Nick FitzGerald  ESET 資深研究員

　　首先講一講為什么談EDR？所有的信息系統(tǒng)都有端點(diǎn)，在場(chǎng)的都是業(yè)內(nèi)人士，一提到端點(diǎn)不要想到臺(tái)式筆記本這些，要擴(kuò)展你的思維，一切跟網(wǎng)絡(luò)連接的東西，包括像平板、服務(wù)器等等。講端點(diǎn)的時(shí)候需要保護(hù)措施，免得網(wǎng)絡(luò)亂用攻擊。

　　第一點(diǎn)，有些代碼是沒有監(jiān)測(cè)出來的惡意代碼，包括有一些代碼是合法的，但使用是惡意的。

　　第二點(diǎn)，相關(guān)的機(jī)構(gòu)需要做的事情，一定要去監(jiān)控這些端點(diǎn)，而且要去監(jiān)測(cè)有沒有相關(guān)的威脅存在，還有如何響應(yīng)這些威脅。

　　在談到為什么講EDR的時(shí)候，這一頁(yè)非常的重要。所有的端點(diǎn)有相關(guān)的安全軟件，包括我們公司也有，防病毒、反惡意軟件，端點(diǎn)的保護(hù)產(chǎn)品ESET，剛剛講我是來自ESET的公司，公司也有很多端點(diǎn)防護(hù)安全的產(chǎn)品。另外，考慮到有些應(yīng)用程序白名單，軟件的防火墻、補(bǔ)丁管理措施等等。

　　可能現(xiàn)場(chǎng)的朋友會(huì)提問或者有疑問說，我的公司企業(yè)正在用的是別的版本或者是其他軟件、其他系統(tǒng)，為什么要特意講一講關(guān)于EDR呢？你要了解到資質(zhì)、系統(tǒng)內(nèi)置。也有可能您企業(yè)正在用的安全軟件挺滿意，保不起哪一天遇到零日攻擊的事情，當(dāng)下您怎么處理？這可能會(huì)是另外的選擇。即使我們做到了萬全的措施，仍然有網(wǎng)絡(luò)的使用者，這些網(wǎng)友或者用戶們不一定完全按照您給他培訓(xùn)以及指導(dǎo)方針來做。也就是像這一幅圖表示的，明明有警告指示牌在那兒，并不一定每個(gè)人會(huì)遵照它來做。

　　如果您真的想要考慮EDR解決方案的時(shí)候，有哪些因素要特別考慮其中？首先您要了解EDR不是指某一個(gè)東西或者某一個(gè)元素，它其實(shí)是一系列安全工具的組合，而且關(guān)注的是各個(gè)端點(diǎn)的思維擴(kuò)展。零日攻擊的問題，可能是有目標(biāo)性持續(xù)的網(wǎng)絡(luò)攻擊也是您可以考慮的。有可能你內(nèi)部的員工與外面串謀起來造成的網(wǎng)絡(luò)攻擊或者其他的事件也可以關(guān)注。

　　常常有朋友或者業(yè)內(nèi)朋友會(huì)問我一個(gè)問題，EDR和EDP是不是一樣的？EDR講端點(diǎn)的監(jiān)測(cè)和相應(yīng)，EDP是ESET生產(chǎn)一系列關(guān)于端點(diǎn)防護(hù)的產(chǎn)品。我常常被他們問，首先會(huì)說，是一樣，也不一樣。EDR相關(guān)的有一些術(shù)語、一些工具，隨著你遇到網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)環(huán)境和各種威脅的變化，這些東西前者也必須進(jìn)一步拓展。

　　在比較早期的時(shí)候，每次提到早期的端點(diǎn)威脅，通常會(huì)把它定義成僅僅只是病毒，一般有了一個(gè)產(chǎn)品會(huì)說這是防病毒、殺病毒的。早期叫病毒，接下來會(huì)有木馬病毒，包括剛才提到惡意的代碼，這個(gè)時(shí)候有怎么稱呼的問題。一開始是叫反病毒，別人會(huì)叫反惡意軟件的，其實(shí)目前是沒有統(tǒng)一的。

