关于终端检测与响应(EDR)的论述

徐建国

摘 要：针对目前日趋严重的高级威胁，传统手段防护的终端安全已经力不从心，安全防护理念需进阶到主动防御，终端安全应该以检测和响应（即终端EDR）为核心，来加强自身的防护能力。本文主要介绍EDR的原理思路、模型构成以及其在终端安全中所贡献的能力。

关键词：高级威胁;检测;响应;威胁情报;大数据分析

中图分类号：TM76 文献标识码：A 文章编号：1671-2064（2019）03-0005-02

0 前言

经过近十年的大范围网络安全基础设施的建设，国内企业安全防护系统经历了一个从无到有、从有到全的发展过程，终端的定义也不再仅仅是Windows操作系统的计算机，可能是任何类型的机器，包括：笔记本电脑、台式機、服务器、移动设备、嵌入式设备，SCADA系统，甚至IoT设备，大量的投资建设建起了庞大的安全防御工事：IDS、防火墙、扫描器、审计系统、WAF、防毒墙等安全设备应有尽有，但是针对于网络与终端的安全事件却层出不穷，敏感数据泄露的安全事故更是比比皆是，恶意威胁由原来的盲目、直接、粗暴的攻击手段转变为现在的精确化、持久化、隐匿式的恶意攻击，它们会依照安排好的多个阶段进行有条不紊的开展，预估好每一步骤，通过侦测、武器化、传输、漏洞利用、植入渗透、C2、窃取步骤达到最终的目的，并可在短时间造成用户的惨重损失，但是要发现、解决威胁、评估损失则需要数周甚至数月的时间，究其原因在于依靠已知特征、已知行为模式进行检测的网络安全防护技术手段无法预知新型恶意威胁的攻击特征与攻击行为模式，传统的防御技术在面对当今终端上的各种高级威胁问题已经不再适用。因此我们需要通过技术手段来提升对终端对高级威胁的防护能力。

1 终端安全防御新思路

新一代终端安全的核心是在利用已有的经验和技术来阻止已知威胁的前提下，通过云端威胁情报的能力、攻防对抗的能力、机器学习等方式，来快速发现并阻止先进的恶意软件和零日漏洞等威胁事件。同时基于终端的背景数据、恶意软件的行为、以及整体的高级威胁的生命周期的角度进行全面的检测和响应。进行快速、自动化的阻止、补救、取证，从而有效的对终端进行防护，这就是我们所说的终端检测与响应机制，即终端EDR。它针对高级威胁具有实时检测和自动响能力，并做到自动化的预防机制，以确保在安全事件发生后，可以第一时间做出正确的响应。那真正的EDR应该如何去做？应该建立一个什么样的模型？

2 终端EDR模型

EDR应采取一种全新的“攻防倒置”的思路，依靠大数据威胁情报的指引，通过最新的安全线索快速锁定威胁终端，通过实时数据和历史终端信息对于受害终端进行深度评估，揭示内网终端的安全缺陷，通过自动化响应机制进行处置。将一个复杂的高级威胁安全响应，分解成为定位、评估、响应、修复等一系列行动过程，从而解决高级威胁难以处置的问题。其具体模型包含持续监测、主动检测、自动响应以及全面评估（见图1）。

持续监测：持续记录终端上的每步动作，将动态和静态的终端安全数据实时推送到大数据分析平台进行统一的存储和管理。

主动检测：实时接威胁情报、安全告警等线索信息，在大数据分析平台中主动检索、定位符合条件的威胁终端。

全面评估：针对于威胁终端进行全面的安全评估，结合终端背景数据，对于终端的安全漏洞、威胁的攻击进行分析评估，发现终端沦陷的根本原因。

自动响应：针对不同类型的终端威胁提供相应的自动响应手段，结合终端、业务、系统等因素提供补救手段，提升安全基线，防止同类型攻击再次发生。

3 EDR应具备的能力

一个好的终端EDR应具备以下能力：

数据采集：能够实时记录端点上行为数据、静态样本、软硬件资产等信息，进行集中化存储，便于实时的检测和安全评估。

动态行为分析：能够针对于终端的相关行为操作进行实时动态监测、分析，基于恶意威胁的行为动作进行检测，以确定它是否为恶意行为。

云端威胁情报：能够将威胁情报实时和终端行为关联分析后，确认企业上是否已经存在已经沦陷的终端。并对于发现的终端威胁情报进行端点之间的共享，以便立即免疫其它终端面临此类的攻击。

自动化响应：能够自动处置高级威胁在杀伤链中不同阶段需要做出的对应的响应动作，例如结束进程、隔离文件、补丁更新等，提供立即止损的手段。

修复、取证：需具备恢复的终端在执行恶意软件前的状态的能力，进行全面的安全补救。同时对于发生在整个组织的恶意活动清晰可见，便于安全人员能够快速确定问题的范围、影响，对威胁事件进行取证。

