你以为你以为的EDR就是EDR嘛？杀软edr终端安全

你发现没，现在各种所谓的EDR产品，已经“烂大街”了。

EDR到底是啥？从字面理解就是端点检测与响应（EndpointDetectionandResponse）。

虽然字面好理解，而且“烂大街”，但竟然还有很多人，甚至是圈内人，对EDR存在巨大误解！

01、这些年，我们对EDR的巨大误解~

以下这些场景，你可能似曾相识↓

▌场景一：

去见大甲方时，甲方领导抱怨说：我们现在的杀毒软件不大好用，装了还中毒，听说EDR更好用，给我们升级成EDR吧。

的确，在不少甲方客户眼里，EDR就是增强版的大号杀毒软件，查杀病毒更NB，分分钟让你给他升级。

▌场景二：

在技术峰会上，某安全大咖布道，畅谈终端安全发展史：终端安全经历了三个发展阶段，杀软、终端安全管理EPP、EDR，现在是EDR的时代。

▌场景三：

技术交流会上，某安全公司售前这样向客户介绍自家产品：我司EDR客户端内置了下一代引擎，可以实时监测终端已知和未知威胁，并能和云端联动。

下一代引擎，基于AI的文件监测…，Wow，真是不明觉厉呀！赶紧备好预算来一套吧。

怎么样，是不是都是熟悉的味道，甚至颇有几分道理？

不不不，其实这些都是对EDR巨大的误解！再这么用，会被笑掉大牙的。

02、EDR绝不是大号杀毒，人家是干大事的！

我们必须要认清以下事实↓↓↓

EDR不是大号杀毒软件，并不能替代杀毒软件。

EDR并不会在客户端上内置一个病毒库，无法查杀恶意文件。

但是，如果有恶意文件绕过了杀毒软件的监管，在系统里干了“不可描述”的坏事，却能够被EDR发现。

EDR也不是桌管平台，并不能对电脑上的外设、端口、软件的违规使用进行管控。

但EDR却能发现终端因为各种违规操作而带来的威胁，并及时提醒管理者进行纠正和防范。

比如因为某个USB口滥用或者非法外联，产生了威胁和入侵，会被EDR即时发现并定位。

这么一听，你感觉EDR好像没有杀软厉害，没有桌管多能，这个也不行，那个也不行，很鸡肋啊…

嘿嘿，这么想你就大错特错了。

因为EDR天生是干大事的！它对付的都是高级威胁，这些威胁，杀毒软件们从机制上就搞不定。

我们来看个实战的例子↓

现在有一种很流行的攻击，叫做：无文件攻击。

这种攻击，并不是真没有任何文件，而是包含恶意指令的文件不落盘，直接远程下载，在内存中执行。

很多杀软都不能总是一直扫内存啊，也太消耗资源了。

除此之外，恶意文件还可以盗用合法文件的签名，成功绕过杀软，或者把自己加密存储，干坏事的时候再在内存中解密。

而且，有些恶意攻击还会反向侦查杀毒软件，当发现系统存在杀毒软件的时候，就伪造一个逼真的弹出窗口，骗你说“杀软有问题”，让你退出杀毒软件。

总之，这类“无文件”的骚操作，是当下非常流行的攻击手段，而且黑客组织已经将这类工具量产化，广泛传播，应用于各种攻击场景。

这就导致了黑客工具很高级，但是使用工具的人却不需要很高级。随便组装投递一下，就能给目标造成很大的杀伤力。

在这种安全新态势下，谁能横刀立马、力挽狂澜？

唯有EDR！

我们来剖析下EDR的工作原理↓

检测机制上，EDR是从端到云。

传统终端安全软件的机制，是客户端重载，威胁检测几乎全部在终端侧完成，终端用户的工作经常被打扰，而且系统资源开销很大（尤其杀软、桌管等多套客户端并行状况下）

