摘自:《网络安全技术和产业动态》2021年第6期,总第12期。

中国网络安全产业联盟(CCIA)主办,北京北信源软件股份有限公司供稿。

端点检测与响应(Endpoint Detection & Response,EDR)是一种新型的、智能化和快速迅捷的主动防御技术,遵循自适应安全架构,从预测、防护、检测和响应四个维度,实现持续性安全防护,贯穿安全威胁事件的整个生命周期。EDR实时监测端点上发生的各类行为,采集端点运行状态,在后端通过大数据安全分析、机器学习、沙箱分析、行为分析等技术,提供深度持续监控、威胁检测、高级威胁分析、调查取证、事件响应处置、追踪溯源等功能,及时检测并发现恶意活动,包括已知和未知威胁,并快速智能地做出响应,全面赋予端点主动、积极的安全防御能力。

一、技术发展情况

EDR来源于端点威胁检测与响应(Endpoint Threat Detection and Response,ETDR),ETDR由Gartner分析师Anton Chuvakin在2013年7月提出,用来定义一种“检测和调查主机/端点上可疑活动(及其痕迹)”的工具。2015年正式命名EDR,2017年正式发布EDR市场指南,2018年Gartner将EDR从补充性功能变成端点安全的必备功能,并且每年列入端点安全的十大安全项目。

从端点安全的发展史看,传统防病毒(AV)是第一代,主要通过匹配已知病毒库、特征库的方式查杀病毒;终端安全管理系统(EPP)是第二代,EPP系统的核心功能是保护端点设备的安全,包括的主要功能有:防病毒、防间谍软件、防网络攻击、防网络钓鱼、防火墙、防止未经授权的访问等,还提供数据丢失防护和数据加密等多种功能,是一个综合的终端防护产品;而EDR属于第三代,依赖云端精准的IOC威胁情报信息支撑和本地强大的大数据分析、AI人工智能、监测分析技术,形成“云端情报”+“本地大数据和AI人工智能监测”+EPP终端防护体系,构建立体的自动防御能力,完成高位安全能力建设;未来会朝着更全面更强大的扩展检测和响应(XDR)方向发展。EDR的出现弥补了传统EPP的不足,EDR相对于EPP和AV,并不是完全替代关系,而是互为补充。当前,EDR正在与EPP互相渗透融合,各大EPP产品生产商在新发布的版本中纷纷加入了EDR的功能。

EDR技术不同于以往的基于边界、规则、策略为主的静态防御,是一种主动式端点安全防护技术,通过记录终端与网络事件,结合已知的失陷指标(Indicators of Compromise,IOCs),运用行为分析和机器学习等技术来监测任何可能的安全威胁和恶意活动,并进行自动化的阻止、取证、补救和溯源,从而有效对端点进行防护。EDR技术在面对未知威胁攻击、0day漏洞攻击、APT攻击和无文件攻击等所表现出的先进性和优越性,已经成为网络空间整体安全防护体系的重要组成部分。

二、发展难点分析

当前,企业终端类型越来越多,EDR需要全面整体防护,把各种类型的端点都纳入;同时,端点安全防护不能孤立于整体方案之外,EDR要与安全事件和信息管理(SIEM)、安全编排与自动化响应(SOAR)、态势感知类产品进行协同,为构建“云”“网”“端”融合的立体纵深防御体系提供数据和技术支撑。EDR技术的发展难点主要体现在以下方面:

1.端点兼容性适配困难。EDR代理需要部署在端点操作系统之上并做多方面的监测与分析,因此EDR需要与操作系统、硬件平台、应用系统进行兼容性适配。

2.数据采集没有统一的标准。各厂家对数据采集的定义不尽相同,对数据种类、数据属性、数据描述都需以数据分析为牵引,为数据分析提供服务。

3.精准检出率低。EDR需要检测并对抗新型攻击,如无文件攻击、0day漏洞攻击和APT攻击等,对网络攻击各个环节的动作和产生的数据都要进行长期持续地分析,受限于人工智能技术的发展程度,误报率和异常行为检出率有待优化,精准检测存在困难。

4.攻击取证难。EDR解决方案只能监测安装了EDR代理的系统,在部分场景下,还不能还原完整攻击链。并且,当前EDR尚不提供用于容器和物联网(IoT)设备等云工作负载的环境,这限制了对关键操作组件的可见性和对安全攻击事件的安全取证。

三、产业落地情况

EDR产品侧重点是“检测”和“响应”,通过事前监控/加固、事中检测/分析/响应、事后追溯,将威胁检测的时间线进行延长,有效发现那些隐蔽且长时间潜伏的恶意威胁。因此对于当前APT、0day、无文件攻击等新型威胁,EDR产品能起到较好的防御作用。

在国外,EDR已经成为端点安全领域的热点,老牌安全公司Symantec、趋势、Carbon Black、卡巴斯基、RSA Security、Tripwire等致力于补齐EDR短板,补充检测未知威胁的功能特性,加入端点检测与响应的阵营。除了这些老牌公司,也涌现出了一批以EDR为核心的下一代端点安全初创公司,包括Cybereason、enSilo、Hexis、Sentinelone、Tanium、Triumfant和Ziften等。当下仅20%的企业级终端部署了EDR,随着现有EDR功能的不断丰富,在全球范围内EDR至少存在5倍以上的增长空间。Mordor intelligence发布的市场报告预计EDR市场规模预计在2025年达到42.35亿美元,年复合增长率为22.97%。

在国内,相比国外而言,EDR发展较为缓慢。但是,国内的安全公司,尤其是综合性的大公司,都开始布局EDR产品,如奇安信终端安全响应系统、深信服终端监测响应平台EDR、亚信安全高级威胁终端检测及响应系统、安天科技智甲终端监测与响应系统等,均努力尝试利用自身技术积累及资源优势快速覆盖端点安全检测与响应市场,帮助企业级客户建立全面的云网端立体纵深防御体系。

四、意见和建议

EDR是端点网络安全领域中一个快速发展的方向,针对EDR的技术研究和发展应用现状,从EDR当前存量市场所面临的问题,和促进解决EDR增量市场两个方面,提出以下建议:

1.针对EDR当前存量市场所面临的部分难题,可促进EDR和EPP的进一步融合,通过单个Agent实现ALL in one,将所有安全事件采用单一控制台进行集中控制。打造端点的一体化解决方案,不仅可以极大的降低端点性能消耗,且能够节约管理和运维成本,改善兼容性问题,提升用户体验,更重要的是能够实现EDR和EPP的联动,如EDR为EPP的防护策略提供依据和来源,EPP为EDR提供更全面、更有效的安全响应措施。

2.加速促进EDR增量市场增长。发展EDR向物联网、信创平台、云平台等领域的拓展,扩大EDR应用领域市场,加强网络安全发展的同时,也能促进EDR自身的发展。

声明:本文来自CCIA网安产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。