Nick FitzGerald  ESET 資深研究員

　　首先講一講為什么談EDR？所有的信息系統(tǒng)都有端點，在場的都是業(yè)內人士，一提到端點不要想到臺式筆記本這些，要擴展你的思維，一切跟網絡連接的東西，包括像平板、服務器等等。講端點的時候需要保護措施，免得網絡亂用攻擊。

　　第一點，有些代碼是沒有監(jiān)測出來的惡意代碼，包括有一些代碼是合法的，但使用是惡意的。

　　第二點，相關的機構需要做的事情，一定要去監(jiān)控這些端點，而且要去監(jiān)測有沒有相關的威脅存在，還有如何響應這些威脅。

　　在談到為什么講EDR的時候，這一頁非常的重要。所有的端點有相關的安全軟件，包括我們公司也有，防病毒、反惡意軟件，端點的保護產品ESET，剛剛講我是來自ESET的公司，公司也有很多端點防護安全的產品。另外，考慮到有些應用程序白名單，軟件的防火墻、補丁管理措施等等。

　　可能現場的朋友會提問或者有疑問說，我的公司企業(yè)正在用的是別的版本或者是其他軟件、其他系統(tǒng)，為什么要特意講一講關于EDR呢？你要了解到資質、系統(tǒng)內置。也有可能您企業(yè)正在用的安全軟件挺滿意，保不起哪一天遇到零日攻擊的事情，當下您怎么處理？這可能會是另外的選擇。即使我們做到了萬全的措施，仍然有網絡的使用者，這些網友或者用戶們不一定完全按照您給他培訓以及指導方針來做。也就是像這一幅圖表示的，明明有警告指示牌在那兒，并不一定每個人會遵照它來做。

　　如果您真的想要考慮EDR解決方案的時候，有哪些因素要特別考慮其中？首先您要了解EDR不是指某一個東西或者某一個元素，它其實是一系列安全工具的組合，而且關注的是各個端點的思維擴展。零日攻擊的問題，可能是有目標性持續(xù)的網絡攻擊也是您可以考慮的。有可能你內部的員工與外面串謀起來造成的網絡攻擊或者其他的事件也可以關注。

　　常常有朋友或者業(yè)內朋友會問我一個問題，EDR和EDP是不是一樣的？EDR講端點的監(jiān)測和相應，EDP是ESET生產一系列關于端點防護的產品。我常常被他們問，首先會說，是一樣，也不一樣。EDR相關的有一些術語、一些工具，隨著你遇到網絡攻擊、網絡環(huán)境和各種威脅的變化，這些東西前者也必須進一步拓展。

　　在比較早期的時候，每次提到早期的端點威脅，通常會把它定義成僅僅只是病毒，一般有了一個產品會說這是防病毒、殺病毒的。早期叫病毒，接下來會有木馬病毒，包括剛才提到惡意的代碼，這個時候有怎么稱呼的問題。一開始是叫反病毒，別人會叫反惡意軟件的，其實目前是沒有統(tǒng)一的。

　　接下來發(fā)現有各種各樣的網絡攻擊被一一識別偵測出來，面對不同的問題，包括各種新興手段方法都層出不窮。你這個時候應該把它叫EDP，這種防護測試就是剛才提到的端點保護測試相關安全產品。通常越大、越復雜的系統(tǒng)會發(fā)現整個流程、系統(tǒng)的圖表會越來越復雜，甚至比現在動態(tài)展示給各位朋友的更加復雜。其實復雜性是兩面的，第一，系統(tǒng)作為整體是復雜的。第二，大家理解上面的每一個要素本身自己也是復雜的。所以也就是說整個復雜性涉及兩個方面。

