数世咨询:EDR能力指南

攻防
3月前

20210930102206.jpg

1 前言

  终端安全可以说是数字安全的起源——早在计算机还是一个庞然大物的时候,就有了最早的“病毒”概念。相对应的,针对终端的防御也随之开始。

  从发展的角度来看,终端防护手段的演化,有两个方面代表了整个数字安全领域的演化。

  一个演化是威胁方式的演化。最早期的威胁来源,就是所谓的病毒,对计算机造成直接损害、遗留后门进行远程控制,窃取账号密码,并且对自身进行再传播。因此,最早的终端防护手段就是杀毒软件。

  然而,威胁在不断演化。病毒对终端的损害不再只是系统崩溃,形成DoS攻击的方式,而是逐渐在通过消耗计算机计算资源或者可能破坏数据的方式达成自己的经济目标,如挖矿病毒、广告软件、勒索病毒;而间谍软件也在进一步提升自己在目标终端的权限,以获取不局限于本地文件以及相关凭证的更多信息——这些变化逐渐将“反病毒”的概念变为“反恶意软件”。另一方面,恶意软件的反查杀能力也在不断提升。

  现在,越来越多的攻击开始采用0day漏洞,或者有预谋、有计划、有目标地实行APT攻击。攻击的方式不再是随机、随意,而是更有策略地进行;目标不再只是单一的端点,而是全环境下多个端点,通过杀伤链一环接一环达成攻击目标。攻击的方式更隐秘,持续的时间更长——因此,造成的伤害也就更大。

  和威胁的演化相对应的,是安全理念的演进。最早的理念就是“防护”,一定要将病毒在进入终端进程前进行阻止。传统的杀毒软件依赖于特征库的方式进行防御,而随着恶意软件数量越来越多,逃逸手段越来越多样,传统的杀毒软件已经不足以满足防范的要求。

  这时,EPP的出现一定程度上解决了传统杀毒软件的弱项。不止通过特征库的方式,还通过云端的协同分析,以及威胁情报能力,EPP能够抵御更多的已知威胁。然而,对于未知威胁,以及整个IT环境下攻击事件的关联防护能力,EPP依然不足。

  EDR的出现代表了安全理念的一个重要转变:从“预防”到“检测”与“响应”。安全中没有“银色子弹”,我们无法拦截所有攻击;而现在的安全理念,是从前置的严防死守,到及时发现异常并且进行处理,将损害限制在可控范围内。因此,EDR不仅仅通过“特征”进行“预防”,更依靠“行为”进行“检测”,并且进行“响应”。同时,EDR不再只是着眼于单个终端的防御,而是能够对各个终端上事件的关联分析,还原整个攻击的流程,描绘出攻击事件的全貌——在当下愈演愈烈的APT攻击中,尤为重要。

  (注:本报告中,“终端”特指手机、电脑、平板等用户直接交互的设备,以及打印机、摄像头等物联网设备;“主机”指服务器;“端点”指“终端”与“主机”的总称。)

2 关键发现

  • 端点安全的最关键的防护目标是为了确保主机、服务器的安全;与之相对的,终端设备已经逐渐成为新的网络边界。

  • EDR在国内落地的核心价值集中在对未知威胁的应对以及溯源取证;关键技术能力为防病毒引擎、数据采集分析能力、响应策略能力、威胁情报以及安全服务能力。

  • 对于有采购EDR意向的组织,建议从自身的IT能力与安全现状出发,选购适合自己需求的产品。

  • 从市场来看,EDR在政府相关机构的占有率较高,购买驱动力以合规为主。

  • 国内信创市场会极大增加对EDR的需求,未来三年内,信创产业极会推动EDR的市场扩展。

  • 从未来长远发展来看,EDR主要会趋向成为更为整体的解决方案中的一个关键能力,但同样可能会有以EDR为核心的整体解决方案。

3 EDR概念以及核心价值

3.1 Gartner的EDR定义

  根据Gartner对EDR的定义,EDR是一种记录和存储端点系统等级行为的解决方案,并且通过多种数据分析技术检测可疑的系统行为,提供关联信息,从而阻断恶意行为并为受影响系统提供修复建议。Gartner认为,EDR解决方案需要有以下四个关键能力:检测安全事件、遏制威胁、调查安全事件、提供修复指导。

  Gartner提出的EDR的定义是从EDR对EPP能力的补充延展而来,概念也较为抽象。然而,在国内网络安全环境下,无论是端点本身角度,还是从攻防层面来看的安全需求角度,端点检测与响应都有了更加明确的需求。

