现如今，数字转型企业易成为网络犯罪分子的重要目标，仅了解和阻止各种日益严峻的威胁是显然不够的，若想要在早期阶段成功地抵御复杂威胁，需要对其根本原因进行分析。EDR 的自动阻止风险和事件响应为组织网络上的端点提供了全面可见性，便于了解和确定优先级，调查并消除高级威胁。以达到组织在无需增加额外投入的情况下，提高事件处理的速度和效率。企业在寻求更多智能和自动化的安全防御时应考虑端点检测和响应解决方案，以阻止新的威胁和保护端点资产。

本周四，安全牛系列会议 CS·2019 就 EDR & 统一端点安全解决方案方面邀请了安恒信息、青藤云安全、网思科平、深信服、通软五家企业进行了分享。

一、安恒：终端安全趋势及理念与实践

终端安全是个涉及大量安全措施的宽泛术语，但一般是指网络安全措施。终端安全措施是在通过远程、无线或移动设备访问业务网络时对其实施保护的措施。仅去年网络漏洞数量已将近 1 亿，网络安全问题至关重要，不可小觑。

安恒在此次的 CS·2019 大会上分享了终端安全趋势和他们的理念和实践经验。终端安全的趋势是，泛终端是未来时代的主流，所有的节点都将是终端，这也正是统一终端的概念。而对于从单一安全防御到更注重威胁发现和自动化处置能力，对自动化威胁检测、响应、处理、运维能力要求越来越高，跨越多级安全层，关联分析各层安全设备的威胁数据，是解决新一代终端安全的关键。

安恒将其终端安全的理念总结化为三个部分：

(1) “智能” 贯穿全生命周期：从攻击捕获阶段的 “自动抓取信息流”，到攻击判定阶段的 “联合多行为判断”，攻击阻止阶段将自动联合各类日志分析判断后，高威胁自动阻断查杀、中低威胁告警。平台通过策略自适应调整等级和对应的安全规则，最终的攻击预测阶段根据攻击趋势和情报预测未来可能的风险，进一步预警和提示。

(2) “EDR+”：EDR 联合流量 APT 检测进行端口封堵，在识别到恶意文件后，联合 EDR 进行病毒清理；EDR 联合防火墙进行终端安全管理；EDR 协同多维度大数据平台进行高级威胁分析，大数据平台可以直接向 EDR 管理中心下发处置策略。

(3) “极简” 体验：安全配置展现为 “人类语言”，降低安全运营的学习成本，使用更加便利、高效，同时也降低了使用成本。

在本次大会上，安恒还分享了实践带来的改变，依托于多年实战经验，将经验应用于检测威胁入侵的实战之中，不断迭代提升对未知风险的检测能力和效能。

二、青藤云安全：主机安全进化论

青藤云安全则从主机安全演进的角度分享了其在终端安全解决方案的价值。分别从主机攻击方式、攻击链的演变、安全响应自动化、架构适配能力、主机安全的进化共五个角度详细讲述了主机安全的进化。

目前，我们无法否认的事实是攻击者的终极目标在终端上仍持续存在，比如，Oracle WebLogic 反序列化远程命令执行漏洞，攻击者可利用该漏洞在未授权的情况下远程执行命令。还有类似终端上无文件攻击也给企业的安全防护带来了巨大的挑战。

针对网络杀伤链，ATT&CK 模型的建立和防御体系提升了防护效果。目前行业内针对主机安全大多使用的方案是：从内部细粒度分析，对主机工作负载上的资产，状态，关键活动等进行感知生成安全指标，通过对指标的持续分析、监控，发现安全威胁，紧密贴合业务并感知动态业务变化。

由此，安全响应能力在事件发生时对整体处置效果十分关键。安全响应自动化，主要分为六步：查询、排序、可视化、获取、分析、工作流。比较常用到的是安全编排、自动化及响应 (SOAR) 平台，主要包括功能：告警受理：对告警进行分类和优先级划分；定性分析：判断威胁的真实性，确认攻击者意图；定量分析：回溯攻击场景，评估威胁的影响；快速响应：根据响应脚本，执行响应策略。

一直备受瞩目的云计算给企业IT架构带来巨大改变，企业利用 Docker 容器快速构建和维护新服务、新应用的同时，容器本身的安全也需要不断的迭代、升级，保障其安全性也是企业现阶段面临的一项持续性挑战。确保容器安全，首先可以通过管理一组可信任的、经过审查的镜像，定制镜像以满足特定的需求。确保镜像经常被扫描以发现漏洞，并在新版本发布时重新构建，将包含专有内容的所有镜像存储在安全的私有仓库之中。进一步对报警进行微隔离，隔离存在安全风险的容器。

其实主机安全的进化过程中最难的解决的是适配环节，下图是主机安全成熟度曲线，整个模块的所有内容都可以精确的定位和分析。

青藤云安全认为，安全进化不会终止，因此，主机安全技术会向检测响应、隔离控制、行为检测等方向发展。青藤万相·主机自适应安全平台，能够提供稳固的核心能力支撑，在实现智能协同，保护下一代主机安全。

三、网思科平：终端侦测与响应产品发展和应用之路

网思科平分析了终端侦测与响应的解决方案，通过高级检测与响应，增强针对威胁的侦测能力，威胁模型自动处置事件，进一步隔离与取证。

现今，黑客攻击的复杂程度与日俱增，且检测防御难度高，无文件攻击让传统杀毒软件无毒可杀。据统计，无文件代码攻击已高达 60%，远超过传统恶意代码攻击。因此，EDR 的提出很大程度上提升了现有高级威胁横行环境下的安全监控、威胁侦测及应急响应能力。