　　用一句話小結剛才之前的幾個幻燈片內容，以前叫做防病毒、殺病毒，現在更多的是EDP比它更復雜一些，因為我們增加了端點管控的措施，中間這些跳過，不再給大家贅述。即便是這樣，你還會發(fā)現那些網絡攻擊的人也在進步，所以還是會有網絡攻擊成功。我相信很多朋友都知道，有可能是專業(yè)的業(yè)內人士幫他，也有可能您企業(yè)內部員工幫著他們串謀在一起，還有可能種種其他的原因。我相信大家會同意我，常常發(fā)現要取證的時候是最頭疼的一件事情，不僅要取證，還要找到解決方案，所以這會是一個問題。

　　什么是EDR？總結起來有五大功能或者五個最重要的能力。第一個，可以監(jiān)測出安全事件發(fā)生。第二個，進行細致的調查。第三個，把這些放到端點處進行研究。第四個，有沒有補救措施或者修補措施？第五個，你希望未來不再發(fā)生，還有通過這一次經驗教訓能夠做一些什么樣防護的措施？不希望接下來再發(fā)生類似的事情。

　　另外，除了剛剛提到EDR的五大能力以外，提到EDR會想到數據，現在是大數據的時代，想大數據時代的時候會蹦出來幾個數據，收集數據、挖掘數據、處理數據。我用了三行并沒有全部羅列出來，會處理相關的設備、ID、文件、設置、網絡流量、相關掃描、電子郵件過濾器，還有很多相關的各種文件、系統(tǒng)都是涉及到其中的。

　　當你有了海量數據之后又進行了一部分的處理或者挖掘之后做什么？你要進行組織進一步分析，怎么呈現出數據對你的意義是什么。這中間涉及到搜索能力、過濾能力、分組研究、分組處理能力以及最后要適事發(fā)出警報。這個過程是非常的復雜，包括未來是越來越自動化的時代，同樣你要考慮這個事情。下一步如何做出積極響應的措施？比如說，繼續(xù)深挖數據或者是病毒防護措施，最重要的是未來怎么樣避免這件事情重復的發(fā)生。

　　第一個，我用詞比較簡單，想簡單的告訴大家，假設一開始的時候網絡是干凈的、沒問題的。給大家解釋，一開始干凈的意思是兩點：（1）系統(tǒng)運行正常。（2）獨立，沒有外來的入侵。大家知道我講故事的結局是出現不好的外來的攻擊，先把故事的開端跟結局告訴大家。中間有各種可能性，比如說，大家常見的有可能你在使用你電子郵件的時候出現惡意的軟件，還有可能你在插優(yōu)盤的時候不知道怎么回事帶來惡意軟件，還有服務器出現問題或者是其他惡意的攻擊。我想把服務器的問題作為例子詳細的講一下。

　　剛剛要講的是服務器的問題，一開始講系統(tǒng)是干凈的、獨一無二的，沒有外來入侵的。你的網站、服務器聯系的非常好，這個時候有壞人來做壞事了。在說這些網絡攻擊的時候，剛才有提到我們進步的同時他們也在進步。有一些人厲害到什么程度？不需要借助外來的任何設備或者是其他外來的一些技術，他就是我們用英文中轉成中文叫做“就地取材”。他入侵了你的系統(tǒng)、入侵了你的網站、你的服務器，在里面溜達一圈之后，他可以利用你里面任何參數或者本身具備的某種性能里面的東西就可以來做一些文章。

　　這個時候大家通常會怎么做？我猜有些朋友是為某個機構或者是為某一家公司工作的，你的上司或者你本人就是上司，第一件事情是不同的部門決定一下到底發(fā)生什么樣的入侵。假設您正在使用的是講的EDR的解決方案，這個時候EDR能幫你做到的事情就是及時、快速的追蹤，到底是哪個環(huán)節(jié)或者是發(fā)生了什么樣的入侵，在服務器上檢查出來。還有識別出來是配置發(fā)生了問題，是哪個參數發(fā)生問題，是有補丁必須要馬上修復等快速的識別出來在做下一步，這個時候把服務器回到故事一開始的時候給大家講到干凈、獨立的服務器的樣子。

