新晋网红EDR为何如此被人迷恋

发布时间 2020-05-19

EDR,即终端高级威胁检测与响应系统被称为终端安全界新晋网红,如今火的一发不可收拾。然而,EDR市场较为杂乱且产品良莠不齐。今天,小编就带您走进EDR内心深处,一探究竟~


EDR为啥这么火?


?新型威胁层出不穷,传统防护手段束手无策


国家互联网应急中心(CNCERT)发布的《2019年上半年我国互联网网络安全态势》的数据表明,2019年上半年CNCERT新增捕获的计算机恶意程序样本数量约3200万个,平均每日传播次数高达998万次,我国境内受计算机恶意程序攻击的IP地址约3762万个。


同时,在2019 年上半年国家信息安全漏洞共享平台(CNVD)收录的通用型安全漏洞数量中,“零日”漏洞收录数量占比43.3%,同比增长34.0%。2019年上半年检测到的无文件攻击事件约710733个,较2018年上半年增加了265%。


可见,基于“零日”漏洞及无文件的攻击行为已经逐渐成为黑客主要攻击手段。未来,黑客攻击将更迅速、更隐蔽,传统基于特征值进行检测的安全手段将无法满足企业信息安全的需要。


?市场广阔


根据“端点检测和响应-全球市场展望(2017-2026)”报告,基于云和本地EDR解决方案将以每年26%的速度增长,到2026年其价值将达到7.32626亿美元。此外,根据Zion Market Research的《网络安全市场中的人工智能(AI)报告》,到2025年,机器学习和人工智能的作用将创造309亿美元的网络安全市场。


俗话说人红是非多。作为终端安全的新晋网红,自然绯闻一堆。能够检测到勒索病毒的就是EDR;能够扫描和修复漏洞的就是EDR。有了EDR,就不需要杀毒及桌管产品了……


EDR既是响应安全威胁发展的必然产物,也是网安厂商新型安全能力的攻坚方向。那么EDR到底是什么呢?


证据1:Gartner官方定义EDR

Gartner将“端点检测和响应解决方案市场”定义为“记录和存储端点系统级别的行为,使用各种数据分析技术来检测可疑的系统行为,提供上下文信息,阻止恶意活动并提供补救建议以恢复受影响的系统的解决方案 ”。EDR解决方案必须提供以下四个主要功能:检测安全事件、存储端点处的事件、调查安全事件并提供补救指南。


Gartner认为,大多数EDR解决方案应有的功能包括:


1、具有检测和阻止隐藏漏洞利用的进程,这种进程能够逃避传统AV检测能力,不能用简单的签名和特征检测到;

2、威胁情报;

3、跨终端的可见性,以检测恶意活动并简化安全事件响应流程;

4、警报的自动化以及防御性响应,例如在检测到攻击时关闭特定进程;

5、取证功能,一旦攻击者进入内部,就需要深入研究其活动的能力,以便能够了解其活动轨迹并最大程度地减少破坏的影响;

6、数据收集以建立用于分析的存储库。


证据2:EDR顶尖厂商的说明

Gartner2019年顾客的选择,EDR上榜的10位厂商和产品分别是:



上榜两次VMware carbon Black定义EDR核心方面包括:


1、全面统一的数据(能够帮助安全分析人员提供对应的数据,帮助他们调查和发现复杂的威胁,在威胁事件真正发生发出警报前);

2、最大化的可见性(可以帮助安全分析人员了解全局的环境和数据,进行关联);

3、实时响应的能力;

4、能够跟其他安全工具集成或联动。


对于勒索病毒的检测、漏洞的扫描和修复都属于传统终端安全产品的安全手段。杀毒软件可以准确地抓取恶意代码,却无法准确了解恶意软件来自哪里及攻击是如何在系统中传播的。


而EDR擅长对未知威胁的检测、终端全量数据的采集与记录、IOA规则匹配、安全事件的挖掘和关联、溯源、响应补救的能力,能够描述整个攻击过程,若当一个恶意软件被杀毒软件或者桌管软件阻止,EDR可以提供分析的能力。因此,在进行终端安全防护的时候,并不是要做“三选一”选择题。


接下来我们再来看看国内EDR市场现状。


中国市场的EDR工具提供商可大体分为三类,即以杀毒为维度包装出来的EDR产品、以主机IDS为维度的EDR产品、以溯源为维度的EDR产品。


?以杀毒为维度包装出来的EDR产品

可以理解为本土化抢占EDR概念,快速推向市场的一个执行思路。既然核心是杀毒,对于未知威胁的检测和响应能力略显不足。


?以主机IDS为维度的EDR产品

补充终端层面的入侵威胁检测能力,但EDR不是HIDS,只是具备HIDS部分功能,而不是全部能力。


?以溯源为维度的EDR产品

这与Gartner定义的EDR产品思路比较接近,在对威胁检测与响应的同时,提供较强的溯源能力,进而找到安全事件的发生源头,给整改提供有力的数据支撑。


无论是AV、HIDS还是EDR,都有其独立的产品能力和应用场景,所面向的安全防护能力也是有差异的。从最基础的产品定义与核心能力角度去看,这三个产品之间不仅没有竞争关系,在面向的安全防护场景还是互补状态。


为什么现在来看三个产品之间的同质化如此严重呢?


作为终端形式的产品,它们在功能上都会有共性。但是EDR作为一个新概念、新思路的产品,不是完全由AV、HIDS改造或者包装而来的产品。虽然从市场的角度来看,花一份钱就能做到两样或者三样事情,性价比特别高了,但是对于产品定型及选型,专业的问题还是要交给专业的产品来做。