精准EDR能力白皮书

精准EDR能力白皮书 ©北京数字世界咨询有限公司2023.2 精准EDR能力白皮书 ©北京数字世界咨询有限公司2023.2 2020年，数世咨询首创网络安全三元论，后进化为“数字安全三元论”，该理论由信息技术、网络攻防、业务应用三个支点与数据安全这个核心构成，其中： ●信息技术是数字安全工作开展的基础，不清楚资产，何谈保护？没有网络，就没有网络安全； ●网络安全的伴生、服务和对抗本质，决定了它将永远的场景化、碎片化和动态化； ●业务应用既是信息技术与网络攻防的成本来源，也是两者最终的价值所在。 数字世界以网络连接为基础，以数据流动释放价值，以人工智能塑造未来。 数字安全以网络安全为基本手段，以数据安全为核心目的，支撑数字经济的健康发展和国家社会的和谐稳定。 数字世界，安全共生！ 数世咨询作为国内独立的第三方调研咨询机构，为监管机构、地方政府、投资机构、网安企业等合伙伙伴提供网络安全产业现状调研，细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。 报告编委 主笔分析师刘宸宇 首席分析师李少鹏 分析团队：数世智库数字安全能力研究院 版权声明 本报告版权属于北京数字世界咨询有限公司（以下简称数世咨询）。 任何转载、摘编或利用其他方式使用本报告文字或者观点，应注明来源。违反上述声明者，数世咨询将保留依法追究其相关责任的权利。 目 录 前言1 关键发现2 1定义及描述3 1.1EDR3 1.2精准EDR3 1.3与传统终端安全产品的区别4 2EDR需求现状分析6 2.1传统产品无法有效捕获企业终端面临的新威胁6 2.2混合办公、多分支办公等场景下的统一终端安全视角缺失6 2.3EDR缺乏全面有效的监控记录数据支持6 2.4溯源分析定位缺少高效的技术手段与数据支撑7 2.5仅靠流量安全产品的威胁定位和响应无法闭环7 3行业用户场景8 3.1 分支机构资产纳管攻防演练中的攻击检测与快速响应8 3.2 APT攻击的检测与溯源8 3.3 高危安全事件的终端定位与分析9 3.4 混合办公、多分支办公等场景下的威胁感知9 目 录 4关键能力10 4.1攻击检测能力10 4.1.1检测准确度10 4.1.2威胁覆盖度11 4.2数据采集能力11 4.3攻击溯源分析能力13 4.4安全响应能力14 5代表企业15 5.1CROWDSTRIKE15 5.2SENTINELONE17 5.3微步在线19 6未来展望22 6.1EDR向精准化、一体化等不同的方向发展22 6.2EDR从自动执行向自主决策发展22 6.3EDR依然是TDR中核心重要一环23 6.4不断提速的信创进程需要与之匹配的EDR能力23 •精准EDR能力白皮书• 前言 经过近30年的攻防博弈，国内传统终端安全的需求从最初的防病毒、终端管理、安全审计等，逐步升级为端点防护平台EPP、终端数据防泄漏等综合解决方案，随着近年来国际形势的变化、国内安全演练活动的举办、机构主管安全意识的普遍提升，端点侧的安全能力需求更加侧重对安全威胁的检测与响应。 由此，端点检测与响应（EDR）应需而生。然而，国内目前大部分EDR产品及解决方案都是基于传统PC防病毒或终端管理产品发展演化而来，核心能力并非原生满足检测与响应的需求。例如，防病毒引擎主要基于病毒特征检测威胁攻击行为，不具备实时威胁情报的支持，同时也缺少上下文关联分析的能力；终端管理产品则重在管理，虽然在应急响应场景中具备一定的批量处置能力，但是对威胁的检出率较弱，安全响应的效能化智能化水平也都无法满足安全团队的需求。 与此同时，国际上如CrowdStrike此类以威胁情报为基础具备云原生优势的安全企业已经经过了市场的验证，受到用户、投资人、同行的多方认可。国内有哪些新兴安全企业也具备这样的能力特点，各界莫衷一是。 基于上述现状，数世咨询认为在传统终端安全能力与检测响应新需求之间，始终缺少一个以行业调研为基础的EDR报告对其做出梳理与阐述。