　　接下來發(fā)現(xiàn)有各種各樣的網(wǎng)絡(luò)攻擊被一一識(shí)別偵測(cè)出來，面對(duì)不同的問題，包括各種新興手段方法都層出不窮。你這個(gè)時(shí)候應(yīng)該把它叫EDP，這種防護(hù)測(cè)試就是剛才提到的端點(diǎn)保護(hù)測(cè)試相關(guān)安全產(chǎn)品。通常越大、越復(fù)雜的系統(tǒng)會(huì)發(fā)現(xiàn)整個(gè)流程、系統(tǒng)的圖表會(huì)越來越復(fù)雜，甚至比現(xiàn)在動(dòng)態(tài)展示給各位朋友的更加復(fù)雜。其實(shí)復(fù)雜性是兩面的，第一，系統(tǒng)作為整體是復(fù)雜的。第二，大家理解上面的每一個(gè)要素本身自己也是復(fù)雜的。所以也就是說整個(gè)復(fù)雜性涉及兩個(gè)方面。

　　用一句話小結(jié)剛才之前的幾個(gè)幻燈片內(nèi)容，以前叫做防病毒、殺病毒，現(xiàn)在更多的是EDP比它更復(fù)雜一些，因?yàn)槲覀冊(cè)黾恿硕它c(diǎn)管控的措施，中間這些跳過，不再給大家贅述。即便是這樣，你還會(huì)發(fā)現(xiàn)那些網(wǎng)絡(luò)攻擊的人也在進(jìn)步，所以還是會(huì)有網(wǎng)絡(luò)攻擊成功。我相信很多朋友都知道，有可能是專業(yè)的業(yè)內(nèi)人士幫他，也有可能您企業(yè)內(nèi)部員工幫著他們串謀在一起，還有可能種種其他的原因。我相信大家會(huì)同意我，常常發(fā)現(xiàn)要取證的時(shí)候是最頭疼的一件事情，不僅要取證，還要找到解決方案，所以這會(huì)是一個(gè)問題。

　　什么是EDR？總結(jié)起來有五大功能或者五個(gè)最重要的能力。第一個(gè)，可以監(jiān)測(cè)出安全事件發(fā)生。第二個(gè)，進(jìn)行細(xì)致的調(diào)查。第三個(gè)，把這些放到端點(diǎn)處進(jìn)行研究。第四個(gè)，有沒有補(bǔ)救措施或者修補(bǔ)措施？第五個(gè)，你希望未來不再發(fā)生，還有通過這一次經(jīng)驗(yàn)教訓(xùn)能夠做一些什么樣防護(hù)的措施？不希望接下來再發(fā)生類似的事情。

　　另外，除了剛剛提到EDR的五大能力以外，提到EDR會(huì)想到數(shù)據(jù)，現(xiàn)在是大數(shù)據(jù)的時(shí)代，想大數(shù)據(jù)時(shí)代的時(shí)候會(huì)蹦出來幾個(gè)數(shù)據(jù)，收集數(shù)據(jù)、挖掘數(shù)據(jù)、處理數(shù)據(jù)。我用了三行并沒有全部羅列出來，會(huì)處理相關(guān)的設(shè)備、ID、文件、設(shè)置、網(wǎng)絡(luò)流量、相關(guān)掃描、電子郵件過濾器，還有很多相關(guān)的各種文件、系統(tǒng)都是涉及到其中的。

　　當(dāng)你有了海量數(shù)據(jù)之后又進(jìn)行了一部分的處理或者挖掘之后做什么？你要進(jìn)行組織進(jìn)一步分析，怎么呈現(xiàn)出數(shù)據(jù)對(duì)你的意義是什么。這中間涉及到搜索能力、過濾能力、分組研究、分組處理能力以及最后要適事發(fā)出警報(bào)。這個(gè)過程是非常的復(fù)雜，包括未來是越來越自動(dòng)化的時(shí)代，同樣你要考慮這個(gè)事情。下一步如何做出積極響應(yīng)的措施？比如說，繼續(xù)深挖數(shù)據(jù)或者是病毒防護(hù)措施，最重要的是未來怎么樣避免這件事情重復(fù)的發(fā)生。