连接到网络的每个设备都是网络威胁的潜在攻击媒介，每个连接都是进入网络的潜在入口点，无论是网络钓鱼、数据泄露、勒索软件等网络攻击事件，它们的目标只有一个——终端。随着网络攻防战的升级，传统防御手段对于未知的高级威胁往往无效。EDR 解决方案通过监控端点以防止反病毒软件无法检测到的许多现实威胁，帮助保护这些进入网络的终端。EDR 解决方案能通过监控端点以防止反病毒软件无法检测到的许多现实威胁，帮助监控和防范高级持续威胁。传统的防病毒软件只有在存在匹配的签名时才能检测到恶意软件，且无法通过监视其活动来确定攻击者是否可以访问网络内的端点。

网思科平基于多年在防病毒领域和数据科学方面的积累，利用包括深度神经网络、增强学习，生成对抗网络等技术，成功研发了下一代防病毒引擎 Argus™，大幅提升检测引擎针对恶意代码的对抗和识别能力。基于 AI 的防病毒引擎成为EDR扩展EPP功能的标配。其 EDR 产品拥有产品轻量级设计、补充传统终端安全的短板、威胁分析平台等特点。

天蝎终端侦测与响应系统 (EDR) 主要面向政府、企业、金融、军队、医疗、教育、制造业和其他重要基础设施网络等。根据分级保护的相关要求，防病毒产品须有公安部销售许可证才能进入涉密信息系统，天蝎EDR已获取公安部销售许可证。

四、深信服：下一代终端安全EDR终端检测响应平台

以往基于静态特征构建的防病毒体系已经无法应对当前安全，面对网端防护割裂导致的低效威胁处置与孤立，Gartner 提出了端网联动整合的 5 个层级：

(1) 通过包装网端联动概念的解决方案，但没有产品侧实际意义的集成；

(2) 分析报告和配置情况可以在单个管理控制台中被网络和终端管理员使用；

(3) 一个领域的 IoC（入侵指标）分享给另外一个领域；

(4) 一个领域里面发现的潜在威胁的异常告警被另外一个领域确认和举证；

(5) 在一个领域的威胁自动导致修改其他领域的配置状态，自动处置威胁。

基于这 5 个层级，深信服的终端检测响应平台主要展现出三大核心优势：

(1) 应用创新微隔离技术的防护体系：虚拟化底层平台解耦合，构建动态安全边界，精细化微隔离与降低威胁影响面，端点安全的立体可视和发现；

(2) 基于AI的多维度 智能威胁检测机制：轻量级人工智能检测引擎 SAVE、多维度漏斗型检测框架、勒索诱捕方案；

(3) 网 “端” 云协同联动与高效威胁处置：自动化网端安全运维，全网终端围剿式查杀、网端纵深双重防御。

深信服下一代 EDR 产品采用了基于 AI 的慢速扫描检测技术，使用增量式机器学习技术，将主机行为转化成空间中的特征向量（点）。点在模型（黄线）下方时，表示判定主机无扫描行为；在模型（黄线）上方式，表示判定主机存在扫描行为。该技术优势：能检测出慢速扫描（传统方法无法检测）极小的性能开销。新的数据来了，只需更新点的位置数据红利。参与的数据越多、时间越长，检测结果越准。

深信服相信 EDR 未来的发展，中国市场对于 EDR 的期望是解决大部分终端安全的需求，EDR 平台包括了 EPP、威胁情报管理等安全功能，最终落实到客户侧能够解决整体需求。而国外 EDR 则更加倾向于解决未知威胁，尽快进行发现、处置和修复。深信服 EDR 做到了合二为一，即 “EPP+EDR”，形成产品侧的完整攻防解决方案。

五、通软：新一代统一端点安全管理平台

传统管理思路的局限性体现在不能完整覆盖终端类型和网络环境，不能统一管理，导致形成安全系统的孤岛建设，不仅管理效率低，还存在安全系统间的安全空隙风险；技术导向的方案，只提供技术手段，不关注管理结果，很难实现预期的管理效果。

通软在大会分享了新一代统一端点安全方案的核心思路：

(1) 建立统一端点安全管理平台，覆盖各类端点类型，统一管理各类端点安全风险；

(2) 实名制管理为基础，把网络安全当作使用者的安全问题来管理，而不仅仅是计算机网络的安全问题；

(3) 管理效果导向，建立清晰的管理目标，实现目标导向的管理过程。

传统方案是工具和数据的集合，具体集合的体现情况取决于使用人的能力，导致结果差别甚远。而新的方案是一种管理闭环，首先从问题本身出发，一是防止敏感信息的泄漏和破坏，二是保障搭建专用网络的持续和运行。管理过程是先了解现状，随后设计安全策略进行全景监控，最后持续优化以达到最初的目标和效果。因此，针对不同类型的管理内容和终端，进行统一端点安全管理。同样，时代的发展需要平台更加智能化，在大型公司的应用场景下会存在很多的事件，根据特定部门的要求制定不同的规则，最终形成的安全策略需与部门特点相吻合，通软所提供的智能化机制能够做到自动匹配过程。

（新一代统一端点安全管理框架）

通软的新一代统一端点安全管理方案的预期管理效果：全面覆盖各类终端，建设统一的端点安全管理平台。技术导向提升到效果导向，通过强大的智能化平台作为技术保障，建设闭环的管理过程，实现预期管理效果。已在大规模用户中验证的稳定、成熟的管理平台。

安全牛评

端点安全问题不能单纯地依靠购买对应解决方案就能完全解决的，还需要更加完善的安全防护体系来确保企业及组织的网络安全受到最佳保护。现阶段，EDR & 统一端点安全解决方案可以有效缩短证据收集时间，同时支持对事件进行详细调查和有效响应，实现愈加集中化、快速、准确的响应，防范未知威胁。期待更多的厂商为企业用户提供更好、更完善统一端点解决方案。