你以为你以为的EDR就是EDR嘛? 你发现没,现在各种所谓的EDR产品,已经“烂大街”了。EDR到底是啥?从字面理解就是端点检测与响应(Endpoint D... 

你发现没,现在各种所谓的EDR产品,已经“烂大街”了。

EDR到底是啥?从字面理解就是端点检测与响应(EndpointDetectionandResponse)。

虽然字面好理解,而且“烂大街”,但竟然还有很多人,甚至是圈内人,对EDR存在巨大误解!

以下这些场景,你可能似曾相识↓

▌场景一:

去见大甲方时,甲方领导抱怨说:我们现在的杀毒软件不大好用,装了还中毒,听说EDR更好用,给我们升级成EDR吧。

的确,在不少甲方客户眼里,EDR就是增强版的大号杀毒软件,查杀病毒更NB,分分钟让你给他升级。

▌场景二:

在技术峰会上,某安全大咖布道,畅谈终端安全发展史:终端安全经历了三个发展阶段,杀软、终端安全管理EPP、EDR,现在是EDR的时代。

▌场景三:

技术交流会上,某安全公司售前这样向客户介绍自家产品:我司EDR客户端内置了下一代引擎,可以实时监测终端已知和未知威胁,并能和云端联动。

下一代引擎,基于AI的文件监测…,Wow,真是不明觉厉呀!赶紧备好预算来一套吧。

……

怎么样,是不是都是熟悉的味道,甚至颇有几分道理?

不不不,其实这些都是对EDR巨大的误解!再这么用,会被笑掉大牙的。

我们必须要认清以下事实↓↓↓

EDR不是大号杀毒软件,并不能替代杀毒软件。

EDR并不会在客户端上内置一个病毒库,无法查杀恶意文件。

但是,如果有恶意文件绕过了杀毒软件的监管,在系统里干了“不可描述”的坏事,却能够被EDR发现。

EDR也不是桌管平台,并不能对电脑上的外设、端口、软件的违规使用进行管控。

但EDR却能发现终端因为各种违规操作而带来的威胁,并及时提醒管理者进行纠正和防范。

比如因为某个USB口滥用或者非法外联,产生了威胁和入侵,会被EDR即时发现并定位。

这么一听,你感觉EDR好像没有杀软厉害,没有桌管多能,这个也不行,那个也不行,很鸡肋啊…

嘿嘿,这么想你就大错特错了。

因为EDR天生是干大事的!它对付的都是高级威胁,这些威胁,杀毒软件们从机制上就搞不定。

我们来看个实战的例子↓

现在有一种很流行的攻击,叫做:无文件攻击。

这种攻击,并不是真没有任何文件,而是包含恶意指令的文件不落盘,直接远程下载,在内存中执行。

很多杀软都不能总是一直扫内存啊,也太消耗资源了。

除此之外,恶意文件还可以盗用合法文件的签名,成功绕过杀软,或者把自己加密存储,干坏事的时候再在内存中解密。

而且,有些恶意攻击还会反向侦查杀毒软件,当发现系统存在杀毒软件的时候,就伪造一个逼真的弹出窗口,骗你说“杀软有问题”,让你退出杀毒软件。

总之,这类“无文件”的骚操作,是当下非常流行的攻击手段,而且黑客组织已经将这类工具量产化,广泛传播,应用于各种攻击场景。

这就导致了黑客工具很高级,但是使用工具的人却不需要很高级。随便组装投递一下,就能给目标造成很大的杀伤力。

在这种安全新态势下,谁能横刀立马、力挽狂澜?

唯有EDR!

