“數(shù)字經(jīng)濟(jì)”國(guó)家戰(zhàn)略之下，數(shù)字化轉(zhuǎn)型升級(jí)，疊加新冠疫情及當(dāng)前國(guó)際環(huán)境，傳統(tǒng)終端保護(hù)方案無(wú)法有效解決未知威脅、高級(jí)威脅等定向性攻擊手段，在終端安全管控方面，大型政企面臨著新的困難與挑戰(zhàn)。

企業(yè)終端安全保護(hù)面對(duì)的困難與挑戰(zhàn)

80%的系統(tǒng)抵御不了80%的風(fēng)險(xiǎn) 

首先，我們可以來(lái)看幾組數(shù)據(jù)——

2019年全球安全廠商披露APT攻擊總報(bào)告數(shù)量近500起，對(duì)比18年增長(zhǎng)約10%；2019年統(tǒng)計(jì)顯示被勒索病毒攻擊的計(jì)算機(jī)已連續(xù)兩年超400萬(wàn)臺(tái)以上；數(shù)據(jù)泄露數(shù)量對(duì)比18年增長(zhǎng)52%，成本在五年內(nèi)增加了12%，達(dá)392萬(wàn)美元......

事實(shí)上，針對(duì)通常采用免殺、未知木馬、0day漏洞攻擊等復(fù)雜手段的APT攻擊以及勒索病毒攻擊，傳統(tǒng)的防病毒技術(shù)難以有效防范，傳統(tǒng)安全產(chǎn)品往往力不從心。企業(yè)信息化安全建設(shè)投入逐年增長(zhǎng)，各類安全系統(tǒng)逐步上線，但80%的系統(tǒng)依然抵御不了80%的風(fēng)險(xiǎn)。一旦發(fā)生網(wǎng)絡(luò)安全事件，政企難以進(jìn)行及時(shí)預(yù)警以及威脅處置。

傳統(tǒng)終端保護(hù)方案無(wú)法抵御當(dāng)前攻擊手段 

● 無(wú)特征攻擊讓傳統(tǒng)防御手段無(wú)從下手

傳統(tǒng)的安全防御理念，都是以控制為核心，通過(guò)各種網(wǎng)絡(luò)安全系統(tǒng)對(duì)信息資源進(jìn)行保護(hù)，但從網(wǎng)絡(luò)攻擊行為的發(fā)展趨勢(shì)來(lái)看，“潛伏性”和“持續(xù)性”是現(xiàn)網(wǎng)絡(luò)攻擊最顯著的特征，這讓攻擊行為的阻斷越來(lái)越困難。0day攻擊、無(wú)文件型攻擊和長(zhǎng)期潛伏類等不含有具體文件特征的攻擊手段讓傳統(tǒng)防御手段無(wú)從下手。

● 警報(bào)疲勞導(dǎo)致應(yīng)急響應(yīng)周期長(zhǎng)

現(xiàn)今隨著安全警報(bào)數(shù)量不斷增加，安全團(tuán)隊(duì)越來(lái)越難以對(duì)重要警報(bào)做出快速響應(yīng)。有報(bào)告顯示近三分之二的企業(yè)受訪者表示，只有不到10％的警報(bào)為有效警報(bào)，需要進(jìn)一步關(guān)注。比如一個(gè)終端數(shù)量達(dá)到10w+的大型政企，每天可能會(huì)接收到數(shù)千條警報(bào)信息。運(yùn)維人員面對(duì)大量的非關(guān)鍵/錯(cuò)誤警報(bào)，極易陷入“警報(bào)疲勞”。并且，大量的非關(guān)鍵/錯(cuò)誤警報(bào)導(dǎo)致真實(shí)警報(bào)被忽略，運(yùn)維人員將時(shí)間浪費(fèi)在追蹤誤報(bào)上，從而錯(cuò)過(guò)了真正的威脅，企業(yè)對(duì)威脅事件響應(yīng)時(shí)間無(wú)法縮短。

