概念引入
edr是老生常谈了,有多少安服仔曾经被天擎支配过呢。老样子,先上某度百科:
端点检测和响应(EDR)是一种技术形式,可对针对企业网络和系统的高级网络安全威胁提供持续监控和响应。
很多人第一反应是edr就是个杀软嘛,其实对,也不对。先从技术层面,edr可检测的威胁不仅限于恶意病毒之类的,更强调行为上的阻断,更全面。而从架构部署上,edr是企业方案,注重主动性与防御性,其实说通俗点,edr在网络架构上有服务器,传统杀软把一切集中在一台主机上,而edr是通过网络区域内主机与服务器的连接来构成一个整体,edr强调的是网络内主机的安全。
edr产品
Edr只是个概念,落实到产品上各家安全厂商都有自己的利器,先来说说鼠鼠用过的,某深x服的和微某步的edr都用过,还有某一所的,天擎也不用说了,九成九的安服仔都用过,大家感兴趣的都可以去官方主页搜一下。
重点说说目前大部分edr产品的一个特点,首先是安装问题,edr产品进入一个企业时,不大可能是从零开始的,啥意思呢,一台台装起来真麻烦啊。。。。涉及到一些不太好处理的问题时,客户就会嚷嚷着不会弄要找技术人员了,鼠鼠就和同事们熬夜装过edr。
部分企业可能会有终端管理手段,可能会有软件推送或者统一安装之类的方法,但是实测,首要的一个前提就是edr安全包支持静默安装(这个目前遇到的都有,但是不好说不敢保证。)
其次就是协同的问题,因为要占用主机性能,也需要一定时间,如果有需要的话基本都是安服冤种们下了班一个个装上去了。
当然了,edr很重要的一个特点(优点)就是更新威胁情报库、病毒识别库等这些特征库只需要更新在服务端,等客户段连接时可以设置自动同步更新的,一在网络情况理想的状况下这套方案时目前最佳的。
Edr产品在联动上是最佳拍档,尤其是和态势感知联查病毒木马,绝对省时省力很多,能节省下相当的一部分对数据包传输内容的研判,关于联动的详情可以看看鼠鼠公众号的另一篇文章:安全设备篇——态势感知,这里就不太展开了。
终端安全
前面提到过了,edr是以服务器为指令主体的,这一点上确实方便检测和排查,如果需要实际研判发现某台主机上存在病毒和木马需要查杀,在服务端直接下发指令即可,很是方便,终端分为个人主机和服务器方面:
①个人主机
个人主机方面要安装一个agent客户端,然后客户端会自己连接服务器(跟cs有点像啊,自己生成指向服务器的exe),也可自己指定到服务器地址和端口,这些就是操作上的细节了。用户自己也可以利用客户端进行个人电脑的木马病毒查杀、防护,日常使用中哪怕没有接入服务器端,客户端也是具备防护功能。
②服务器
服务器也是终端安全需要被照顾的一环,假设一个请求从用户到达服务器,正常来说会经过waf、边界防火墙、ips等外层安全设备,edr就是最后一道防线。正常来理解呢就是各道防护各司其职,waf拦截非法参数,防火墙隔离网络区域,ips主动拦截,edr基本就是当场杀软来用了。但是从我个人角度出发这也是edr的侧弱点,对个人主机来说主动防御是几乎唯一的需求,但对服务器来说这是很单一的侧向,edr关注的更多只是端点安全,而忽略了点到点之间线段的安全,这就像是你的快递在到菜鸟驿站之前如果被抢劫了,你也没辙,这就需要找个强大的派送员来“押镖”,这就引出了XDR。
EDR与XDR
XDR 解决方案旨在通过组合和关联来自端点之外的多个来源(例如网络流量、云服务和电子邮件)的数据,提供更全面的网络安全方法。这使得 XDR 解决方案能够识别并响应单个端点可能不明显的威胁。其实就是弥补了edr在点到点之间路径的安全问题的弱点,之所以没有把xdr单独划分出来单作为一个安全设备来说,是主流观点普遍认为xdr是edr的下一个进化形态,是未来企业安全的进阶方案,但目前市场上仍然会以edr为主力军一段时间,所以本期还是以edr为主角展开讨论。
Edr和其他安全产品最大的不同也是在此,这是一类不断发展和变化的安全设备。也是普通人可能唯一会解除和有意识的安全产品,每个人在自己的个人电脑上大概率都会装一个杀软,这本身就进化线路上最初始的一个形态。
总结
终端安全是一个特殊的路线,从终端安全出发去培养、提升大众的网络安全意识是一直以来的一个方法,不需要懂得太多所谓网络攻击的手法和防范手段,其实知道给自己装个杀毒软件就大差不差了,终端安全的发展也是网络安全全民发展双路并行的,或许也是企业安全技术与民众挂钩的桥梁,一些企业版edr会推出社区版仅供个人使用。篇幅太短,目前和大家讨论的就这么多了,本篇仍然是以给萌新师傅们普及,以及跟各位师傅们探讨为目的的,制作不易,欢迎大家关注“一己之见安全团队”的微信公众号。
诚邀您关注一己之见安全团队公众号!我们会不定期发布网络安全技术分享和学习笔记,您的关注就是给予我们最大的动力!