鉴于此，我们协同国内EDR领域安全厂商微步在线开展了为期一个多月的调研工作，并在保护用户隐私不泄露任何调研原始数据的基础上，将调研成果整理成为各位读者看到的《精准EDR能力白皮书》。 鉴于时间紧迫，调研对象样本有限，报告中难免有遗漏、偏颇之处，请各位读者不吝指正。 关键发现 ●精准EDR是指基于海量威胁情报与终端行为分析，以高级威胁攻击行为为应对目标，具备精准威胁发现、快速溯源分析、智能响应闭环的EDR解决方案。 ●精准EDR重在精准，关键能力主要有攻击检测能力、数据采集能力、攻击溯源分析能力、安全响应能力等四个维度。 ●要构建满足用户需求的检测准确度，目前在多种可选技术路线中以“上下文关联”最具落地实践效果。 ●对威胁检测的覆盖主要包括基于特征的恶意软件、覆盖ATT&CK的IoA、以及包含APT组织在内的高质量IoC情报等。 ●agent采集的数据需要在终端侧进行去重、重组、筛选、标签等操作，以最小化原则回传。 ●精准EDR进行溯源分析的两个基础能力：底层事件的上下文关联、基于图的可视化。 ●精准EDR的安全响应以一定程度的智能化溯源分析作为前置能力，以“单点隔离，阻断横移”为基本原则。 ●未来EDR将向精准化、一体化、智能化等方向发展。 •精准EDR能力白皮书• 1定义及描述 1.1EDR 端点检测与防护（EndpointDetectionandResponse，EDR）是一种采集、记录并存储数字空间中机构所拥有的各端点状态数据与行为数据，并对数据进行关联分析，以应对威胁的安全能力。具体包括，分析端点数据，检测发现威胁，进行隔离、查杀等安全响应；对正在发生或已发生的安全事件进行追踪溯源；针对潜在的风险（如二次攻击、未修复漏洞等），基于客户业务需求提供修复与保护建议；最终，实现整个数字环境中对未知威胁与高级可持续威胁的检测与响应。（注：本定义取自《数世咨询：EDR能力指南2021》，有修改） 端点的范畴：本报告中的“端点”若无特别说明，主要是指数字空间中某机构所拥有的办公电脑、个人移动终端、IoT设备、网络设备、联网打印机、摄像头等终端设备。 需要强调的是，本报告的端点中不包含物理主机、虚拟机、容器等服务器设备，主机场景下的检测与响应，数世咨询单独以“主机检测与响应HDR”进行了划分，详见《数世咨询：主机检测与响应HDR能力指南》（2022）。 1.2精准EDR 基于上述EDR定义，精准EDR是指基于海量威胁情报与终端行为分析，以高级威胁攻击行为为应对目标，具备精准威胁发现、快速溯源分析、智能响应闭环的EDR解决方案。 图例1：精准EDR示意简图 1.3与传统终端安全产品的区别 精准EDR与终端管理类产品相比（如终端管理、桌面管理）： √产品定位不同，终端管理产品为IT运维工程师提供管理上的便捷，而精准EDR关注的是黑客攻击行为，供安全管理员应对威胁使用； √安全能力不同，终端管理产品的安全能力较弱，一般具备弱口令扫描、漏洞扫描等基本安全能力，精准EDR要能够检测出高级威胁攻击行为； √然两者并不冲突，精准EDR主要角色为高级威胁检测与响应，并且其agent较为轻量，在终端侧的资源占用很小，再基于定位与能力上的不同，因此能够与用户原有终端管理产品并存发挥各自能力。 精准EDR与国内传统终端安全相比（主要以防病毒为主，包括传统的EPP、AV在内）： √应对目标不同，相对传统杀毒软件或病毒防护产品，精准EDR更关注端点侧的高级威胁攻击行为； •精准EDR能力白皮书• √基础架构不同，相对传统的本地化扫描引擎，精准EDR采用SaaS模式或者本地化大数据架构（SaaS模式基于云具备更强的可扩展计算能力），状态数据行为数据的存储、溯源分析、策略分发等都在云端，且多为云原生架构，支持大规模可扩展，能够及时应对多场景下的不同需求； √检测机制不同，相对基于特征的匹配机制，精准EDR基于海量威胁情报数据与多种行为方法，对威胁攻击行为的事件上下文进行关联分析，从而发现威胁； √响应效果不同，相对传统的高级分析师判断后交由运维、网络等部门响应，精准EDR直接具备智能化的端点隔离、横向阻断、智能清理攻击者驻留项等闭环响应能力。 √当然新型的EPP中也会不断融入EDR能力，以国际为例目前已经出现了两种方向的厂商。一种是专业的EDR厂商扩展成为EPP厂商，以Crowdstrike为典型；另一种为传统EPP厂商通过研发或者并购整合EDR能力。 图例2：与传统终端安全产品的区别 2EDR需求现状分析 2.1传统产品无法有效捕获企业终端面临的新威胁 如定义部分所述，防病毒、EPP等传统终端安全产品基于已知特征库、通过传统签名技术实现对恶意文件的检测发现；面对未知特征恶意文件，虽逐步发展出了“云查杀”、“启发式检测”等功能，但面对内存马、无文件攻击等新型威胁时，传统安全产品已无法有效应对。 2.2混合办公、多分支办公等场景下的统一终端安全视角缺失 新冠疫情客观上加速了业务上云、居家办公、远程协同等混合办公、多分支办公的场景，机构安全团队需要同时覆盖多类型、多属地的终端安全需求，然而在同时面对VPN、数据中心边界防护、Web防护等多个烟囱式的安全界面时，很易出现疏漏。 与此同时，机构下辖的各分支机构安全建设投入先后有别，水平不一，人员少经验浅安全意识薄弱是普遍现象，攻击者一旦进入，横向移动内网扩散畅通无阻，因此往往成为实网攻防演练中攻击队最常突破的目标。面对这种情况，统一的终端安全视角成为最迫切需求之一。 2.3EDR缺乏全面有效的监控记录数据支持 要想具备统一的终端安全视角，需要对终端进行监控记录全覆盖。然而我们调研发现，目前行业内大部分EDR产品在端侧的数据采集能力都较弱。 “全量”记录终端上的所有数据并不能直接为检测或响应带来更高效助力，相反还可能会占用更多的计算资源与网络资源，影响业务连续性与用户体验。监控记录数据是否有效支撑，要看覆盖度与精准度。覆盖度与精准度要考虑机 •精准EDR能力白皮书• 构用户的业务特点、基础设施环境、安全需求、外部潜在威胁等，有侧重地采集所需要的监控与记录数据。后文在“关键能力”部分会有详细论述。 2.4溯源分析定位缺少高效的技术手段与数据支撑 溯源分析定位环节也需要数据支撑，标准是“高效”，实现手段是将前面提到的端侧采集数据，与外部海量的威胁情报数据、基于行为的上下文分析检测技术三者在EDR平台侧进行融合，对端侧提供持续支撑。 这里的价值在于，溯源分析的过程目前大多依赖于有经验的安全事件分析师，在安全重保、实网攻防演练、或个别重大高危漏洞爆发时，人工分析是有必要的，但在日常安全运营的“告警风暴”中，如何通过技术手段实现一定程度自动化的溯源分析定位，这是安全运营团队的另一个迫切需求。 2.5仅靠流量安全产品的威胁定位和响应无法闭环 IPS、NGFW、UTM等流量检测类安全产品在应对办公网中动态IP、NAT等场景时，无法获取真实IP，进而找到对应的终端，也无法关联到对应的员工。即便定位到终端，也无法第一时间定位到威胁进程，常常需要有经验的安全工程师进一步人工排查，排查到威胁进程后，如何在不影响业务的情况下进行溯源、清除，更加依赖安全工程师的经验水平。 整个排查工作下来，很可能攻击者已经完成了横向移动、后门植入等动作，入侵踪迹也已经删除完毕。因此流量安全产品要与EDR联动才可能形成有效的威胁定位、响应闭环。 3行业用户场景 3.1攻防演练中的攻击检测与快速响应 应对攻击队的渗透入侵行为，EDR能够提供快速的检测定位与响应阻断能 力。 EDR的检测定位能力可以发现内网中爆破、提权等常见攻击工具，此外还可以用于发现凭据获取、权限维持和提升、防御绕过、内网信息收集、隐藏命令控制通信等高级攻击手法，另外还可以对内网横移手段中常用的域控攻击、漏洞利用、远程服务爆破等方式进行检测。 EDR的响应阻断能力可以对失陷终端进行快速