● 單一數(shù)據(jù)分析造成攻擊威脅溯源困難

傳統(tǒng)單一終端、單一時(shí)間段、單一系統(tǒng)的數(shù)據(jù)分析，無(wú)法關(guān)聯(lián)檢測(cè)對(duì)照，導(dǎo)致無(wú)法完整分析攻擊事件過(guò)程。終端保護(hù)不僅是防御攻擊，還需要對(duì)攻擊威脅進(jìn)行溯源分析，而溯源分析的價(jià)值不在于追捕攻擊者，更大的價(jià)值在于發(fā)現(xiàn)未知的新型攻擊行為、針對(duì)性采取合適的對(duì)策、確定下一步該做什么，優(yōu)化從預(yù)防到響應(yīng)的整個(gè)過(guò)程。而這對(duì)于大型政企來(lái)說(shuō)尤為重要，也是關(guān)注的焦點(diǎn)之一。

也正是在這樣的背景下，終端檢測(cè)與響應(yīng)（EDR）開(kāi)始密集進(jìn)入大型政企的視線。

EDR端點(diǎn)檢測(cè)與響應(yīng)，是什么？

2013年Gartner提出了ETDR概念，2015年命名為EDR，將端點(diǎn)檢測(cè)和響應(yīng)解決方案定義為“記錄和存儲(chǔ)端點(diǎn)系統(tǒng)級(jí)行為的解決方案，使用各種數(shù)據(jù)分析技術(shù)檢測(cè)可疑系統(tǒng)行為，提供上下文信息，阻止惡意活動(dòng)，并提供修復(fù)建議以恢復(fù)受影響的系統(tǒng)。

EDR主要能力：檢測(cè)安全事件、調(diào)查安全事件、在端點(diǎn)上遏制安全事件、將端點(diǎn)修復(fù)到感染前狀態(tài)。

哪些大型政企更迫切需要EDR？

目前，對(duì)EDR項(xiàng)目保持較高關(guān)注度的大型政企基本具備以下幾大特征——

● 終端數(shù)量多

大型政企涉及終端種類、數(shù)量眾多，環(huán)境復(fù)雜， 影響面大，對(duì)客戶端兼容性、穩(wěn)定性提出了更高的要求。

● 采集數(shù)據(jù)量大

大型政企終端的全量數(shù)據(jù)采集不僅采集內(nèi)容要求全面，采集的數(shù)據(jù)量大，對(duì)數(shù)據(jù)的傳輸、存儲(chǔ)、分析要求較高。

● 配備強(qiáng)大的安全攻防團(tuán)隊(duì)

大型政企本身具有強(qiáng)大的安全攻防能力和團(tuán)隊(duì)，EDR作為政企攻防體系良好的補(bǔ)充，而不僅僅是標(biāo)準(zhǔn)的情報(bào)利用。

● 當(dāng)前國(guó)際環(huán)境下面臨的未知威脅等定向性攻擊風(fēng)險(xiǎn)挑戰(zhàn)明顯增多

大型政企所遭遇的安全攻擊不是傳統(tǒng)威脅情報(bào)、病毒情況可發(fā)現(xiàn)的，要求EDR具有較強(qiáng)的基礎(chǔ)能力。

這些大型政企，都亟需構(gòu)建更強(qiáng)大的EDR系統(tǒng)，保障終端安全。

什么樣的終端檢測(cè)與響應(yīng)(EDR)能成為大型政企首選？

一個(gè)可落地、有效果、能持續(xù)為客戶帶來(lái)價(jià)值的EDR產(chǎn)品應(yīng)該具備以下能力——

● 記錄（對(duì)終端上靜態(tài)信息、動(dòng)態(tài)行為等內(nèi)容進(jìn)行完整記錄）：采集數(shù)據(jù)的多樣性、采集內(nèi)容的精準(zhǔn)性檢測(cè)對(duì)抗能力；

