Nick FitzGerald  ESET 資深研究員

　　首先講一講為什么談EDR？所有的信息系統(tǒng)都有端點，在場的都是業(yè)內(nèi)人士，一提到端點不要想到臺式筆記本這些，要擴(kuò)展你的思維，一切跟網(wǎng)絡(luò)連接的東西，包括像平板、服務(wù)器等等。講端點的時候需要保護(hù)措施，免得網(wǎng)絡(luò)亂用攻擊。

　　第一點，有些代碼是沒有監(jiān)測出來的惡意代碼，包括有一些代碼是合法的，但使用是惡意的。

　　第二點，相關(guān)的機(jī)構(gòu)需要做的事情，一定要去監(jiān)控這些端點，而且要去監(jiān)測有沒有相關(guān)的威脅存在，還有如何響應(yīng)這些威脅。

　　在談到為什么講EDR的時候，這一頁非常的重要。所有的端點有相關(guān)的安全軟件，包括我們公司也有，防病毒、反惡意軟件，端點的保護(hù)產(chǎn)品ESET，剛剛講我是來自ESET的公司，公司也有很多端點防護(hù)安全的產(chǎn)品。另外，考慮到有些應(yīng)用程序白名單，軟件的防火墻、補(bǔ)丁管理措施等等。

　　可能現(xiàn)場的朋友會提問或者有疑問說，我的公司企業(yè)正在用的是別的版本或者是其他軟件、其他系統(tǒng)，為什么要特意講一講關(guān)于EDR呢？你要了解到資質(zhì)、系統(tǒng)內(nèi)置。也有可能您企業(yè)正在用的安全軟件挺滿意，保不起哪一天遇到零日攻擊的事情，當(dāng)下您怎么處理？這可能會是另外的選擇。即使我們做到了萬全的措施，仍然有網(wǎng)絡(luò)的使用者，這些網(wǎng)友或者用戶們不一定完全按照您給他培訓(xùn)以及指導(dǎo)方針來做。也就是像這一幅圖表示的，明明有警告指示牌在那兒，并不一定每個人會遵照它來做。

　　如果您真的想要考慮EDR解決方案的時候，有哪些因素要特別考慮其中？首先您要了解EDR不是指某一個東西或者某一個元素，它其實是一系列安全工具的組合，而且關(guān)注的是各個端點的思維擴(kuò)展。零日攻擊的問題，可能是有目標(biāo)性持續(xù)的網(wǎng)絡(luò)攻擊也是您可以考慮的。有可能你內(nèi)部的員工與外面串謀起來造成的網(wǎng)絡(luò)攻擊或者其他的事件也可以關(guān)注。

　　常常有朋友或者業(yè)內(nèi)朋友會問我一個問題，EDR和EDP是不是一樣的？EDR講端點的監(jiān)測和相應(yīng)，EDP是ESET生產(chǎn)一系列關(guān)于端點防護(hù)的產(chǎn)品。我常常被他們問，首先會說，是一樣，也不一樣。EDR相關(guān)的有一些術(shù)語、一些工具，隨著你遇到網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)環(huán)境和各種威脅的變化，這些東西前者也必須進(jìn)一步拓展。

　　在比較早期的時候，每次提到早期的端點威脅，通常會把它定義成僅僅只是病毒，一般有了一個產(chǎn)品會說這是防病毒、殺病毒的。早期叫病毒，接下來會有木馬病毒，包括剛才提到惡意的代碼，這個時候有怎么稱呼的問題。一開始是叫反病毒，別人會叫反惡意軟件的，其實目前是沒有統(tǒng)一的。

　　接下來發(fā)現(xiàn)有各種各樣的網(wǎng)絡(luò)攻擊被一一識別偵測出來，面對不同的問題，包括各種新興手段方法都層出不窮。你這個時候應(yīng)該把它叫EDP，這種防護(hù)測試就是剛才提到的端點保護(hù)測試相關(guān)安全產(chǎn)品。通常越大、越復(fù)雜的系統(tǒng)會發(fā)現(xiàn)整個流程、系統(tǒng)的圖表會越來越復(fù)雜，甚至比現(xiàn)在動態(tài)展示給各位朋友的更加復(fù)雜。其實復(fù)雜性是兩面的，第一，系統(tǒng)作為整體是復(fù)雜的。第二，大家理解上面的每一個要素本身自己也是復(fù)雜的。所以也就是說整個復(fù)雜性涉及兩個方面。