3.1.1 主机是最关键的保护对象

  如今的IT环境,企业的关键数据、系统都在主机端:企业的业务系统、CRM系统、ERP系统等关键系统都以主机为中心运作;同时,企业的重要数据,如客户与员工相关的隐私信息、企业的财务数据等,都会存储在主机端。可以说,主机对于攻击者而言,是蕴藏着大量数据财宝的地方,是攻击者千方百计希望能够进入的地方。对企业自身而言,一旦主机系失陷,对日常业务的运作也会大受影响,产生直接的经济与声誉损失。

  而另一方面,终端尽管也会存在一定数量的敏感信息,如一些机密文件、软件代码、潜藏的凭证等,但是数量总体而言极少。除极少部分信息以外,其他少量的敏感信息,即使造成泄漏,对企业的危害也远远不如主机失陷导致的破坏。

  因此,从防护的重要性来看,主机是整个网络环境中最关键的保护对象。

3.1.2 终端逐渐成为新边界

  尽管说主机是整个网络环境中最关键的保护对象,不代表终端,或者说桌面端,就不应得到足够的安全关注。事实上,终端反而在这个情况下应该获得更多的安全关注度。

  云技术的出现模糊了边界,使得传统的单一边界入口防御效果逐渐下降。另一方面,由于疫情的影响,远程办公也在被越来越多的企业所采用——终端接入内网的环境,在外网的时候又接触了哪些东西,都会成为对主机的潜在威胁。

  事实上,如果我们从企业的IT运作来看,终端已经成为了进入企业内网、业务主机的入口。而从攻击者视角来看,很少有攻击直接命中核心主机,往往都是通过钓鱼等手段先从攻陷部分终端,获取相关员工的凭证,再通过该终端或者凭证进一步对内网进行渗透;而近年来十分猖獗的勒索病毒以及挖矿病毒,也是通过感染一个终端之后,进一步横向移动进行感染。

  因此,尽管一直在提及“边界模糊化”,实际上模糊化的边界是传统网络架构中单一、直线的边界点。“边界”本身并未模糊化,而是抽象化了,大量接入内网主机的终端设备作为一个个入口,无疑成为了新的边界概念。

EDR01.jpg

3.1.3 EDR的两个切入点与两个演化路径

  站在EDR的演化角度,从传统杀毒软件,到EPP,再到EDR,其主要部署位置都在终端/桌面端。可以说,从各个终端/桌面端设备入手,是EDR天然的切入点,也是大部分EDR供应商的EDR解决方案的演化过程。

  然而,在终端切入点的具体演化过程中,又有两个路径。一方面,是原本就拥有EPP完整解决方案的厂商,将EDR作为自身EPP的补充能力,基于自身对整个端点环境安全能力的沉淀,再进一步提升关联分析能力,可以更为有效地实现Gartner对EDR定义的能力。另一方面,是原本的桌面防护厂商,从整体桌面端的防护与响应手段入手,逐步完成对于未知威胁的检测、遏制、溯源,以及修复的功能。

  而在服务器/主机端,同样看到了有厂商从这一点进行切入。在Gartner对CWPP模型的要求中,EDR也成为了CWPP能力中的一部分。通过在CWPP中加入EDR能力,CWPP能够更全面地掌握云主机的运行状态,发现潜藏的威胁,并对威胁进行一定程度的溯源。鉴于主机对整个企业业务的运作有着举足轻重的作用,在主机端的EDR能力能够协助CWPP构建最后的防线。因此,从主机侧开始建设针对主机端的EDR能力,也是安全需求的结果。

  不过,需要注意的是,由主机端切入的EDR能力相比从桌面端起家的EDR能力,会有一些缺陷。比如,缺乏在桌面端安全能力的积累,缺少从桌面端的适配能力,从而检测和响应范围很大程度上只局限于主机端,无法覆盖全端点系统,防护范围相对有限;同时,由于其端点类型的覆盖面受限,在事后的追踪溯源时,很难重现完整的,从攻击发起点到攻击结束的攻击链情况。面对要求全端点类型覆盖的客户,从主机端切入开始实现EDR能力的厂商,需要时间和案例来弥补这些潜在的缺陷。但从另一个维度来看,从主机层面出发的EDR能力本身更偏向于以主机安全需求为主的客户——这是企业在选购EDR能力的时候,需要衡量的一个因素。

3.2 数世咨询的EDR概念

  基于以上调研中发现的国内情况,数世咨询基于Gartner对EDR的定义,认为国内的端点检测与防护概念如下:

