端点始终是企业整体安全防护当中不可或缺的一环。尤其对于员工使用的计算机、平板等终端设备而言，薄弱的安全防御往往会成为攻击者发起入侵的起点。当前来看，无论使用怎样的安全策略，端点的防护始终值得关注。

从杀毒软件到EDR

　　端点的安全防护可以追溯到杀毒软件的时代，通过特征库的方式，对端点中存在的恶意程序进行识别，再进行查杀、隔离等操作。但是，杀毒软件面临两大主要问题：第一，基于特征库的病毒识别能力较为滞后，当病毒种类以及相关变体开始快速迭代的时候，难以跟上病毒的演化，导致无法检测出恶意程序；另一方面，杀毒软件往往是基于各个端点一对一部署的，在企业环境下，即使端点自身发现了威胁，却无法从整个企业的角度来管理和处置来自端点的威胁。

　　EPP（Endpoint Protection Platform）的出现，一定程度上解决杀毒软件无法对企业范围内的端点进行统一安全管理的问题。然而，EPP依然存在两个严重的不足：首先，EPP依然没有解决杀毒软件基于特征库的依赖，仍然会有特征库滞后的问题；其次，尽管EPP在一定程度上解决了对企业范围内端点的统一安全管理，但是EPP仍停留于“管理”层面，无法基于对全局的管理进一步检测威胁，也难以还原攻击链进行溯源取证。

　　要应对端点上日益增多的挑战，端点的防护能力也需要改进：不能只依靠特征库进行威胁的检测，同时要能够从全局的角度分析威胁的情况，把握攻击在环境中的来龙去脉。因此，EDR（Endpoint Detection and Response）成为了新的端点防护手段。

EDR的核心能力与误区

　　根据Gartner的定义，EDR是：

　　EDR最终需要实现的，是对全环境当中，端点系统的威胁检测与响应。在攻击事件当中，各个端点发生的异常情况并非是独立的事件，而是整个攻击体系当中相互关联的一环。因此，对全端点的统一掌控与分析，才能够更完整地还原攻击全貌，发现攻击中导致的每一个受影响的部分，把握整个端点层面的威胁。

　　然而，国内存在着一些对EDR能力理解的误区：只从字面意思理解EDR，认为EDR只要能够在端点提供检测与响应能力即可。这个观念误区没有意识到，“检测与响应”只是EDR能够达成的结果，而不是EDR最本质的核心能力。无论是检测还是响应，EDR都需要基于一系列的“原因”，而能够给出这个“原因”的能力——分析，才是EDR必不可少的一环。

　　正如前文提到的，EDR要实现的不只是单个端点层面的行为分析，同时要基于整个环境当中，各个端点的行为，描绘出环境当中全端点的行为状态。因此，EDR中的关联分析能力不能只局限于单个端点上各个事件的分析，需要能够扩展到整个环境中，各个端点行为与事件之间相互的关联。如果无法实现这一点的分析，难以称为合格的EDR解决方案。

　　另一方面，分析的基础是数据。没有海量的数据作为支撑，无论是前期的正常行为建模，还是使用中的异常行为分析，就无从谈起。所以，EDR除了要求分析引擎能够处理海量的数据之外，一大前提则是——EDR能够支持获取和存储端点级别的信息。在端点数据的层面，“获取”和“存储”同样重要：无法完整获取所有所需要的数据，就意味着分析中会出现遗失的关键信息（原因可能是本身数据获取能力不全面，也可能是被攻击者利用技术绕过）；存储能力不足则直接限制了分析能力的上限，同时难以对过去发生的威胁事件进行溯源取证。

　　因此，一个真正能够实现Gartner定义的EDR，其隐含的能力包括了即使被攻击者针对进行绕过，仍然能够全方位获取海量端点信息并存储的能力，以及对全环境、全端点数据进行分析的能力。

从360看未来EDR发展

　　由于EDR的有效使用需要海量数据的存储与分析能力，那对计算能力必然会有极大的挑战。在国外，CrowdStrike率先采用了SaaS化部署EDR的解决方案，将分析和存储能力迁移到云端，通过云端优秀的计算能力与存储能力，最大化采集到的数据的价值。而作为国内领先的安全厂商，360政企安全同样致力于推动国内EDR的SaaS化部署，依靠360云端安全大脑在数据、情报、专家等方面的赋能，以及核心安全大脑“运营商”级的分析算力支撑，打造“云地一体化”架构，实现完整的EDR解决方案能力。

　　其中，海量的云端安全大数据是EDR产品发现攻击者痕迹的必要基础。一旦EDR产品后端缺乏安全大数据支撑，没有构建出覆盖面足够广、精确度足够高的检测防御模型，就好比空中楼阁，大大影响EDR防御效果。360 EDR基于360云端安全大脑17年实战积累而来的大数据赋能，可帮助政企用户透析全网威胁态势，此外也给客户提供了对高级威胁攻击完整溯源的能力，通过把采集到的异常事件与 360 大数据分析能力结合，与威胁情报碰撞形成完整的攻击链图谱。

　　360核心安全大脑提供“运营商”级别的分析能力。由于高级威胁攻击的蛛丝马迹往往隐蔽在常规软件类似的行为当中，因此需要有对海量历史数据的反复检测能力，这些都要求产品具备强大的大数据运算能力。作为360 EDR的关键支撑部分，360核心安全大脑为其提供“运营商级别”的分析算力，可瞬间调用超过百万颗CPU参与计算、检索与关联，快速帮助客户画出完整攻击链图谱。

　　另一方面，当前大部分的EDR解决方案依然依赖于的hook技术，这一技术面临的一大问题是极容易被攻击者绕过，导致EDR无法收集到威胁产生的信息。360的EDR则通过超越内核级的监控技术，极大避免了攻击者逃过EDR监测的问题，同时能够从内核层面更为全面地收集端点信息。

　　即使有了先进的解决方案，企业依然面临另一个问题：缺乏足够的专家团队来最大化产品的价值。而这一点，又恰好是360在行业中耕耘多年积累的优势。360能够为企业提供强大的专家团队，这一团队17年来已挖掘谷歌、微软、苹果等主流厂商CVE漏洞近2000个，成功追踪溯源海莲花、摩诃草、美人鱼、蔓灵花、蓝宝菇等针对中国的境外APT组织50个……正是多年对高级别黑客研究的经验，通过部署 360 EDR 产品，能把 360 多年积累的安全专家运营能力成功下沉，从安全状态总览、安全事件分析、响应处置、评估改进等安全一站式工作台制定相应的威胁检测和响应流程。在落地客户过程中，360 安全运营专家能深入业务场景，面向实战，从信息安全、网络安全拓展到业务安全，实现了安全能力的可持续提升，为客户打造不断迭代，能力持续增长的数字化安全防护体系。

　　端点上的攻防必然会不断演进，EDR能力的完整实现依然还有不少的路要走。但是，基于云端大数据存储与分析的SaaS化模式必然是一个主要方向。同时，当前来看，能够为客户提供威胁追踪(threat hunting)与事件后专家修复建议的EDR能力，也是企业急需的重要价值。

参考阅读

数世咨询：EDR能力指南

EDR的定义、功能与应用场景

数世咨询：威胁检测与响应（TDR）市场指南

360安全运营服务体系助力医疗领域客户向主动防御转型

周鸿祎ISC发布360战略目标：构建国家级的分布式安全大脑

三六零2020年财报：安全业务激增70.73%