什么是端点检测和响应（EDR）？

为什么EDR很重要？

如今终端安全面临巨大的风险与挑战，部署有效的EDR安全解决方案对于保护企业和远程员工免受网络威胁至关重要。

1. 黑客入侵日益猖獗

   勒索、挖矿、APT等针对终端的网络攻击层出不穷。2020 年，勒索软件案件增长了150%。2021年，每天可产生300,000,000个新的恶意软件，有30,000个网站被黑客入侵。

2. 企业安全风险无法管理

   企业主机数量众多，运维人员无法管理主机上的大量安全资产、关键配置和系统漏洞，导致企业主机存在很大安全风险。这些安全风险很容易被黑客或恶意竞争者利用来实施攻击，从而导致企业业务中断或数据泄露。

3. 远程办公日益增多

   居家办公的员工可能无法像现场员工那样受到企业安全设备的保护，并且可能使用的是个人设备或缺乏最新更新和安全补丁的设备。

EDR是如何工作的？

虽然不同厂商的EDR解决方案之间存在差异，但通常的工作方式包括以下五步：

1. 持续收集端点数据

   大多数EDR安全解决方案通过在每个端点设备上安装轻量级数据收集工具或代理来收集数据，包括登录、进程运行/创建、目录/文件访问日志、DNS请求信息等。数据存储在中央数据库或数据湖中，通常托管在云中。

2. 实时分析和威胁检测

   云端将数据收集工具或代理采集到的数据与海量威胁数据库中的数据实时关联匹配，识别已知威胁；通过智能检测算法、UEBA（User and Entity Behavior Analytics，用户实体行为分析）综合分析、事件关联分析等技术，识别可疑活动、未知或变种威胁。

3. 自动威胁响应
   基于安全团队设置的预定义规则，或者机器学习算法随着时间的推移学习，EDR解决方案可以自动实现以下处置方式：

   • 提醒安全团队注意特定威胁或可疑活动
   • 根据严重程度对事件进行分类或确定优先级
   • 断开端点设备，或将最终用户从网络中注销
   • 终止系统或端点进程
   • 防止端点执行可疑文件或电子邮件附件
   • 触发防病毒或反恶意软件扫描网络上的其他端点是否存在相同威胁

   所有这些自动化都有助于安全团队更快地响应事件和威胁，将威胁对网络造成的损害降到最低。

4. 溯源深度处置

   溯源取证可帮助安全团队查明威胁的根本原因，识别威胁所影响的各种文件，追溯攻击者如何利用漏洞进入网络，如何获得对身份验证凭证的访问权限，以及识别其他恶意活动。

   有了这些信息，安全团队就可以进行深度处置来消除威胁：

   • 销毁恶意文件并将其从端点上清除
   • 恢复损坏的配置、注册表设置、数据和应用程序文件
   • 应用更新或补丁来消除漏洞
   • 更新检测规则以防止再次发生

5. 支持威胁搜寻和安全加固

   威胁搜寻和安全加固是一种主动安全活动。威胁搜寻是安全团队在网络中搜索未知威胁，或尚未被组织的自动化网络安全工具检测或修复的已知威胁，因为高级威胁可能会在检测到之前已潜伏数月，收集系统信息和用户凭据来为大规模入侵做准备。安全加固是进行RDP（Remote Desktop Protocol，远程桌面协议）服务禁用、口令修改、企业安全培训、共享服务禁用、配置防火墙策略等安全加固动作。有效和及时的威胁搜寻和安全加固可以减少检测和补救这些威胁所需的时间，并限制或避免攻击造成的损害。

EDR与EPP有什么区别？

EPP（Endpoint Protection Platform，端点保护平台）是指传统的端点安全解决方案或安全工具，例如防病毒、反恶意软件、防火墙、上网行为管理等。

EDR和EPP都是解决端点安全问题，但是侧重点有所不同，有效的终端防御需要一个集成EDR和EPP功能的解决方案。

• EPP主要侧重于在端点处防御已知威胁或以已知方式运行的威胁。EPP无法检测或消除偷偷避开它们的高级威胁。这使得这些威胁可以在网络中潜伏和游荡数月，收集数据并识别漏洞，为发起勒索软件攻击、零日攻击或其他大规模网络攻击做准备。
• EDR弥补了EPP这些传统端点安全解决方案的不足。它的威胁检测分析和自动响应功能通常无需人工干预即可识别并遏制渗透到网络边界的潜在威胁，以免造成严重破坏。

EDR与XDR有什么区别？

XDR（Extended Detection and Response，扩展检测和响应） 是一项仍在兴起但发展迅速的技术，是一种端点威胁检测和响应的新方法。

EDR关注的是端点的数据，而XDR中的“X”代表“扩展”，它代表任何数据源，不仅是端点，还有网络、电子邮件、应用程序、云工作负载等等。

因为在孤岛中调查威胁效果是有限的，所以XDR 将安全工具集成到组织的整个混合基础设施中，提供对跨网络、云、端点和应用程序的数据的可见性。随着对威胁的可见性和上下文的更多了解，以前无法解决的事件将浮出水面，从而提高意识水平，使安全团队能够快速集中精力并消除任何进一步的影响，降低攻击的严重性和范围。

如何选择正确的EDR解决方案？

了解EDR的关键能力，将帮助您更好地识别EDR安全解决方案。以下是您应该寻找的EDR的五个关键能力：

1. 终端信息可视

   能够自动识别终端信息，实时感知资产状态，实现全网资产风险评估，动态IP历史实现可追溯。

2. 威胁感知全面

   采集点覆盖全，检测手段全面，能实时感知异常行为，并能够实现攻击可视化，可追溯。

3. 威胁判定准确

   拥有海量威胁数据库，能够实时更新威胁信息，并通过智能检测算法、UEBA综合分析、事件关联分析等多种技术，实现威胁判定准确率高。

4. 快速响应威胁

   在威胁判定之后能够快速遏制攻击，例如，自动停止或断开受威胁主机与其他主机的连接，并提醒用户及时处理，快速恢复业务。

5. 关注实现成本

   需要考虑在自身企业系统中设置和运营EDR的成本，选择适合自身的云上或云下方案。

华为EDR相关产品与解决方案

• 华为乾坤终端防护与响应服务通过云端一体架构、多维检测、溯源处置，提供更快、更准的一站式端侧安全防护能力。

  

• 华为智能中小企业防勒索安全解决方案，通过下一代防火墙+沙箱+终端EDR协同联动，为客户构建勒索病毒防御体系。

  其中终端EDR实时识别感染终端；沙箱实时接收防火墙或EDR上报的文件，进行未知威胁检测；沙箱与防火墙、EDR共享检测结果，在网关及终端实现分钟级威胁阻断。