  端点检测与防护(Endpoint Detection and Response,EDR)是一种基于采集、记录并存储数字环境中各端点行为数据与状态数据,并对数据进行关联分析,以应对威胁的安全能力:通过对端点数据的分析,检测出环境存在的威胁,并能进行隔离、查杀等响应手段;同时,对已发生,以及正在发生的安全事件,实现追踪溯源;针对潜在的风险(如二次攻击、有漏洞系统等),基于客户的需求,提供一定的修复与保护建议。最终,实现包括主机在内的整个数字环境中,对未知威胁与高级可持续威胁的检测与响应。

3.3 EDR核心价值

  基于以上数世咨询对EDR的概念理解,数世咨询认为EDR的核心价值有以下三点:

3.3.1 未知威胁与高级可持续威胁检测

  如今的数字环境攻防状况,最大的威胁是未知威胁,以及潜在的APT攻击。然而,传统的端点杀毒软件由于依赖规则库,无法应对这些基于未知漏洞,以及基于人员的威胁。EDR基于各个端点数据的关联分析能力,不仅能够通过IOA,还能够通过IOC,发现遭到攻击的设备,将受害情况尽可能在早期限制在可控制范围内。

3.3.2 威胁响应

  在对威胁的检测之上,EDR还需要能对发现的威胁采取一定的措施。除了传统的杀毒软件中会进行的查杀行为之外,EDR更需要能尽可能将威胁控制在受攻击端点的隔离能力。因此,微隔离技术能够和EDR结合,更好地实现威胁控制。

3.3.3 溯源取证

  对于现代的数字攻防,需要的不仅仅是能够防住攻击,更需要的是知道那些已经对自身环境实现了数个攻击步骤成功的原因。因此,就需要能对检测到的攻击进行溯源。基于端点的数据信息,通过对攻击的追踪溯源,发现自身端点设备中存在的安全隐患,从而采取后续的安全手段,降低之后攻击的成功率。

  另一方面,在大型演练活动中,能否发现攻击来源,也是演练的关键得分项。

3.4 EDR的局限性

  EDR在落地实践上依然存在着一些局限性。首先,EDR最多被人诟病的地方在于EDR如其名,只能对端点上发生的问题进行检测和响应,对网络流量、业务系统等其他领域则缺少关联能力,无法全面掌握环境中的威胁情况——这也是XDR逐渐开始兴起的原因。

  另一方面的问题在于客户对EDR产品的信任度以及使用习惯情况。在Gartner对EDR的定义中,要求EDR能够为“受影响系统提供修复建议”的能力。但是,在调研中发现,尽管国内厂商都有能力提供相关功能,但是客户很少会启用相关功能——主要原因还是出于业务的正常运作:国内客户依然对安全产品直接修改、接入相关系统运行有着一定抗拒,担心部分行为是否会影响自身系统的运作。只有当客户对安全厂商有极高的信任的时候,才会愿意使用相关功能。这一点上还需要安全厂商和企业进一步磨合,因为不只是在EDR产品,在其他安全解决方案上也会存在类似问题。

4 EDR关键能力

  为了能够实现未知威胁检测、APT防护、威胁响应、与溯源取证,数世咨询认为,EDR能力可以从以下角度维度来衡量。

4.1 防病毒引擎

  尽管说EDR不依赖于规则库对已知病毒进行查杀,但是EDR依然需要结合IOC(攻陷信标)和IOA(攻击信标)对现有状态进行分析,以实现对各类病毒的检测效果。

  尤其在某些离线场景下,无法通过云端分析的能力实时判断环境中是否出现新的威胁,就需要依赖EDR本身的防病毒引擎能力进行病毒的检测与响应。

4.2 数据采集与分析能力

  无论是EDR要实现的对未知威胁的检测要求,或者是对安全事故的溯源要求,其核心都是EDR本身的数据能力:数据采集与数据分析。

  没有足够完整的数据,就无法进行有效的分析。因此,EDR必然需要强大的数据采集能力,能采集到端点上的各类关键数据。不同厂商会对采集数据有不同的分类方式,在采集数据的种类上也会有一定区别。企业在选购产品时,需要了解EDR厂商具体收集的端点数据类型是否和自己环境匹配。

  另一方面,数据采集的价值在于分析。EDR能力能否有效地关联各个端点采集到的数据,并且分析后检测出威胁非常重要。在数据采集过程中,即使数据采集得足够多,在分析阶段一旦无法被合理使用,也是没有价值的。因此,企业同样需要进一步了解EDR厂商采集的数据以及其关联分析方式中的一些逻辑。

  最后,在数据采集和数据分析之外,还有一项值得关注的数据能力:数据输出。“大统一”的安全解决方案是最理想的状态,但现实情况是大部分情况都需要多个不同安全厂商的安全产品共存。一旦这些产品无法协同,那就无法把握整个数字环境,更遑论XDR、态势感知。然而,在多厂商产品结合的过程中,数据标准不统一,或者本身输出的数据缺乏价值性都会成为痛点。