我们来剖析下EDR的工作原理↓

检测机制上,EDR是从端到云。

传统终端安全软件的机制,是客户端重载,威胁检测几乎全部在终端侧完成,终端用户的工作经常被打扰,而且系统资源开销很大(尤其杀软、桌管等多套客户端并行状况下)

而EDR客户端只负责事件收集,然后将可以事件实时同步到服务器端/云端,通过服务端进行大数据检测、分析、情报匹配,以及专家介入研判处置。

EDR对终端用户几乎无打扰,充分利用云端强大的计算资源和检测引擎,迅速发现可疑行为。

传统终端病毒和威胁检测的思路,就像蹲守在羊圈门口的守卫,时刻检查所有过往行人,草木皆兵,看见可疑的立即抓走。

不仅消耗体力,还容易搞出“狼来了”式的误报,更可怕的是被针对性的“绕过”(例如前面所说的无文件攻击)。

EDR则是“以退为进”,不关心行人的仪表特征,就看他们干不干坏事。

如果有人干了破坏羊圈的事,它就会把这种行为定性为威胁事件,迅速告警和响应,找人修复羊圈,并溯源活捉坏人。

羊圈被破坏不要紧,羊没丢就是完成了核心KPI,还顺手捉到了高级狼。

所以,EDR与杀软、桌管们的职责分工完全不一样。

初级的老破小病毒、桌面违规操作管理等等,交给杀软、桌管来处理。

EDR负责对付各类高级的、潜伏性强的、未来危害性大的、甚至被武器化的威胁。而且,在当下各种攻防演练中,EDR是最优秀的实战工具。

那凭什么EDR就能干这些高级活呢?

一个EDR能力强不强,关键要看4点。

▌1、事件采集:

终端事件采集是后续检测、分析能力的重要基础,没有足够的采集量,还分析个毛?

真正的EDR客户端,都是极简客户端,或者说只是一个探针。

既要足够轻,对终端资源极低占用,对终端用户零打扰,又要有极为优秀的行为采集能力,保证在恶意程序干坏事的时候,可以明察秋毫。

不止要采集基础行为事件,还要采集更细的行为粒度。

不止是采集的行为数量有门槛,采集方法也很有讲究。

常规的基于APIHook、ETW等技术来采集,很不稳定,有时候还会遗漏或丢失。

而且很多高级的攻击手法,都会绕过这些技术,让你毛都采不到。

然后,即便你用了高级的采集方法,采到了详细的事件,更现实的一个问题出来了:要把这些事件送到服务端,进行情报匹配、AI研判、大数据分析。

这就需要过滤无效事件、最大化传输有效事件、最小化网络带宽消耗。如何压缩、去重、组合,太考验功力了。

▌2、威胁检测

好了,前面搞定事件收集和传输,接下来的挑战就是,如何精准、高效地检测威胁。

海量的行为事件收集上来,服务端需要极强的处理能力,结合大数据技术、AI分析、威胁情报碰撞,快速检测。

因为EDR是在威胁发生后再反击,所以检测速度必须快准狠,否则等坏人把坏事都干完了,那就真成“事后诸葛亮”了。

如果仅凭一两个行为,很容易就造成误报,搞得“大水冲了龙王庙”。

这样,才能降低误报,精准检测,既不会错杀,也不会错放。

▌3、溯源分析

快速精准检测出威胁事件还不够,还要完成威胁溯源。

溯源意义在于找到真正的元凶,从源头把入侵的黑手斩断。

没点道行的话,看到第一步合法的白进程,线索就断了。

必须要层层抽丝剥茧,找到真正的进程源头,并进行跨机器的事件关联和进程关联,才能溯源抓到幕后黑手。

▌4、事件响应

最后一步,需要对威胁事件做出响应:该修修、该补补、该抓抓、该shasha。

这个响应,不是简单的隔离机器或者进程,还需要配套持久化、序列化、智能化的清理动作,除恶务尽。

对于常见、多发的威胁,需要自动化的清理处置能力。对于复杂威胁,还要进一步调查取证。

好了,这四个关键环节搞完,我们还要探讨一个额外的加分项:那就是EDR的部署形态。

在很多老铁的惯性思维里,安全产品应该本地化部署,其实对于EDR产品来说,云化SaaS模式部署更靠谱。

目前,顶级的甲方安全团队都在用SaaS化的EDR,而业界标杆CrowdStrike的EDR产品,也是SaaS化交付。

为什么SaaS化更好?我们简单做个比较↓

云端提供更强大的计算能力,这意味着更强的检测能力;在云端可以与威胁情报云更好地协同,从而更快覆盖新威胁;对客户来讲,不需要任何硬件,部署更简单,成本更低;云原生的弹性机制,可以按需购买,更灵活;云租户隔离和加密机制,让数据更安全。

除此之外,还有非常重要的一点,与本地机房自组“草台班子”运维相比,云上SaaS由专业的安全厂商运营,提供更强的安全保障。

说句不中听的话:2023年代了,你竟然还觉得本地比云更安全?