数据存储能力：能够对数据存储平台进行扩展，以支持终端点数的快速增长，同时具备海量的数据存储和快速的计算能力。

自适应安全体系结构：自适应体系结构包括四个阶段（预防、检查、预测和回顾）。一个完整的终端安全解决方案应该与此体系结构的四个阶段对齐，以提供全面的自适应保护，从而免受高级威胁的攻击。

4 EDR构成

EDR通过终端多维度的安全数据持续采集，实时存储在本地终端大数据分析平台中，通过推送定制的专属终端威胁情报，同时结合基于恶意威胁行为的上下文信息检测，对高知威胁的恶意行为实现的快速发现，并可对受害的内网终端进行精准定位，最终达到对恶意威胁的及时处置响应。主要包括终端采集器、数据采集平台、大数据分析平台、控制中心、威胁情报五个部分组成（见图2）。

终端Agent数据采集。终端Agent主要负责对全网终端的安全数据进行采集并对威胁事件进行自动化的响应处置，终端Agent会将采集到的终端安全数据会汇总到数据采集平台上进行统一的归类、加密，并传输给大数据分析平台。终端Agent支持采集IM文件传输信息、驱动信息、操作系统信息、进程信息、DNS访问审计、IP访问记录、U盘使用记录、软件安装信息、邮件日志信息、证书相关信息等。

终端大数据分析平台。随着终端数据收集越来越全面，数据量面临快速增长，当数据有几百、几千亿条数据时，现有的数据库检索能力则会受到制约，数据库执行操作响应变得不够及时。需要建立基于搜索技术的终端数据存储分析平台，具备分布式计算、分布式搜索能力。并对所有终端安全数据进行快速的处理并为检索提供支持，可以将索引以多个分片和多个副本的形式存储于分布式系统当中，提高检索性能，同时保证数据的可靠性。可与威胁情报或其他告警进行关联帮助进一步分析，对攻击进行有效地回溯定位。

威胁情报实时推送。EDR将所有与攻击相关的信息，如攻击团体，恶意域名，受害者IP，恶意文件MD5等相关信息汇总，通过人工智能结合大数据知识以及攻击者的多个维度特征还原出攻击者的全貌，包括程序形态，不同编码风格和不同攻击原理的同源木马程序，恶意服务器（C&C）等，通过全貌特征‘跟踪攻击者，持续的发现未知威胁，最终确保发现的未知威胁的准确性，并生成了可供大数据本地分析平台使用的可机读的威胁情报，并通过加密通道推送到企业侧的大数据分析平台。威胁情报为整个方案的核心内容承担了连接互联网信息和企业本地信息的重要作用，为APT事件在企业侧的最终定位提供了定位依据。

控制中心。控制中心提供威胁追踪和告警响应的安全能力，威胁追踪可以提供给运维人员手工搜索全网终端安全数据的能力，可以通过模糊搜索、精确搜索来快速查找到有价值的特定内容，并可对特定内容进行类型的筛选、统计、过滤等，方便有安全经验的运维人员去主动发现内网的安全事件。告警中心会将与威胁情报关联到的内网安全事件進行告警，针对于涉及的终端、风险级别、事件的类型、告警的概要和详情进行详细的描述，提供安全响应的功能，并针对已响应任务进行查看，了解响应的终端范围与进度。

5 EDR优势体现

威胁情报驱动，发现高级威胁。通过机器学习与自动化数据处理技术，持续的发现未知威胁，通过统一的规范化格式将攻击中出现的多种攻击特征进行标准化，满足未来扩展攻击特征，用于驱动终端在第一时间内对威胁进行及时检测和响应。

持续采集监测，消除终端盲区。通过终端安全数据的不间断采集、监测、与分析功能，可以显著提升发现潜在威胁的能力，提升调查工作的便捷性，为深入透彻的了解终端的威胁状况提供重要的背景基础。

快速检索定位，主动发现威胁。使用分布式多协同处理方式建立索引，达到实时、稳定、可靠的查询性能，快速返回终端威胁查询结果，有效地避免了传统系统中在处理海量数据遇到的稳定性、及时性、可靠性等技术瓶颈。

自动化响应，及时清除风险。针对于发现的高级威胁事件，可提供对应的安全响应的处置策略和任务，对于威胁事件提供隔终止、隔离、取证等安全手段，快速终止威胁的持续发生。提升安全运维团队的响应的效率和处置威胁事件的能力。

6 结语

终端EDR可以持续洞察内网终端的安全活动信息，结合大数据威胁情报等线索对内网沦陷终端进行快速的检索和定位，并提供针对威胁事件的自动化响应和修复能力，在对抗高级威胁中获得更好的效果与更快的效率，最大限度压缩攻击者的攻击时间，减少高级威胁最终达到目的可能性，从而更好地加强终端的整体安全性。