　　用一句話小結(jié)剛才之前的幾個幻燈片內(nèi)容，以前叫做防病毒、殺病毒，現(xiàn)在更多的是EDP比它更復(fù)雜一些，因為我們增加了端點管控的措施，中間這些跳過，不再給大家贅述。即便是這樣，你還會發(fā)現(xiàn)那些網(wǎng)絡(luò)攻擊的人也在進(jìn)步，所以還是會有網(wǎng)絡(luò)攻擊成功。我相信很多朋友都知道，有可能是專業(yè)的業(yè)內(nèi)人士幫他，也有可能您企業(yè)內(nèi)部員工幫著他們串謀在一起，還有可能種種其他的原因。我相信大家會同意我，常常發(fā)現(xiàn)要取證的時候是最頭疼的一件事情，不僅要取證，還要找到解決方案，所以這會是一個問題。

　　什么是EDR？總結(jié)起來有五大功能或者五個最重要的能力。第一個，可以監(jiān)測出安全事件發(fā)生。第二個，進(jìn)行細(xì)致的調(diào)查。第三個，把這些放到端點處進(jìn)行研究。第四個，有沒有補(bǔ)救措施或者修補(bǔ)措施？第五個，你希望未來不再發(fā)生，還有通過這一次經(jīng)驗教訓(xùn)能夠做一些什么樣防護(hù)的措施？不希望接下來再發(fā)生類似的事情。

　　另外，除了剛剛提到EDR的五大能力以外，提到EDR會想到數(shù)據(jù)，現(xiàn)在是大數(shù)據(jù)的時代，想大數(shù)據(jù)時代的時候會蹦出來幾個數(shù)據(jù)，收集數(shù)據(jù)、挖掘數(shù)據(jù)、處理數(shù)據(jù)。我用了三行并沒有全部羅列出來，會處理相關(guān)的設(shè)備、ID、文件、設(shè)置、網(wǎng)絡(luò)流量、相關(guān)掃描、電子郵件過濾器，還有很多相關(guān)的各種文件、系統(tǒng)都是涉及到其中的。

　　當(dāng)你有了海量數(shù)據(jù)之后又進(jìn)行了一部分的處理或者挖掘之后做什么？你要進(jìn)行組織進(jìn)一步分析，怎么呈現(xiàn)出數(shù)據(jù)對你的意義是什么。這中間涉及到搜索能力、過濾能力、分組研究、分組處理能力以及最后要適事發(fā)出警報。這個過程是非常的復(fù)雜，包括未來是越來越自動化的時代，同樣你要考慮這個事情。下一步如何做出積極響應(yīng)的措施？比如說，繼續(xù)深挖數(shù)據(jù)或者是病毒防護(hù)措施，最重要的是未來怎么樣避免這件事情重復(fù)的發(fā)生。

　　第一個，我用詞比較簡單，想簡單的告訴大家，假設(shè)一開始的時候網(wǎng)絡(luò)是干凈的、沒問題的。給大家解釋，一開始干凈的意思是兩點：（1）系統(tǒng)運(yùn)行正常。（2）獨立，沒有外來的入侵。大家知道我講故事的結(jié)局是出現(xiàn)不好的外來的攻擊，先把故事的開端跟結(jié)局告訴大家。中間有各種可能性，比如說，大家常見的有可能你在使用你電子郵件的時候出現(xiàn)惡意的軟件，還有可能你在插優(yōu)盤的時候不知道怎么回事帶來惡意軟件，還有服務(wù)器出現(xiàn)問題或者是其他惡意的攻擊。我想把服務(wù)器的問題作為例子詳細(xì)的講一下。

　　剛剛要講的是服務(wù)器的問題，一開始講系統(tǒng)是干凈的、獨一無二的，沒有外來入侵的。你的網(wǎng)站、服務(wù)器聯(lián)系的非常好，這個時候有壞人來做壞事了。在說這些網(wǎng)絡(luò)攻擊的時候，剛才有提到我們進(jìn)步的同時他們也在進(jìn)步。有一些人厲害到什么程度？不需要借助外來的任何設(shè)備或者是其他外來的一些技術(shù)，他就是我們用英文中轉(zhuǎn)成中文叫做“就地取材”。他入侵了你的系統(tǒng)、入侵了你的網(wǎng)站、你的服務(wù)器，在里面溜達(dá)一圈之后，他可以利用你里面任何參數(shù)或者本身具備的某種性能里面的東西就可以來做一些文章。

　　這個時候大家通常會怎么做？我猜有些朋友是為某個機(jī)構(gòu)或者是為某一家公司工作的，你的上司或者你本人就是上司，第一件事情是不同的部門決定一下到底發(fā)生什么樣的入侵。假設(shè)您正在使用的是講的EDR的解決方案，這個時候EDR能幫你做到的事情就是及時、快速的追蹤，到底是哪個環(huán)節(jié)或者是發(fā)生了什么樣的入侵，在服務(wù)器上檢查出來。還有識別出來是配置發(fā)生了問題，是哪個參數(shù)發(fā)生問題，是有補(bǔ)丁必須要馬上修復(fù)等快速的識別出來在做下一步，這個時候把服務(wù)器回到故事一開始的時候給大家講到干凈、獨立的服務(wù)器的樣子。