讲到这里,你大概能get到真正靠谱的EDR是啥样的了吧。

那么,符合这些关键能力特征、部署模式优势的EDR产品,哪家强?

有请「真神」出场,这就是微步在线OneSECEDR!

EDR多到“烂大街”,为什么我却唯独看好微步在线的OneSEC呢?

简单给大家捋捋↓

一、看终端事件采集能力

微步OneSECEDR以极小的轻量化agent,提供完整的、细粒度终端事件采集能力。

而且,还要跟终端上其他软件兼容,因为实战中,终端都已经装上了五花八门的杀软、桌管、EPP…

同时,通过先进的事件重组和网络传输压缩技术,微步OneSEC大幅降低网络传输量,单一日志压缩比可达5:1。

来一组实测数据↓

微步在线这两项采集与传输的独门绝技,在保证终端完全无感、网络极低负荷的情况下,云端可以获得足够详尽的事件信息,用于后续威胁检测。

二、看威胁检测能力

在服务端,微步OneSEC提供了极其全面的威胁检测技术,基于各种最新的、花样繁多的入侵指标(IoC)、攻击指标(IoA)和黑样本,调用云端算力,进行大数据分析和筛查。

这其中,威胁情报是微步在线的看家能力之一,百万级别、秒级更新,准确率高达99.9%,让各种高级威胁难以遁形。

然后再综合其他各类威胁指标,利用微步自研的「图关联检测」技术,可以更加快速、准确地检测威胁。

三、看溯源和响应能力

微步OneSEC具备追溯到执行源头的串联能力,只要干了坏事,就算“狡兔三窟”也能被挖出来。

纵使前面万般努力,最后还需“一哆嗦”,这“一哆嗦”就是响应。

OneSECEDR提供序列化、智能化、自动化的响应能力,除恶务尽,还终端清净。

当然,还有一点特别特别重要,EDR的检测、溯源和响应,是不可能完全实现自动化的。

必须要有人在云端帮你人工研判、处置特殊的事件和威胁。(如果只卖软件、不卖专家服务的EDR,千万不要相信他)

因此,微步在线配备了强大的专属团队和支撑团队,机器+人肉,确保“算无遗策”。

最后,在交付模式上,微步在线OneSEC提供SaaS模式、内网本地模式、外网本地模式三种方式。

其中,SaaS模式深受客户喜爱。对安全大甲方来讲,这种代表未来趋势的架构,部署更快、成本更低、效果更好、服务更强、风险更可控。

微步在线OneSECEDR自上线以来,由于实战能力突出、威胁检出率高、部署方便快捷,迅速在各大头部客户流行起来(证券、银行、央企、高科技行业…)

