EDR在企业网络安全中的作用

以往，带有恶意代码的可执行文件曾是端点的主要威胁，防病毒软件可以迅速识别并阻止这类恶意行为。如今网络攻击者越来越多地伪装成看似合法的方式进行攻击，因此新的威胁场景看上去更加类似于用户和进程的正常活动，从而成功绕过防御体系。

对于网络钓鱼攻击、基于漏洞的入侵、移动恶意软件以及利用合法操作系统组件功能进行攻击等方式，企业处于被动防守方，并且来自企业内部威胁和人为错误也加重了企业的安全挑战。

还有一个对企业安全构成严重挑战的威胁是数据泄露。当企业使用不可靠的方式保存或传输文件时，极有可能导致数据泄露。例如，当您与第三方共享文件时，他们可不会像您那样小心谨慎，从而导致数据被泄露给未经授权的其他人。

一般网络攻击的目标是破坏业务流程或窃取信息。在这两种情况下，端点都将是不法分子的重要目标，因此必须得到妥善保护。

还有一个值得重视的现状是，组成企业的端点系统可能是异构的，因此保护企业的设备和用户的设备的方法是不同的。例如，针对企业计算机的勒索软件攻击可能会带来毁灭性的后果，而在员工个人设备上丢失数据对于企业来说可能是一个微不足道的问题（当然也可能产生关联的问题很严重），因此二者的防护手段是不一样的。

对于端点上运行的进程的可见性也是防护的一个重要部分，通过使用机器学习和其他安全技术分析这些数据，安全团队可以基于行为识别新威胁。

当前也存在很多针对使用Linux或macOS系统端点的恶意程序。此外，现在的网络钓鱼攻击也在进化，不再像以前那样专门针对平台，攻击方式变得多样化，许多是通过内核可能存在的跨平台漏洞的浏览器实施攻击。

为了在复杂的威胁环境中最大限度地保护端点，可以选择通过传统的反病毒软件辅以EDR和抵御高级威胁的工具，例如防漏洞利用和零日漏洞、数据防泄漏 (DLP) 系统等。但是，这些产品的组合会严重影响计算机的性能。

因此，重要的是围绕企业数字基础设施中特定端点的功能来构建安全策略，而不是毫无计划地部署一堆安全产品，因为这样情况下许多产品都是冗余的。此外，远程员工的笔记本电脑和工作站的防护方法也会有所不同。无论采用何种机制，通过自动化程序收集和分析来自所有不同节点的遥测数据也是至关重要的。

另一方面，根据IT环境来确保工作站安全性的想法与零信任理念是相矛盾的，比较实际的解决方案是在每个端点上安装一个安全代理来跟踪用户操作。

许多企业用户面临两难选择：应该依赖单一供应商的 EDR 产品，还是使用不同供应商的同类最佳解决方案？对于多供应商的方式，不同系统之间的互操作性和兼容性可能存在问题。因此，比较合理的策略是，部署一个值得信赖的供应商的综合产品，并使用其他供应商的解决方案来弥补其缺失的安全功能。

另一个挑战是如何为安全监控工具获取精确的检测数据。SIEM（安全信息和事件管理）和EDR供应商通常将检测数据作为其解决方案的一部分出售给用户，但对于企业安全团队来说，让安全工具不断更新关键威胁的最新检测数据是一项非常困难的任务。对于拥有多供应商IT产品的企业，从第三方威胁情报提供商或其他安全市场获取跨平台用例，可能还需要克服迁移带来的挑战。

有一种称为移动目标防御 (MTD) 的技术非常具有发展前景。它旨在通过不断修改目标系统，构建一种动态、异构、不确定的网络空间目标环境，使其对攻击者来说不可预测，以此来增加攻击者的攻击难度。实现 MTD 的一种方法是随机更改设备内存中进程的位置。

尽管这项技术目前还没有被广泛应用，但相关专家认为，该技术最终将成为EDR功能堆栈中不可或缺的一部分，甚至将成为某些操作系统的默认组件。目前，MTD 解决方案主要由处理大量敏感数据的企业使用，例如客户的个人身份信息（PII）和财务数据等。

