EDR的定义、功能与应用场景

什么是EDR？

端点检测与响应，是一种安全工具，监视与网络相连的终端用户硬件设备上的可疑活动与行为，并自动响应以阻断察觉到的威胁，同时为进一步调查留存取证数据。

EDR平台对发生在端点设备上的一切，如进程、DLL（动态链接库）和注册表设置的变化、文件及网络活动，都具备深度可见性。同时，结合了数据的聚合与分析能力，来识别威胁，或自动化处理或人工介入。这里的端点是指任何终端用户的设备，如笔记本、智能手机，以及IoT设备。

普遍认为，EDR的概念最初是由Gartner分析师Anton·Chuvakin在2013年发的一篇博客而来，他当时试图“为一些工具起一个通用的名称，主要用于检测与调查主机或端点上的可疑活动（包括追踪）”。当时他用的名字是“端点威胁检测与响应”，但言简意赅的EDR最终变得非常流行。

EDR与防病毒以及EDR与EPP

一个更好理解EDR的方法，是与其类似技术相比较。比如防病毒或EPP（端点保护平台）。尤其是EPP，它整合了防病毒/防恶意软件、防火墙、入侵防护等产品能力。这些产品有一个共同点，基于签名（基于规则）的被动防护。

随着威胁的多样和灵活，针对已知威胁的静态规则库的方法开始失效，这就是EDR的产生背景。端点上发生的活动，配置的变化、进程的发起或终止、文件的访问/复制/渗漏等，都可能是黑客行为。EDR则为安全运维人员第一时间发现这些活动，同时具备自动化响应的能力。

EDR的工作机制是，在终端用户设备上安装agent（探针），这些探针监视终端活动并返回信息给中心服务器，服务器可以在本地也可以在云端。中心服务器自动检测问题，或者试图纠正这些问题或者发警告给安全运维人员。EDR还具备仪表盘的显示功能，为安全团队提供监控能力。

EDR应用场景

一个典型的EDR应用场景就是，威胁活动以多种形式展开时，EDR并非只看某种特定的病毒或是防火墙被突破的单一行为，EDR看的是威胁活动的套路。比如，通过网络钓鱼邮件能盗取登录凭证的攻击者能够正常的登录系统，甚至执行恶意程序，而不触发任何警报。这种行为一开始并不在终端上体现，但之后的提权和横向移动就会被好的EDR平台警觉，至少也会留下可被安全人员发现的痕迹。

在2016年Gartner分析师Chuvakin的博客上，列出了最为典型的EDR应用场景：

# 检测可疑活动（EDR里的D）

# 辅助自动化搜索及数据调查（EDR里的R）

# 甄别可疑活动

# 通过数据分析进行溯源捕捉

# 自动阻断与控制恶意活动

EDR的通用能力

做为一个大的产品类别，EDR平台有着多种能力属性，很难说具体哪种能力最为基础和重要。所以，从EDR主流厂商提供的能力来看( Digital Guardian, Cybereason, Carbon Black, Microsoft )，以下能力最为主流：

# 可疑活动检测。EDR的核心能力。当发生某些不好的事情时，安全人员需要及时知道。

# 高级威胁阻断。仅仅检测到威胁是不够的，对抗威胁的有效办法是实施阻断。

# 甄别与过滤警告。应对警告疲劳，需要对可能的危险信号做重要性分级，并只在真正需要人工介入的时候再提升其重要性。

# 多种威胁防御。抵御多种形式的攻击，比如不能只防范勒索软件或恶意软件，因为许多高级攻击者会不断的尝试使用各种攻击工具。

# 威胁捕捉与事件响应。帮助安全人员通过数据取证来查找潜在攻击。

# 可见性。上述所有能力都需要可见性的支撑。想要追踪恶意活动，EDR要能看到所有端点以及端点之间的联系，

# 数据统一。可见性的实现需要数据的一元性，把不同来源的信息连贯起来拼成一张图。

# 与其他工具整合。这属于EDR的扩展能力，可以帮助用户令原有的安全工具更加有效。好的EDR应该是一个能力放大器，而不是只能单独使用。

全球市场规模

全球的EDR市场已经很大，而且在不断增长。调研机构Statista预计，今年（2020年）EDR的全球市场规模能达到15亿美元。而Gartner认为，EDR将会是大型企业的必备安全平台，甚至还给出了具体的预期，凡是超过5000台端点以上的机构组织，有70%的比例会部署EDR软件。

EDR实际上是一个把不同种类的安全工具集合一起的联合体，因此很难有固定不变的标准定义，而是会根据市场需求和技术演进而不断的变化（比如从EPP到EDR）。但从市场发展的角度来看，这种变化反而会促进“统一端点保护”（与之类似的是UEM，统一端点管理）市场的兴起。仅从已有的“个人安全软件+EPP+EDR”来看，这个市场至少是70亿美元的规模。

数世咨询