　　用一個圖給大家解釋一下，剛才講的入侵行為是怎么發(fā)生的。首先，不管您是主觀的懷疑有狀況發(fā)生，還是您的系統(tǒng)自動的給您發(fā)出警報可能有狀況發(fā)生。我用激光筆指到黃色的位置是它首先的位置。因為您用了EDR，所以管理員第一時間會去關注，而且解決方案會幫助您清晰的看到入侵者是入侵到了哪個位置，是到哪一個步驟以及它整個入侵的路線是怎么樣的，你可以清晰的看到，這是第一點。也就是說，做出反映之前找到別人入侵行為的路徑。第二點，發(fā)出的警報，其實就是EDR的解決方案幫助您收到警報的。

　　同樣EDR怎么樣發(fā)現網絡環(huán)境中有不當的行為？現在大家看到的這些設備、機器，有可能您是跟第三方合作的，收到來自于第三方的信息，可能有外來入侵或者是外來不當作為影響到機器運行，這個時候您想了解這一臺機器設備中某一個地方發(fā)生了什么樣的問題，是怎么洋法生的。

　　我用了比較夸張的圖像移動，引起大家的注意。你識別出的是那一臺機器或者設備的那一個環(huán)節(jié)出現問題，這個時候EDR有一個很大的功能，可以幫助您日后的取證。它準確的、精準的識別了定位了，這個時候對于您日后的取證是非常好的基礎。它也是跟這個例子或者其他的例子相關的，有一些細節(jié)會稍微談一下。更加復雜，但是又非常容易清晰操作理解的流程是這樣的，在上一步之后大家一目了然知道有很多的IP地址，通過地址知道某一臺機器怎么樣運作，過程中就會精準的追蹤到機器發(fā)生什么問題，另外遇到問題怎么去打破它，還有更加復雜的流程是怎么處理。

　　EDR還有一個很大的幫助，它能幫助我們根據現有的狀況去設計出一系列的規(guī)則。這個規(guī)則針對你怎么樣更好的去了解識別IP地址，這是針對IP地址規(guī)則的例子。這是關鍵軟件的例子，兩種情況，第一種是您跟軟件開發(fā)上的例子，第二種是您跟軟件開發(fā)上簽約的形式。如果大家真的想要了解EDR，并且想要尋求供應商，應該特別看重什么呢？有很多不同的，大概有30多個選擇。如果您真的想要考慮，EDR怎么樣和您內部的安全戰(zhàn)略匹配？

　　如果您需要做的有以下事情，您的響應的速度也好、措施也好，應該要更好，而且是研發(fā)性攻擊前提下。如果接下來還有可能發(fā)生攻擊，甚至你還沒有辦法識別的這一部分，你也應該把它識別跟找到。如果你想要停止或者是響應攻擊的時候，大家考慮到內部是不是有合規(guī)部門要處理了。還有風險是不是存在供應鏈部分等等。接下來您需要知道怎么樣在未來防止類似或者這樣的事情重復發(fā)生，最后你可能要展現你已經做的事情恩避免它發(fā)生。假設上面講的東西都在各位朋友的腦海里面，如果你有這些考量因素的話，那我覺得EDR挺適合您的。

　　如果您真的想要用EDR，到底最大獲益是多少？如果您真的要用EDR，它取決于您本身的企業(yè)和組織內部的安全措施成熟度。還有關于不同的組織機構，可能您的科學技術的發(fā)展程度也是不一樣的。舉個例子來說，這里列出來像更好的什么叫成熟的，本身企業(yè)安全的措施和安全的項目非常好建立起來，而且還有很好的SOC。另外考慮警報措施、威脅獵殺，還有您在使用EDR的功能是不是來自于非常專注、非常卓越的供應商，它實時更新的，給您的是最新的這些技術解決方案。還有您要考慮資源運用。

　　如果是成熟的機構和成熟的安全措施，你的很多的安全能力是具備的，包括剛才提到怎么樣去甄別出這些威脅，還有怎么樣快速做出響應。另外，我們會知道它可能會有一個要求，希望對用戶來講是特別容易使用的。還有你是不是有一些相關的調查、指導方針？另外，是不是整合了現有的安全工具？