  企业在选择EDR厂商的时候,对于单点能力突出的厂商,还需要考虑其数据输出能力。这需要EDR产品能够和多个不同安全厂商进行数据对接,同时输出的数据也应该尽可能是更为有效、有价值、经过处理的数据,而不是将大量的原始数据直接进行输出。

4.3 响应策略

  既然是端点检测与响应能力,除了检测,自然需要响应能力。EDR能力需要提供一系列响应能力,包括查杀、隔离、告警。从当前的情况来看,隔离能力最为重要。因为对于企业而言,最需要保护资产的是主机;因此,防止威胁在网络中扩散到主机最为关键。当安全事故发生的时候,需要将威胁因素限制在相关端点之中,避免其扩散到其他端点,甚至主机,将危害限制到最低。另一方面,将威胁限制在少数有限的端点上,也更利于企业在事后进行追踪溯源。

  在理想状态下,我们会期望响应行为能够自动化进行。但是在实际环境中,会遇到各种问题,包括异常行为难以判定是否属于攻击行为、某些响应行为是否会影响业务等情况。因此,现在的响应机制依然需要靠自动化与人工协同,通过安全策略设置,将大部分安全事件自动化处理,将一些难以区分或者处理的事件交由安全专家手动处理。但是,安全策略的设置对EDR能力的分析能力与策略配置能力也提出了一定的要求。

4.3 威胁情报

  对于安全事故的溯源取证,不仅依赖于数据采集的颗粒度,以及对于端点数据的分析能力,同样需要威胁情报的协同。尤其是在大型演练场景中,参加演练的企业不仅需要能够检测到攻击事件,更需要通过发现攻击来源获取加分。这个时候,就不仅仅需要从内部进行溯源取证,还需要对外部的网络环境有溯源能力,就需要依赖威胁情报的协助。

  在事前防护阶段,威胁情报还能根据当下的威胁态势与信息,结合自身环境进行分析与检测,从而降低误报率,并为安全运维人员提供有价值的分析信息,对环境内的设备进行针对性的防护。

4.4 安全服务

  我国安全人才缺口依然比较大,企业本身缺乏安全运维人才。从投资回报的角度来看,对于大部分企业,通过从安全厂商处以安全服务的方式进行安全运维依然是一个更有利的方式。因此,对大部分安全能力而言,“产品+服务”的模式会逐渐成为主流——EDR也不例外。

  从EDR角度来看,安全服务除了需要日常的防护之外,更重要的是让安全专家使用EDR能力进行溯源。优秀的安全专家团队能够基于EDR的数据,对安全事故进行梳理,还原攻击路线。

  但是,值得注意的是,安全专家的溯源能力和EDR的数据输出能力是相辅相成的。如果EDR本身能够梳理各类数据,并且形成易于分析、阅读的数据内容,也能大大提升安全专家的溯源和分析效率。

5 EDR购买建议

  对于考虑购买EDR的组织,需要从以下先从以下几个维度考虑。

5.1 端点环境现状与安全规划

  组织首先需要把握自身IT环境中端点的情况,包括数量、种类、使用的操作系统类型、当前安全能力等。基于自身当前的端点能力与端点安全能力现状,结合自身的预算,总结出当前自身在端点安全层面的最主要需求。

  在当前的端点能力与安全需求之上,还要结合未来的发展计划。从端点系统角度来看,在未来几年内,是否会大幅度增加端点数量?是否会大规模更新系统?尤其在信创产业高速发展的情况下,是否会大规模替换操作系统?从安全需求角度来看,如果当前的需求是以传统杀毒或者终端防护为主的安全策略,未来如何针对未知威胁进行防御?考虑到不同厂商能力点的不同,如何平衡当下的安全需求与未来发展安全的安全需求?

  这些都需要企业从自身出发进行考虑。

5.2 易用性、兼容性与有效性

  除了组织端点环境状态,企业自身的人员安全能力也需要加入考虑范围。功能强大的EDR产品未必对任何IT人员都好用。虽然说安全厂商能够输出安全专家以服务的方式进行专业的日常运维与威胁检测,但并非所有的组织都会让安全厂商人员长期驻场。因此,结合自身人员能力,对EDR产品的易用性也是一个考量点。

  另一方面,虽然说主流EDR厂商都能够适配大部分的Windows与Linux的端点系统,但是具体落地依然需要根据组织自己的业务环境进行适配。不同厂商的产品在不同客户处对业务的影响情况也会有所区别,组织需要根据自身的环境,评估厂商EDR产品能否在自己的业务环境中兼容。

  在EDR产品能够在影响最小的情况下,在组织的环境中运行时,就要评估该产品能否检测出自身面临的主要威胁,并且采取相对应的措施。这就需要组织通过实际测试评估产品的有效性。

5.3 整体解决方案VS第三方联动性

  企业未来安全规划的另一层面,是要考虑整体解决方案与第三方联动性之间的选择。如果组织从零开始选购EDR产品,就需要考虑一个问题:未来发展的时候,当安全需要进一步建设的时候,是偏向于单一厂商的整体解决方案,还是多厂商之间进行协同?