　　第一個(gè)，我用詞比較簡(jiǎn)單，想簡(jiǎn)單的告訴大家，假設(shè)一開始的時(shí)候網(wǎng)絡(luò)是干凈的、沒問題的。給大家解釋，一開始干凈的意思是兩點(diǎn)：（1）系統(tǒng)運(yùn)行正常。（2）獨(dú)立，沒有外來的入侵。大家知道我講故事的結(jié)局是出現(xiàn)不好的外來的攻擊，先把故事的開端跟結(jié)局告訴大家。中間有各種可能性，比如說，大家常見的有可能你在使用你電子郵件的時(shí)候出現(xiàn)惡意的軟件，還有可能你在插優(yōu)盤的時(shí)候不知道怎么回事帶來惡意軟件，還有服務(wù)器出現(xiàn)問題或者是其他惡意的攻擊。我想把服務(wù)器的問題作為例子詳細(xì)的講一下。

　　剛剛要講的是服務(wù)器的問題，一開始講系統(tǒng)是干凈的、獨(dú)一無二的，沒有外來入侵的。你的網(wǎng)站、服務(wù)器聯(lián)系的非常好，這個(gè)時(shí)候有壞人來做壞事了。在說這些網(wǎng)絡(luò)攻擊的時(shí)候，剛才有提到我們進(jìn)步的同時(shí)他們也在進(jìn)步。有一些人厲害到什么程度？不需要借助外來的任何設(shè)備或者是其他外來的一些技術(shù)，他就是我們用英文中轉(zhuǎn)成中文叫做“就地取材”。他入侵了你的系統(tǒng)、入侵了你的網(wǎng)站、你的服務(wù)器，在里面溜達(dá)一圈之后，他可以利用你里面任何參數(shù)或者本身具備的某種性能里面的東西就可以來做一些文章。

　　這個(gè)時(shí)候大家通常會(huì)怎么做？我猜有些朋友是為某個(gè)機(jī)構(gòu)或者是為某一家公司工作的，你的上司或者你本人就是上司，第一件事情是不同的部門決定一下到底發(fā)生什么樣的入侵。假設(shè)您正在使用的是講的EDR的解決方案，這個(gè)時(shí)候EDR能幫你做到的事情就是及時(shí)、快速的追蹤，到底是哪個(gè)環(huán)節(jié)或者是發(fā)生了什么樣的入侵，在服務(wù)器上檢查出來。還有識(shí)別出來是配置發(fā)生了問題，是哪個(gè)參數(shù)發(fā)生問題，是有補(bǔ)丁必須要馬上修復(fù)等快速的識(shí)別出來在做下一步，這個(gè)時(shí)候把服務(wù)器回到故事一開始的時(shí)候給大家講到干凈、獨(dú)立的服務(wù)器的樣子。

　　用一個(gè)圖給大家解釋一下，剛才講的入侵行為是怎么發(fā)生的。首先，不管您是主觀的懷疑有狀況發(fā)生，還是您的系統(tǒng)自動(dòng)的給您發(fā)出警報(bào)可能有狀況發(fā)生。我用激光筆指到黃色的位置是它首先的位置。因?yàn)槟昧薊DR，所以管理員第一時(shí)間會(huì)去關(guān)注，而且解決方案會(huì)幫助您清晰的看到入侵者是入侵到了哪個(gè)位置，是到哪一個(gè)步驟以及它整個(gè)入侵的路線是怎么樣的，你可以清晰的看到，這是第一點(diǎn)。也就是說，做出反映之前找到別人入侵行為的路徑。第二點(diǎn)，發(fā)出的警報(bào)，其實(shí)就是EDR的解決方案幫助您收到警報(bào)的。

　　同樣EDR怎么樣發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中有不當(dāng)?shù)男袨?？現(xiàn)在大家看到的這些設(shè)備、機(jī)器，有可能您是跟第三方合作的，收到來自于第三方的信息，可能有外來入侵或者是外來不當(dāng)作為影響到機(jī)器運(yùn)行，這個(gè)時(shí)候您想了解這一臺(tái)機(jī)器設(shè)備中某一個(gè)地方發(fā)生了什么樣的問題，是怎么洋法生的。