增加网络攻击者的攻击难度，以此迫使其知难而退——这种方法有助于提升检测能力并加快响应速度。此外，如果攻击者在攻击过程中所付出的资源超过了收益，将增加其攻击成本，也将迫使其无功而返。

但为什么企业部署的安全工具越来越复杂，但勒索软件攻击的问题仍然存在？这个问题有几个方面的原因。尽管反勒索软件技术在不断改进，但此类攻击的复杂性使得企业需要一种更全面的安全方法，而不是逐点使用专门的安全产品。

此外，加密数据只是勒索软件攻击实施威胁的一部分，勒索赎金才是其真正目的。相对应的安全解决方案必须能够阻止这种“附带损害”。许多受害者使用了无效的保护机制也“助长”了这种网络犯罪经济的盛行，甚至有些用户根本没有实施任何防御措施。当然，“助长”勒索软件的另一个不利因素是，受害企业支付赎金给攻击者。

从本质上讲，勒索软件击碎了看似强大的企业网络安全“防护网”， 许多勒索软件攻击还涉及网络钓鱼和其他社会工程技术，使得攻击者很轻易获得目标网络的访问权限。不过换句话说，这些攻击技术防御起来也相对容易，通过加强对员工的安全培训，可以有效防范相关的网络钓鱼和社会工程学攻击，进而降低勒索软件风险。

还有一种攻击涉及对合法程序的滥用。对此，具有应用程序控制功能的EDR系统可以很好地检测此类威胁。EDR拥有发现异常应用程序特定活动的能力，基于合法进程和应用程序列表创建一个独立的系统，可以进一步降低对合法软件进行攻击的可能性。

如果在端点设备上安装多个安全工具，系统会因资源被占用而导致性能的急剧下降。EDR 提供商需要在安全性和性能之间进行权衡，将威胁管理分成多个阶段可以实现这一目标。

当试图在二者之间取得平衡时，企业必须选择是安装更多具有相对“宽松”策略的安全模块，还是在走零信任路线的同时减少安全工具数量。

在未来端点安全发展方面，威胁分析技术及针对自动攻击的检测和响应的附加工具是主要方向。

传统基于签名的防病毒软件已经可以被基于机器学习技术的下一代安全解决方案所取代。EDR未来的发展将朝着扩展检测和响应 (XDR)迈进，并更加强调对数据相关性的挖掘。

无论如何发展，端点安全工具只是整体企业安全体系的其中一种机制，它依赖于与生态系统中其他安全技术的整合，逐步淘汰单一的解决方案，支持“无所不包”的代理。

由于端点是数字基础设施中越来越有价值的元素，因此包括EDR产品在内的端点安全市场将继续增长。有一种趋势是形成“集体防御”原则，包括在设备之间自动交换安全相关数据。

同时，有专家预计新安全技术在不久的将来并不会出现爆炸性增长，相反，供应商将专注于改进现有安全工具。这种趋势将带来包括软件代理与云、网络和本地系统的无缝集成，以及应用程序在用户体验方面的改进。

总而言之，端点安全在未来可能会从端点转向XDR和托管检测和响应（MDR），所有资源密集型计算将转移到云端。在这些趋势下，端点安全将成为一项服务。尽管“古老”的防病毒软件当前已经达到了它的技术“上限”，但它可能仍将是端点安全的一个重要部分。

端点是数字基础设施的关键要素。现代工具，例如 XDR 和 MDR 产品、SIEM系统以及DLP解决方案，毫无疑问会增强企业的安全性，但无法解决所有端点本身的安全问题，其中许多威胁可能在外部安全边界。

能够转换为多种 SIEM、EDR 或 XDR 格式的自定义用例也可以提升检测和响应能力。从基于签名的防病毒模式转向应对更复杂威胁的解决方案是端点安全供应商需要考虑的问题。