  如果组织偏向于一个厂商的整体解决方案,就需要选择产线丰富,并且逐渐能够将自身的各个安全能力进行协同的综合性厂商。但是,如果组织暂时希望能针对某一个安全需求,寻求靠单品能力最为突出的厂商,就需要考虑今后如果需要启用XDR、TDR等需要协同安全能力的情况时,该如何解决。比较保险的方式,是选购单品能力突出的厂商时,同样衡量其数据输出、与其他厂商安全产品协同的能力。这样,即使今后的发展中,使用多家不同厂商的产品,依然有希望达成各个安全能力之间的联动效果。

6 EDR应用案例

  某金融项目案例(本案例由安恒信息提供)

6.1 场景介绍

  某城市商业银行,全行包括各营业部及支行共55家机构,作为国家重要的信息基础设施行业,围绕网络区域边界、终端已经搭建了初步的网络安体系,但随着网络空间大环境的安全形势日益严峻,网络攻击、入侵手段的不断升级,传统的基于特征库或模式匹配的静态检测方法无法满足动态检测威胁的要求,面对频发的0day 攻击、高级未知威胁攻击,无法进行有效的拦截和检测,缺失针对性的应急响应机制。

6.2 客户需求

  • 能够感知、发现、及时遏制正在进行中的未知威胁。

  • 防范勒索病毒攻击。

  • 针对安全威胁事件,做到自动化威胁响应处置,运维人员可自主编排安全响应动作。

  • 产品安全能力对行内的业务零入侵、具备高度的稳定性。

  • 对行内发生的安全事件做到完整的调查取证与深度的溯源分析。

6.3 解决方案

EDR03.png

EDR04.png

图片来源:安恒信息

  EDR的服务端采用BS/CS混合架构,通过网页端登录服务端控制中心实现对客户端的防护策略下发管理、威胁分析、威胁处置等。安恒技术人员根据该企业的网络特点,给企业部署了多套服务端,通过级联的方式进行统一管理,上级中心查看全网终端安全态势。最终实现如下功能:

6.3.1 高级威胁检测

  部署安恒EDR后开启高级威胁全流程防御模块、对攻防对抗各个渗透阶段进行防护:

  • 单机扩展:针对本机的扩展行为(信息收集、本机提权等)进行监测,防止提权行为和信息泄露 。

  • 隧道搭建:识别渗透过程中的隧道代理(内网穿透、端口转发、代理等),可阻断隧道代理搭建行为 。

  • 内网探测:对内网的恶意攻击行为(哈希传递、漏洞利用、横向移动)进行识别,可阻断恶意探测行为 。

  • 远控持久:对失陷后主机远控持久化(反弹shell、远程控制)行为进行检测,可阻断远控 。

  • 痕迹清除:可对渗透的收尾阶段的数据清理行为进行识别和阻断。

6.3.2 勒索防御

  主机部署EDR客户端后,通过管理平台可立即开启EDR勒索防御病毒实时防御能力。

  EDR的专利级防加密引擎在内核层预置诱饵文件,面对未知类型的勒索病毒,在加密程序运行时可立即阻断,并记录其特征。

  EDR文件保险柜,作为守护文件安全的最后一道防线,用文件过滤驱动技术防止文件被非法加密,同时支持设定合法的数据访问进程,确保数据可用不可破坏。

6.3.3 未知威胁分析

  基于威胁情报

  通过多源威胁情报对外部资产发现和监控,发现暴露于互联网侧的资产信息,并对资产的威胁状况进行监控,同时供安全分析人员进行事件的误报分析和上下文信息获取。

  基于大数据&机器学习

  部署EDR后利用AI技术,通过机器学习算法快速训练现场安全场景,对异常行为进行定位跟踪。通过风险阈值进行智能动态调整,实现智能安全判定,对残余风险、隐蔽威胁、未知攻击和0day攻击等未知风险进行检测。攻防对抗期间使用的安全分析建模功能有:

  • 攻击者画像建模分析:实现对攻击者的多维度画像分析,至少包含攻击者的网络指纹数据、偏好攻击手段、攻击破坏力分析等维度,并提供高度可视化的工具,实现攻击者维度对事件的追溯分析。