　　我用了比較夸張的圖像移動(dòng)，引起大家的注意。你識(shí)別出的是那一臺(tái)機(jī)器或者設(shè)備的那一個(gè)環(huán)節(jié)出現(xiàn)問題，這個(gè)時(shí)候EDR有一個(gè)很大的功能，可以幫助您日后的取證。它準(zhǔn)確的、精準(zhǔn)的識(shí)別了定位了，這個(gè)時(shí)候?qū)τ谀蘸蟮娜∽C是非常好的基礎(chǔ)。它也是跟這個(gè)例子或者其他的例子相關(guān)的，有一些細(xì)節(jié)會(huì)稍微談一下。更加復(fù)雜，但是又非常容易清晰操作理解的流程是這樣的，在上一步之后大家一目了然知道有很多的IP地址，通過地址知道某一臺(tái)機(jī)器怎么樣運(yùn)作，過程中就會(huì)精準(zhǔn)的追蹤到機(jī)器發(fā)生什么問題，另外遇到問題怎么去打破它，還有更加復(fù)雜的流程是怎么處理。

　　EDR還有一個(gè)很大的幫助，它能幫助我們根據(jù)現(xiàn)有的狀況去設(shè)計(jì)出一系列的規(guī)則。這個(gè)規(guī)則針對(duì)你怎么樣更好的去了解識(shí)別IP地址，這是針對(duì)IP地址規(guī)則的例子。這是關(guān)鍵軟件的例子，兩種情況，第一種是您跟軟件開發(fā)上的例子，第二種是您跟軟件開發(fā)上簽約的形式。如果大家真的想要了解EDR，并且想要尋求供應(yīng)商，應(yīng)該特別看重什么呢？有很多不同的，大概有30多個(gè)選擇。如果您真的想要考慮，EDR怎么樣和您內(nèi)部的安全戰(zhàn)略匹配？

　　如果您需要做的有以下事情，您的響應(yīng)的速度也好、措施也好，應(yīng)該要更好，而且是研發(fā)性攻擊前提下。如果接下來還有可能發(fā)生攻擊，甚至你還沒有辦法識(shí)別的這一部分，你也應(yīng)該把它識(shí)別跟找到。如果你想要停止或者是響應(yīng)攻擊的時(shí)候，大家考慮到內(nèi)部是不是有合規(guī)部門要處理了。還有風(fēng)險(xiǎn)是不是存在供應(yīng)鏈部分等等。接下來您需要知道怎么樣在未來防止類似或者這樣的事情重復(fù)發(fā)生，最后你可能要展現(xiàn)你已經(jīng)做的事情恩避免它發(fā)生。假設(shè)上面講的東西都在各位朋友的腦海里面，如果你有這些考量因素的話，那我覺得EDR挺適合您的。

　　如果您真的想要用EDR，到底最大獲益是多少？如果您真的要用EDR，它取決于您本身的企業(yè)和組織內(nèi)部的安全措施成熟度。還有關(guān)于不同的組織機(jī)構(gòu)，可能您的科學(xué)技術(shù)的發(fā)展程度也是不一樣的。舉個(gè)例子來說，這里列出來像更好的什么叫成熟的，本身企業(yè)安全的措施和安全的項(xiàng)目非常好建立起來，而且還有很好的SOC。另外考慮警報(bào)措施、威脅獵殺，還有您在使用EDR的功能是不是來自于非常專注、非常卓越的供應(yīng)商，它實(shí)時(shí)更新的，給您的是最新的這些技術(shù)解決方案。還有您要考慮資源運(yùn)用。

　　如果是成熟的機(jī)構(gòu)和成熟的安全措施，你的很多的安全能力是具備的，包括剛才提到怎么樣去甄別出這些威脅，還有怎么樣快速做出響應(yīng)。另外，我們會(huì)知道它可能會(huì)有一個(gè)要求，希望對(duì)用戶來講是特別容易使用的。還有你是不是有一些相關(guān)的調(diào)查、指導(dǎo)方針？另外，是不是整合了現(xiàn)有的安全工具？