公司， 其股东拥有的公司或基金可能与 Gartner 调研报告中涉及的实体有财务利益关系。 Gartner 的董事会成员可能包括这些公司或基金的高级管理 人员。 Gartner 调研报告是由其调研机构独立完成的， 并没有受到这些公司、 基金或其管理人员的介入或影响。 如需了解 Gartner 调研报告的独立性和完整性的详细信息， 请参阅其网站上的 “独立性和目标的指导原则 ”。3 3 技术挑战升级： 传统的终端安全解决方案 EPP是基于已 知风险产出的文件特征库和规则库， 仍然属于反病毒 的技术范畴， 无法用于检测未知风险。 不同于传统的签 名检测或启发式技术， EDR 通过观察攻击行为将检测 技术提升到新的层次， 能真正解决终端安全所面临的 APT 、0day 和勒索病毒等各类高级威胁， 做到事前预 防、 事中检测和事后修复， 是面向未来的终端安全解决 方案。 EDR 主要通过提供安全事件的完整可视来检测和防范 未知风险。 通常攻击者潜入到企业网络内部后会持续 很长一段时间， 其攻击手法比较隐蔽， 企业一般很难直 接检测到其攻击行为， 更难形成有效的攻击告警机制。 为了更好地解决这种问题， EDR 采用了记录攻击者行为 和系统事件的方式， 所有行为信息都会被完整地记录下 来， 整个安全事件从发生了什么、 如何发生、 到如何修 复等所有环节信息都会被完整地记录并以图形化方式 展示出来。随着我国网络安全形势的发展变化， 尤其是 2018 年 “永恒之蓝 ”勒索病毒的肆虐， 让业界更加重视新攻击 方式带来的安全技术挑战， EDR 产品也迎来了发展的 热潮。 360 作为终端安全产品的引领者， 拥有 17年终 端安全攻防对抗经验， 积累了海量的全网安全大数据， 历经十余年与各种木马、 各类 APT 家 族 的 攻 防 实 战 ，持 续打磨终端的恶意行为检测和响应能力， 积累了全面 细致的终端行为检测技术， 在产品效果上打造了行业 标杆。 2. 国际标准 EDR 是现阶段在终端安全和风险管理领域最成熟、 应 用范围最广泛的安全解决方案， 能有效防止终端被攻 击和突破， 保证远程访问安全。 但同时面临的挑战也在 持续不断加大， 一方面是随着勒索病毒、 无文件攻击和 鱼叉攻击等攻击方法和复杂性的持续提升； 另一方面 是突然增多的远程办公访问场景， 因此安全防护需要 以更创新的方式来应对这些高级威胁。EDR 解决方案要能够提供安全事件检测， 安全事件调 查， 抑制终端利用， 以及提供安全修复能力。 作为总体 安 全 防 御里 必 不可少的关 键部分， EDR 要能够识别异 常和恶意的行为， 展示出高级威胁的技战术细节， 同时 能够采取及时措施有效应对。 EDR 必须能够分析用户、 进程、 网络、 驱动和配置等 系统行为的变化。 EDR 非常关键的能力之一就是做 好 安 全 事 件 关 联 ，理 想 的 EDR 能够自动响应， 自动回滚 安全事件造成的影响， 能够自动化集成其他安全工具 协同分析安全事件。 部署模式上， 优先云端部署， 同时 也支持客户侧私有化部署， 为了有效应对越来越复杂 的高级威胁， EDR 需要部署在所有托管的终端和服务 器上。 图1 2021年端点安全的技术成熟度曲线1 1 Gartner Inc. ，2021 年端点安全的技术成熟度曲线， 2021 年8月11日，G007474124 3. EDR 演进方向 3.1 必要能力 EDR 通过实时监测端点上发生的各类行为， 采集端点 运行状态， 在后端通过大数据安全分析、 机器学习、 沙 箱分析和行为分析等技术， 提供深度持续监控、 威胁 检 测 、高 级 威 胁 分 析 、调 查 取 证 、事 件 响 应 处 置 和 追 踪 溯源等功能， 及时检测并发现恶意活动， 其中包括已知 和 未 知 威 胁 ，并 快 速 智 能 地 做 出 响 应 ，全 面 赋 予 端 点 主 动、 积极的安全防御能力。 其从预测、 防护、 检测和响 应四个维度， 实现持续性安全防护， 贯穿安全威胁事件 的整个生命周期。 从中可以清晰的看出， EDR 产品不可缺少的必要能力 是： 大数据存储及处理能力、 安全分析能力和安全专家 能力。 1） 具备大数据存储及处理能力： 安全大数据是支撑构 建覆盖面足够广、 精确度足够高的检测防御模型， 以及 发现攻击者痕迹的必要基础。 大数据的存储及处理能 力， 核心目标是不丢失终端安全相关的重要数据， 并通 过分析原始终端安全数据而形成全局的、 缜密的、 连贯 的 攻 击 视 图 。在 EDR 中， 端点采集的各类安全行为数据 是终端安全防御、 检测和响应的核心依据， 是应对 APT 攻击的重要手段。 通过对多维度高质量的大数据进行 自动化和智能化的关联分析和运营， 可以追溯攻击过 程， 寻找漏洞源和攻击源， 是有效防御和确保终端安全 的有效途径和方法。 2） 具备安全分析能力： 需要有各种安全检测分析技术， 能对海量多异构数据进行分析， 同时结合全网 APT 情报， 确保各类威胁全面可视。 由于高级威胁攻击的蛛 丝马迹往往隐蔽在常规软件运行的类似行为当中， 因此 检测需要对终端海量数据进行安全分析， 需要具备对 历史数据的反复检测能力， 这些都要求产品具备极强 的大数据运算能力。 针对 APT 攻击的极强持续性和阶段 性， 关联分析过程中应尽量收集各层面、 各阶段的全方 位数据， 同时适量将时间窗口拉大， 通过宽时间域数据 分析提取具有内在关联的若干属性， 识别出攻击发生的 时间、 地点、