　　用一個圖給大家解釋一下，剛才講的入侵行為是怎么發(fā)生的。首先，不管您是主觀的懷疑有狀況發(fā)生，還是您的系統(tǒng)自動的給您發(fā)出警報可能有狀況發(fā)生。我用激光筆指到黃色的位置是它首先的位置。因為您用了EDR，所以管理員第一時間會去關(guān)注，而且解決方案會幫助您清晰的看到入侵者是入侵到了哪個位置，是到哪一個步驟以及它整個入侵的路線是怎么樣的，你可以清晰的看到，這是第一點。也就是說，做出反映之前找到別人入侵行為的路徑。第二點，發(fā)出的警報，其實就是EDR的解決方案幫助您收到警報的。

　　同樣EDR怎么樣發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中有不當(dāng)?shù)男袨?？現(xiàn)在大家看到的這些設(shè)備、機(jī)器，有可能您是跟第三方合作的，收到來自于第三方的信息，可能有外來入侵或者是外來不當(dāng)作為影響到機(jī)器運(yùn)行，這個時候您想了解這一臺機(jī)器設(shè)備中某一個地方發(fā)生了什么樣的問題，是怎么洋法生的。

　　我用了比較夸張的圖像移動，引起大家的注意。你識別出的是那一臺機(jī)器或者設(shè)備的那一個環(huán)節(jié)出現(xiàn)問題，這個時候EDR有一個很大的功能，可以幫助您日后的取證。它準(zhǔn)確的、精準(zhǔn)的識別了定位了，這個時候?qū)τ谀蘸蟮娜∽C是非常好的基礎(chǔ)。它也是跟這個例子或者其他的例子相關(guān)的，有一些細(xì)節(jié)會稍微談一下。更加復(fù)雜，但是又非常容易清晰操作理解的流程是這樣的，在上一步之后大家一目了然知道有很多的IP地址，通過地址知道某一臺機(jī)器怎么樣運(yùn)作，過程中就會精準(zhǔn)的追蹤到機(jī)器發(fā)生什么問題，另外遇到問題怎么去打破它，還有更加復(fù)雜的流程是怎么處理。

　　EDR還有一個很大的幫助，它能幫助我們根據(jù)現(xiàn)有的狀況去設(shè)計出一系列的規(guī)則。這個規(guī)則針對你怎么樣更好的去了解識別IP地址，這是針對IP地址規(guī)則的例子。這是關(guān)鍵軟件的例子，兩種情況，第一種是您跟軟件開發(fā)上的例子，第二種是您跟軟件開發(fā)上簽約的形式。如果大家真的想要了解EDR，并且想要尋求供應(yīng)商，應(yīng)該特別看重什么呢？有很多不同的，大概有30多個選擇。如果您真的想要考慮，EDR怎么樣和您內(nèi)部的安全戰(zhàn)略匹配？

　　如果您需要做的有以下事情，您的響應(yīng)的速度也好、措施也好，應(yīng)該要更好，而且是研發(fā)性攻擊前提下。如果接下來還有可能發(fā)生攻擊，甚至你還沒有辦法識別的這一部分，你也應(yīng)該把它識別跟找到。如果你想要停止或者是響應(yīng)攻擊的時候，大家考慮到內(nèi)部是不是有合規(guī)部門要處理了。還有風(fēng)險是不是存在供應(yīng)鏈部分等等。接下來您需要知道怎么樣在未來防止類似或者這樣的事情重復(fù)發(fā)生，最后你可能要展現(xiàn)你已經(jīng)做的事情恩避免它發(fā)生。假設(shè)上面講的東西都在各位朋友的腦海里面，如果你有這些考量因素的話，那我覺得EDR挺適合您的。

　　如果您真的想要用EDR，到底最大獲益是多少？如果您真的要用EDR，它取決于您本身的企業(yè)和組織內(nèi)部的安全措施成熟度。還有關(guān)于不同的組織機(jī)構(gòu)，可能您的科學(xué)技術(shù)的發(fā)展程度也是不一樣的。舉個例子來說，這里列出來像更好的什么叫成熟的，本身企業(yè)安全的措施和安全的項目非常好建立起來，而且還有很好的SOC。另外考慮警報措施、威脅獵殺，還有您在使用EDR的功能是不是來自于非常專注、非常卓越的供應(yīng)商，它實時更新的，給您的是最新的這些技術(shù)解決方案。還有您要考慮資源運(yùn)用。

　　如果是成熟的機(jī)構(gòu)和成熟的安全措施，你的很多的安全能力是具備的，包括剛才提到怎么樣去甄別出這些威脅，還有怎么樣快速做出響應(yīng)。另外，我們會知道它可能會有一個要求，希望對用戶來講是特別容易使用的。還有你是不是有一些相關(guān)的調(diào)查、指導(dǎo)方針？另外，是不是整合了現(xiàn)有的安全工具？