  • 资产画像建模分析:实现对企业内网信息资产的多维护画像分析,至少包含资产的风险点、被攻击的趋势、频繁被攻击方式、攻击影响范围以及资产的风险值等,并提供高度可视化的攻击,实现资产维度的安全事件的追踪溯源分析。

  • 安全事件组合关联分析:针对某一安全事件的攻击链追溯分析,提供针对资产的关联攻击链日志以及系统漏洞信息关联分析,为运维人员提供攻击链日志和漏洞对比信息,快速感知当前资产的安全状况。

6.3.4 安全自动化响应

  在攻防对抗期间,基于客户实际的管理流程以及风险处理流程,对事件分析与响应流程进行标准化、流程化。通过编排响应技术,把人、过程和技术结合起来,极大地提高安全运营效率,也将企业安全分析员从耗时且重复的分析工作中解放出来。

EDR05.png

  图片来源:安恒信息

6.3.5 安全溯源分析

  EDR攻击溯源联动分析功能在确定攻击事件后会回溯所有攻击相关的网络数据包,对系统近期的所有行为进行串联,确定攻击事件的整个事件周期,展示整个攻击事件的所有攻击路径。

  还原攻击过程以检测威胁为基础。攻击者可能采用多种绕过技术绕过了大部分检测机制,这时通过大数据分析模型检测到攻击者的IP,还原该IP的所有行为重新回滚,进行二次分析,避免了因攻击者不连续的攻击而造成漏报。

  如某攻击者第一天对系统仅仅是简单的扫描探测,但几天后又对该系统有进行其他疑似攻击行为,单条行为都不满足攻击的报警条件,传统安全设备则会单独处理不同的安全事件,而该系统则会利用大数据分析模型对不同时间的攻击行为进行串联,做二次深度分析。

  主要提供如下溯源分析功能:

  • 攻击者维度溯源分析:通过攻击入口确定分析过程,获取攻击者的网络指纹,结合威胁情报数据,获取攻击者的网络身份。

  • 资产维度溯源分析:以资产维度分析,识别并深入分析资产受到的攻击、安全现状等。以攻击维度分析,识别攻击者的历史攻击事件、攻击方式偏好、攻击时间偏好、攻击威胁源等。

6.4 客户价值

  • 在攻防演练期间成功帮助用户阻断多次高级威胁入侵,并且针对威胁进行深度的溯源取证。

  • 基于数据保护需求,构建了纵深的勒索专项防护,保护了核心业务数据不被非法破坏。

  • 帮助企业和组织,将事件分析与响应流程标准化、流程化,做到风险自动关联、自动化响应处置,提高安全运营效率,缩短事件响应时间。

6.5 客户反馈

  内部服务器部署安恒EDR后,通过资产盘点功能以及风险监测功能,实现了对现有资产数据、资产风险、系统脆弱性的全面梳理;同时针对风险,能做到主动分析、加固和修补。

  针对勒索病毒,能从事前、事中、事后的角度,对其传播与攻击进行有效的防御,大大提高了勒索力。

  在红蓝攻防对抗活动中,成功发现多起利用0day漏洞进行定向攻击的高级威胁,做到了高效的阻断;并且通过其威胁溯源能力,精准地溯源到了攻击者。

  同时通过利用EDR的自动化编排响应能力,针对一些关键的风险事件能够做到自动化的快速响应,有效解决了人力分析不足和报警信息孤立的问题,大大提高了安全响应的效率。

7 EDR市场指南

7.1 EDR点阵图

EDR06.png

  • 参与本次EDR安全能力点阵图的安全厂商有12家,分别为:安恒信息、安全狗、安天、北信源、江民科技、杰思安全、绿盟科技、奇安信、深信服、天融信、网思科平、亚信安全。

  • 本次EDR安全能力点阵图将厂商分为三种:

   融合源:本身拥有多样产品线的综合性厂商,能够通过部分其他产线能力(如专有的威胁情报团队)将EDR能力进一步发挥。

   专注源:专注以EDR为自身主要产品的厂商。

   能力源:在某一方面(如病毒查杀、主机防御)有突出能力,围绕该能力拓展成为EDR的厂商。

7.2 EDR市场调研

  • EDR在数世咨询定义的市场成熟度,概念市场、新兴市场、发展市场与成熟市场四个阶段中,位于发展市场阶段。在数世咨询发布的《中国数字安全能力图谱》中属于“信息基础设施保护”维度中的“端点安全“技术领域。