而EDR客户端只负责事件收集，然后将可以事件实时同步到服务器端/云端，通过服务端进行大数据检测、分析、情报匹配，以及专家介入研判处置。

EDR对终端用户几乎无打扰，充分利用云端强大的计算资源和检测引擎，迅速发现可疑行为。

传统终端病毒和威胁检测的思路，就像蹲守在羊圈门口的守卫，时刻检查所有过往行人，草木皆兵，看见可疑的立即抓走。

不仅消耗体力，还容易搞出“狼来了”式的误报，更可怕的是被针对性的“绕过”（例如前面所说的无文件攻击）。

EDR则是“以退为进”，不关心行人的仪表特征，就看他们干不干坏事。

如果有人干了破坏羊圈的事，它就会把这种行为定性为威胁事件，迅速告警和响应，找人修复羊圈，并溯源活捉坏人。

羊圈被破坏不要紧，羊没丢就是完成了核心KPI，还顺手捉到了高级狼。

所以，EDR与杀软、桌管们的职责分工完全不一样。

初级的老破小病毒、桌面违规操作管理等等，交给杀软、桌管来处理。

EDR负责对付各类高级的、潜伏性强的、未来危害性大的、甚至被武器化的威胁。而且，在当下各种攻防演练中，EDR是最优秀的实战工具。

03、牛掰EDR，到底需要哪些超能力？

那凭什么EDR就能干这些高级活呢？

一个EDR能力强不强，关键要看4点。

▌1、事件采集：

终端事件采集是后续检测、分析能力的重要基础，没有足够的采集量，还分析个毛？

真正的EDR客户端，都是极简客户端，或者说只是一个探针。

既要足够轻，对终端资源极低占用，对终端用户零打扰，又要有极为优秀的行为采集能力，保证在恶意程序干坏事的时候，可以明察秋毫。

不止要采集基础行为事件，还要采集更细的行为粒度。

不止是采集的行为数量有门槛，采集方法也很有讲究。

常规的基于APIHook、ETW等技术来采集，很不稳定，有时候还会遗漏或丢失。

而且很多高级的攻击手法，都会绕过这些技术，让你毛都采不到。

然后，即便你用了高级的采集方法，采到了详细的事件，更现实的一个问题出来了：要把这些事件送到服务端，进行情报匹配、AI研判、大数据分析。

这就需要过滤无效事件、最大化传输有效事件、最小化网络带宽消耗。如何压缩、去重、组合，太考验功力了。

▌2、威胁检测

好了，前面搞定事件收集和传输，接下来的挑战就是，如何精准、高效地检测威胁。

海量的行为事件收集上来，服务端需要极强的处理能力，结合大数据技术、AI分析、威胁情报碰撞，快速检测。

因为EDR是在威胁发生后再反击，所以检测速度必须快准狠，否则等坏人把坏事都干完了，那就真成“事后诸葛亮”了。

如果仅凭一两个行为，很容易就造成误报，搞得“大水冲了龙王庙”。

这样，才能降低误报，精准检测，既不会错杀，也不会错放。

▌3、溯源分析

快速精准检测出威胁事件还不够，还要完成威胁溯源。

溯源意义在于找到真正的元凶，从源头把入侵的黑手斩断。

但是，溯源的难度在于：进程的源头，是正常的系统服务；执行的源头，是合法的系统进程；事件的源头，是跨终端的RPC调用。

没点道行的话，看到第一步合法的白进程，线索就断了。

必须要层层抽丝剥茧，找到真正的进程源头，并进行跨机器的事件关联和进程关联，才能溯源抓到幕后黑手。

▌4、事件响应

最后一步，需要对威胁事件做出响应：该修修、该补补、该抓抓、该shasha。

这个响应，不是简单的隔离机器或者进程，还需要配套持久化、序列化、智能化的清理动作，除恶务尽。

对于常见、多发的威胁，需要自动化的清理处置能力。对于复杂威胁，还要进一步调查取证。