消灭绕过杀毒软件的新型攻击,挖出潜伏已久的高级威胁,活捉攻防演练中摸盘踩点的红队老铁…

THE END
1.安全领域的EDR是什么EDR。 什么是端点?端点包括笔记本电脑、移动设备、工作站、服务器和任何网络入口点,几乎任何连接到组织网络的东西都应该被视为端点。 端点检测和响应平台执行以下关键功能: 收集有关流量、磁盘和内存信息、登录以及帐户活动的端点和网络数据 为安全团队提供文件和事件日志 https://blog.csdn.net/Innocence_0/article/details/139658618
2.什么是EDR(EDR端点检测和响应))IIBM什么是 EDR (终端检测和响应) ? EDR 是一款软件,旨在自动保护组织的最终用户、终端设备和 IT 资产免受那些突破防病毒软件和其他传统终端安全工具安全防线的网络威胁。 EDR 将从网络上的所有终端(台式机和笔记本电脑、服务器、移动设备、IoT(物联网)设备等)中连续收集数据。 它将实时分析这些数据以查找已知或疑似网https://www.ibm.com/cn-zh/topics/edr
3.深入解析EDR是什么意思:专业知识分享与应用方法详解EDR(Endpoint Detection and Response,终端检测与响应)作为一种新兴的网络安全技术,正在逐渐成为保护终端设备的重要手段。本文将深入解析EDR的定义、工作原理、应用方法,并结合实际案例帮助读者更好地理解和应用这一技术。 工具原料: 系统版本:Windows 11、macOS Monterey 品牌型号:Dell XPS 13、MacBook Pro 2021 软件https://www.xiaoyuxitong.com/cjwt/163953.html
4.edr是什么杀毒业界新闻edr是什么杀毒 edr是Endpoint Detection and Response的缩写,它是一种面向未来的终端解决方案,以端点为基础,结合终端安全大数据对未知威胁和异常行为进行持续监测和快速响应。 EDR(Endpoint Detection and Response)终端检测与响应是一种面向企业的安全解决方案,它结合了传统的防病毒功能和先进的威胁检测技术,EDR系统旨在https://www.jindouyun.cn/document/industry/details/233859
5.2020深信服终端检测响应平台EDR用户手册V3.2.36.pdf2020深信服终端检测响应平台EDR用户手册V3.2.36.pdf 177页内容提供方:互联网资料整理 大小:12.77 MB 字数:约10.51万字 发布时间:2023-09-04发布于湖南 浏览人气:310 下载次数:仅上传者可见 收藏次数:0 需要金币:*** 金币 (10金币=人民币1元)https://max.book118.com/html/2023/0902/5220322340010321.shtm
6.终端检测响应平台EDR终端检测响应平台EDR 新时代下企业级终端安全面临严峻挑战 相较于个人终端而言,企业终端、数据等资产价值更高,由终端、服务器等不同软硬件所组成办公局域网,带来更为复杂的病毒来源、感染、传播途径,正因此企业用户面临更为严峻的终端安全挑战,对防护、管理、应用等多方面提出更高要求。https://www.songfenginfo.com/productinfo/45509.html
7.终端检测响应平台EDR终端检测响应平台EDR-广州市华文计算机科技有限公司-终端安全是影响信息系统安全的根源。从攻击者的角度来看,无论发起多么复杂的攻击,在网络中经历多少环节,采用多少高级技术,这些攻击动作必须通过某一个或多个终端才能完成。企业级用户急需更加有效应对未知威胁的下一http://www.huawenit.cn/product/31.html?productCateId=10
8.终端威胁检测与响应(EDR)技术研究及发展研判国内外的安全公司(尤其是综合性的大公司)也都纷纷布局终端威胁检测与响应产品,国内有深信服的终端检测响应平台EDR、天融信的TopEDR、奇安信的天擎,国外有Comodo的Comodo Advanced Endpoint Protection(AEP)、卡巴斯基的Kaspersky Endpoint Detetion And Response (KEDR)、CrowdStrike的Falcon Host等。 https://www.secrss.com/articles/25676
9.终端检测响应平台EDR上海钧派信息科技有限公司深信服 EDR 产品能与 下一代防火墙AF、上网行为管理AC、安全感知平台SIP、安全云脑等产品进行协同联动响应,形成涵盖云、边界、端点上中下立体防御架构,内外部威胁情报可实时共享。 适配多种类型资产 1,桌面云,传统PC,笔记本,私有云,服务器,私有云,公有云均适配 https://www.sh-junpai.com/qiyejianquan/5.html