2021年度数字安全成熟度阶梯(信息基础设施).pngEDR08.png

 中国数字安全能力图谱:信息基础设施保护(部分)

  • 根据调研,国内最早EDR相关产品出现在2016年,头部厂商从2017年开始进入EDR市场。

  • 据本次调研统计,2020年国内EDR市场规模约在10.45亿元左右,综合各家提供商的判断,预计2021年将达到15.46亿元左右,2022年将达到20.08亿元左右。在未来几年,信创产业将成为EDR能力主要的市场突破口。

EDR09.png

  • 在参加本次EDR安全能力调研的安全厂商中,EDR安全能力的平均收入为8710.41万元,但收入标准差则高达5425.63万元。EDR的市场占有相对明显。

  • 据调研目前EDR交付模式主要可分为三种:单一标准化产品、定制化及运营产品以及集成模式。其中主要以“单一标准化产品”交付的比例占62.45%、以“定制化运营产品”形式交付占12.47%,集成模式占21.35%。另外,订阅及其他模式占3.46%。

EDR10.png

  • 从销售方式来看,厂商直接销售和通过渠道销售占比差距不大。但是,在调研过程中发现,对于单一厂商,EDR销售的方式本身呈现两极化:单独厂商本身通过自身直销占比非常高,或者通过渠道销售的占比非常高,很少出现单独厂商自身两种销售方式占比差距很小的情况。

EDR11.png

  • 如下图所示,国内各行业用户对EDR的投入情况,排名前三的为:地方政府(12.36%)、金融(11.80%)、国家部委(10.49%)。从整体局势来看,国家相关单位、机关对端点安全非常重视。考虑到未来信创产业的发展,国家相关单位在EDR方面的占比会进一步扩大。

EDR12.png

  • 从客户的分布来看,华北、华南和华东依然是该领域安全产品的主要客户群体,其中华北占比最高达35.72%,华南其次占21.74%,华东第三占20.95%。

EDR13.png

  • EDR的落地推动因素,除了等保合规的政策性因素之外,还因为攻击的形式越来越多样,越来越隐蔽。常规的端点防护手段防不住,传统的特征库查杀方式发现不了,这时就需要基于关联分析的EDR能力对未知威胁进行检测和响应。另一方面,EDR能力中的溯源取证也帮助企业在大型演练活动与日常安全运维当中能够更好地定位攻击来源,从而实现自身的安全目标。

  • EDR的落地难点主要在于客户的IT环境复杂。一方面是本身IT结构复杂,不同资产的关联需要厘清。另一方面在于端点系统本身呈现的多样性增加了环境的复杂程度:信创市场后发先至,会给IT的操作系统环境带来巨大的变化;而随着物联网的进一步发展,企业环境中的物联网设备数量也会增加,包括员工自用的智能手机、平板电脑等,都会成为企业网络的入口,使得企业的端点环境持续变化。

8 EDR未来趋势

  EDR虽然已经不是一个新的概念了,但是在国内落地情况依然处于发展中阶段。从未来来看,EDR能力有以下三个方向。

8.1 纯粹安全能力与解决方案

  当前来看,EDR作为单一标准化解决方案有着62.45%的部署情况,但是从未来来看,EDR能力会有作为纯粹的安全能力与解决方案的两个变化方向。

  EDR本身的出现是为了弥补传统杀毒与EPP的短板,因此其本身就带有一定的附属性质。从能力目标来看,要实现的主要还是针对未知威胁的防御以及溯源效果,其技术核心就是针对端点数据的采集与分析。从这个角度来看,EDR很难单独承担完整的端点安全功能,因此更倾向于作为纯粹实现未知威胁检测与响应,以及溯源能力,作为整体端点安全解决方案的补充。在本次调研中发现,融合源厂商对于整体的端点安全都强调了“EPP+EDR”的部署模式;不少客户对于端点安全软件的使用,依然主要依赖于EPP能力,并不开启EDR能力模块。在未来,当这一部分客户开始意识到EDR的必要性时,会逐渐加大EDR作为纯粹安全能力的收入占比(即作为整体解决方案的一部分或者部分定制化集成与交付)。

  同时,CWPP中也提到了对EDR端点数据采集的使用,代表了EDR作为纯粹的安全能力,在主机安全层面会有极大的价值。综合而言,EDR在长远的发展维度,会更趋向于逐渐成为纯粹的安全能力,作为更大规模的安全解决方案的一部分。

  另一方面, EDR整体解决方案在未来三年内依然会是比较主流的能力提供方式。但是,作为解决方案的EDR需要更多的改进。在调研过程中发现,不少EDR能力作为整体解决方案出现的时候,不仅仅会提供EDR概念中需要的检测、遏制、溯源的能力,还会有资产管理、虚拟补丁等额外功能,逐渐演化为“以EDR为核心的终端管理能力”。