好了，这四个关键环节搞完，我们还要探讨一个额外的加分项：那就是EDR的部署形态。

在很多老铁的惯性思维里，安全产品应该本地化部署，其实对于EDR产品来说，云化SaaS模式部署更靠谱。

目前，顶级的甲方安全团队都在用SaaS化的EDR，而业界标杆CrowdStrike的EDR产品，也是SaaS化交付。

为什么SaaS化更好？我们简单做个比较↓

云端提供更强大的计算能力，这意味着更强的检测能力；在云端可以与威胁情报云更好地协同，从而更快覆盖新威胁；对客户来讲，不需要任何硬件，部署更简单，成本更低；云原生的弹性机制，可以按需购买，更灵活；云租户隔离和加密机制，让数据更安全。

除此之外，还有非常重要的一点，与本地机房自组“草台班子”运维相比，云上SaaS由专业的安全厂商运营，提供更强的安全保障。

说句不中听的话：2023年代了，你竟然还觉得本地比云更安全？

04、市面上最能打的EDR，到底是哪家？

讲到这里，你大概能get到真正靠谱的EDR是啥样的了吧。

那么，符合这些关键能力特征、部署模式优势的EDR产品，哪家强？

有请「真神」出场，这就是微步在线OneSECEDR！

EDR多到“烂大街”，为什么我却唯独看好微步在线的OneSEC呢？

简单给大家捋捋↓

一、看终端事件采集能力

微步OneSECEDR以极小的轻量化agent，提供完整的、细粒度终端事件采集能力。

而且，还要跟终端上其他软件兼容，因为实战中，终端都已经装上了五花八门的杀软、桌管、EPP…

同时，通过先进的事件重组和网络传输压缩技术，微步OneSEC大幅降低网络传输量，单一日志压缩比可达5:1。

来一组实测数据↓

微步在线这两项采集与传输的独门绝技，在保证终端完全无感、网络极低负荷的情况下，云端可以获得足够详尽的事件信息，用于后续威胁检测。

二、看威胁检测能力

在服务端，微步OneSEC提供了极其全面的威胁检测技术，基于各种最新的、花样繁多的入侵指标（IoC）、攻击指标（IoA）和黑样本，调用云端算力，进行大数据分析和筛查。

这其中，威胁情报是微步在线的看家能力之一，百万级别、秒级更新，准确率高达99.9%，让各种高级威胁难以遁形。

然后再综合其他各类威胁指标，利用微步自研的「图关联检测」技术，可以更加快速、准确地检测威胁。

三、看溯源和响应能力

微步OneSEC具备追溯到执行源头的串联能力，只要干了坏事，就算“狡兔三窟”也能被挖出来。

纵使前面万般努力，最后还需“一哆嗦”，这“一哆嗦”就是响应。

OneSECEDR提供序列化、智能化、自动化的响应能力，除恶务尽，还终端清净。

当然，还有一点特别特别重要，EDR的检测、溯源和响应，是不可能完全实现自动化的。

必须要有人在云端帮你人工研判、处置特殊的事件和威胁。（如果只卖软件、不卖专家服务的EDR，千万不要相信他）

因此，微步在线配备了强大的专属团队和支撑团队，机器+人肉，确保“算无遗策”。

最后，在交付模式上，微步在线OneSEC提供SaaS模式、内网本地模式、外网本地模式三种方式。

其中，SaaS模式深受客户喜爱。对安全大甲方来讲，这种代表未来趋势的架构，部署更快、成本更低、效果更好、服务更强、风险更可控。

微步在线OneSECEDR自上线以来，由于实战能力突出、威胁检出率高、部署方便快捷，迅速在各大头部客户流行起来（证券、银行、央企、高科技行业…）

消灭绕过杀毒软件的新型攻击，挖出潜伏已久的高级威胁，活捉攻防演练中摸盘踩点的红队老铁…