10.深信服终端检测响应平台EDR终端安全管理系统深信服下一代终端安全EDR价值主张 轻量稳定:作为在终端侧的软件,轻量稳定是最基本的要求。有效对抗:基于威胁全生命周期,从事前防御、事中检测、事后响应构建对威胁的抵抗能力;威胁易闭环:网端深度联动,打通网端两侧数据,威胁与根因匹配,一键处置彻底闭环威胁。 https://www.yun88.com/product/244.html
11.终端检测响应平台EDR价值主张胶片课件域终端接入域日审/堡垒/漏扫EDR管理中心上网行为管理下一代防火墙部门A贴合国家政策法规,满足主机恶意代码防范要求,基线检查,确保终端安全合规01政策合规对各区域实施安全保护措施形成立体的安全保护体系02分域保护对终端进行全面防护,有效应对已知、未知、高级威胁03有效防护安全不止合规,持续输送防护+管控+检测+响应https://www.renrendoc.com/paper/233298128.html
12.终端安全响应系统(EDR)终端安全通过自动化的智能响应能力,使终端自身可以实现自动攻击阻止、隔离修复、取证分析和追踪溯源,并将单次的积极响应转化成持续的静态规则,进而对高级威胁持续遏制,补齐终端安全管理平台应对高级威胁的能力短板。 健全调查机制,提高应急响应效率 通过EDR的检测响应能力,配合专业的安全响应流程设计,引导安全运维人员在网络中搜索以https://www.qianxin.com/product/detail/pid/438
13.深信服务终端检测响应平台软件EDRV3.0型号: 编号:999005 品牌:深信 单位:套 ¥88636.36 数量:库存充足 编号:999005 品牌:深信 型号: 名称: 规格: 单位:套 描述: 颜色: 价格对比图 年度价格比对https://www.fulloffice.cn/detail/product-999005.html
14.深信服入侵防御设备EDR(深信服终端检测响应平台软件V3.0)V3.0内蒙古联易信息技术有限责任公司https://www.nmglyxx.cn/product/show/210.html
15.终端安全啥是EDR?端点检测与响应((Endpoint Detection and Response,EDR):完全不同于以往的端点被动防护思路,而是通过云端威胁情报、机器学习、异常行为分析、攻击指示器等方式,主动发现来自外部或内部的安全威胁,并进行自动化的阻止、取证、补救和溯源,从而有效对端点进行防护。 https://maimai.cn/article/detail?fid=1548158946&efid=xo1qPkiy0HjgClFTXbdq6w
16.深信服科技(SANGFOR)EDR(深信服终端检测响应平台软件V3.0)行情电脑、办公 > 服务产品 > 电脑软件 > 深信服科技(SANGFOR) > 深信服科技EDR 自营 深信服科技(SANGFOR)京东自营旗舰店 深信服科技(SANGFOR)EDR(深信服终端检测响应平台软 京东价 ¥ 促销 展开促销 配送至 --请选择-- 支持https://item.jd.com/100026906881.html
17.瑞星终端威胁检测与响应系统EDR是一款保护终端设备安全,针对高级威胁进行挖掘、检测、追踪溯源、事件调查的安全产品。 瑞星终端威胁检测与响应系统(EDR)是一款保护终端设备安全,针对高级威胁进行挖掘、检测、追踪溯源、事件调查的安全产品。该产品集恶意代码防护、勒索防御、漏洞修复等多功能于一体,帮助企业用户大幅度提升终端安全防御能力。 产品优势 应用https://nav.36dianping.com/site/13839.html
18.什么是端点检测和响应(EDR)?如何选择EDR方案?EDR(Endpoint Detection and Response,端点检测和响应)是Gartner的安东·丘瓦金(Anton Chuvakin)创造的一个术语,用来指代一种端点安全防护解决方案。它记录端点上的行为,使用数据分析和基于上下文的信息检测来发现异常和恶意活动,并记录有关恶意活动的数据,使安全团队能够调查和响应事件。端点可以是员工终端PC或笔记本电脑、https://info.support.huawei.com/info-finder/encyclopedia/zh/EDR.html
19.EDR解决方案FortiEDR终端检测和响应解决方案FortiEDR 可自动高效地实时识别和拦截各类漏洞利用行为。作为 Fortinet SecOps 平台重要组件之一,FortiEDR 可主动缩小攻击面,防止恶意软件感染,快速检测并消除潜在威胁,并支持通过自定义 Playbook 跨以往和现用 Windows、macOS 和 Linux 设备实现自动响应和修复。 https://www.fortinet.com/cn/products/endpoint-security/fortiedr