  EDR演化的两个方向其实代表了两种对EDR不同的发展理念:是将EDR作为一种EPP、CWPP或者端点安全总体解决方案的额外辅助能力,还是认为端点的安全应该直接由“检测与响应”出发进行一体化解决方案。

8.2 EDR 到TDR

  随着XDR概念的提出,就开始不断有声音表示EDR即将走到尽头,但事实上并非如此。

  EDR的缺陷在于只采集端点侧数据,缺乏和其他安全产品的联动性(如NDR),从而难以将关联分析更进一步扩展到整个环境。XDR概念的提出就是为了解决安全产品之间缺乏协同的问题。因此,XDR即使要进入实践,从当前来看,EDR能力依然是一个核心组件。另一方面,XDR的落地有两个方向:集成平台融合多家不同厂商的产品,或者单独综合性厂商自身完成协同。在前者的方式下,独立的EDR解决方案依然会成为关注点,因为集成平台可以将不同厂商的产品协同到一起,从而让企业能够选择每个领域最佳的产品。

  从国内的发展来看,TDR(Threat Detection and Response)更可能成为趋势。无论是“威胁情报”,还是“威胁狩猎”服务,都是从“威胁”的角度出发,而近年来的大型演练活动更突显了这一点:当下,数字环境的核心,是出于“威胁”的应对。无论是检测,还是响应,都只是手段;而检测和响应这两个手段的目的,是为了处理“威胁”。

  因此,从“威胁”这个维度出发,构建数字环境的安全体系,会是国内未来的趋势。在这一场景下,端点显然是直面“威胁”的重点区域。对于组织和机构而言,无论是作为独立的解决方案,还是作为TDR中的一个关键组件,EDR能力必然会成为整体安全结构中的重要一环。

8.3 信创

  在由众诚智库发布的《中国信创产业发展白皮书(2021)》中提到,未来三年内,我国信创市场容量将突破万亿元。这个庞大的市场同样离不开安全。

  尤其在国内信创领域还处于初期发展阶段,研发层面会更侧重于能力的实现,这就需要安全厂商的端点能力去补足防护的需求;另一方面,由于信创产业的快速发展,信创系统的更新迭代也会非常的频繁,这也就需要安全厂商能够将自身产品的适配能力跟上信创系统的步伐。

  我国关键行业、部门大规模替换信创产品是必然趋势,这给EDR市场带来的绝对的市场机会。但是,能否抓住这一机会,需要技术的积累,以及和信创市场的磨合。

8.4 泛终端化

  物联网的发展必然会造成企业IT环境中的端点类型越来越多样。IT环境不再是计算机、服务器,以及打印机之类的传统办公网络设备,还逐渐增加了智能手机、平板电脑、工作台等员工个人使用的设备。未来,甚至还可能有更多如智能手表等可穿戴的个人设备出现在企业的网络当中——而这些设备都可能能够进入企业网络,成为隐患的传播者。

  这些物联网设备都有两个共性。

  一个共性是本身移动性强,难以管理。因为员工会使用自己的设备,但这些设备并不会长久地停留在企业网络中,而是会频繁在企业网络与公网环境中移动,带来了极大隐患。

  另一个共性在于设备本身的多样性与复杂性。不同设备会来源于不同的制造商,会采用不同的系统和版本,因此也会存在不同的安全隐患,使得统一管理和对安全事件的溯源更为困难。

  因此,EDR未来的方向之一,也会和移动安全与物联网安全产生交集,不仅需要和客户合作产出解决方案,还可能需要和物联网厂商协作,完善在物联网设备的兼容性覆盖面。

8.5 EDR SaaS

  从国外市场来看,以CrowdStrike为代表的EDR厂商在EDR SaaS上发现了大量的市场需求。EDR SaaS可以借助厂商在云端的能力,得到更多的计算分析能力,同时可以借助云端专家和威胁情报的能力,进一步提升安全分析能力。

  尽管说国内不少企业和机关单位对公有云依然保持怀疑态度,但是行业云的发展可以弥补公有云在这些机构中的乏力。因此,行业云、政务云是EDR SaaS未来的巨大市场。一旦相关的行业云、政务云的供应商意识到了EDR SaaS能够给行业内企业带来的巨大安全价值,EDR SaaS的落地也自然水到渠成。



参考阅读

中国数字安全能力图谱-信息基础设施保护(2021.8)

数世咨询:网络空间资产测绘(CAM)能力指南

数世咨询发布:威胁情报市场指南

DevSecOps能力指南

数世咨询:网络靶场能力指南