● 告警（根據(jù)記錄信息匹配風(fēng)險(xiǎn)規(guī)則，快速告警）：外部情報(bào)對(duì)接、海量數(shù)據(jù)處理；

● 發(fā)現(xiàn)（基于告警信息和記錄內(nèi)容發(fā)現(xiàn)明確威脅事件）：自定義專家規(guī)則、主流專家規(guī)則兼容；

● 調(diào)查（調(diào)查威脅事件發(fā)生原由、安全漏洞及影響面）：實(shí)時(shí)調(diào)查能力、順序調(diào)查能力；

● 處置（針對(duì)威脅事件影響面終端快速響應(yīng)處置，針對(duì)安全漏洞快速加固）：威脅事件響應(yīng)能力、安全漏洞加固能力。

聯(lián)軟科技通過(guò)UniEDR終端檢測(cè)與響應(yīng)系統(tǒng)為大型政企提供威脅檢測(cè)和響應(yīng)處置于一體的終端防御平臺(tái)，通過(guò)記錄、告警、發(fā)現(xiàn)、調(diào)查，處置，最終形成閉環(huán)。高度匹配大型政企項(xiàng)目需求，為用戶構(gòu)筑強(qiáng)大的風(fēng)險(xiǎn)展示能力、風(fēng)險(xiǎn)檢測(cè)能力、威脅響應(yīng)能力，以及信息處理能力。

聯(lián)軟UniEDR是聯(lián)軟科技基于Gartner提出EDR概念結(jié)合CARTA“持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任”安全模型開(kāi)發(fā)的，用于解決終端高級(jí)威脅攻擊、威脅攻擊溯源及協(xié)助企業(yè)持續(xù)化改進(jìn)的終端安全管控平臺(tái)。

產(chǎn)品可通過(guò)現(xiàn)有聯(lián)軟EPP管控平臺(tái)進(jìn)行擴(kuò)展，在統(tǒng)一管理平臺(tái)統(tǒng)一客戶的基礎(chǔ)上，實(shí)現(xiàn)安全能力互補(bǔ)，通過(guò)UniEDR系統(tǒng)發(fā)現(xiàn)威脅、處置威脅、分析威脅，聯(lián)軟EPP平臺(tái)通過(guò)威脅追溯分析結(jié)果持續(xù)化改進(jìn)終端安全管理配置，使企業(yè)內(nèi)部終端安全實(shí)現(xiàn)持續(xù)上升完善的趨勢(shì)。

聯(lián)軟UniEDR通過(guò)終端系統(tǒng)級(jí)數(shù)據(jù)進(jìn)行全面采集，基于ATT&CK框架對(duì)終端上的危險(xiǎn)行為和入侵行為進(jìn)行檢測(cè)，基于機(jī)器學(xué)習(xí)對(duì)終端上的異常行為進(jìn)行檢測(cè)，內(nèi)置專家規(guī)則和誘餌對(duì)惡意行為進(jìn)行快速判定，同時(shí)針對(duì)上述威脅進(jìn)行及時(shí)告警，并通過(guò)威脅調(diào)查工具進(jìn)行全面取證，通過(guò)控制、隔離、刪除等措施進(jìn)行處置，并對(duì)受損終端進(jìn)行恢復(fù)。

聯(lián)軟UniEDR專門為大型政企設(shè)計(jì)

EDR產(chǎn)品在不同規(guī)?？蛻糁械男枨蟛町愋跃薮?。聯(lián)軟UniEDR終端檢測(cè)與響應(yīng)系統(tǒng)完美契合大型政企客戶需求，針對(duì)大型政企客戶終端數(shù)量多、數(shù)據(jù)量大、當(dāng)前國(guó)際環(huán)境下未知威脅等定向性攻擊風(fēng)險(xiǎn)增多、客戶配備了安全攻防團(tuán)隊(duì)這幾大突出特點(diǎn)，聯(lián)軟UniEDR均有技可施！

 ● 針對(duì)終端數(shù)量多—— 

聯(lián)軟具有18年的終端管控經(jīng)驗(yàn)，服務(wù)國(guó)內(nèi)頂尖金融客戶超過(guò)十四年以上，單服務(wù)器支持管控終端數(shù)量超10W+。

 ● 針對(duì)數(shù)據(jù)量大—— 

數(shù)據(jù)采集能力至關(guān)重要。需要保證“完整記錄”，避免遺漏/錯(cuò)誤數(shù)據(jù)導(dǎo)致的誤判、漏判。如果該能力不夠強(qiáng)，前期記錄遺漏了關(guān)鍵信息，將導(dǎo)致后續(xù)效果大打折扣甚至收效甚微。

對(duì)此，聯(lián)軟專為EDR類業(yè)務(wù)設(shè)計(jì)的數(shù)據(jù)處理引擎，單服務(wù)數(shù)據(jù)處理能遠(yuǎn)高于mysql，且可以橫向擴(kuò)展；數(shù)據(jù)可以分級(jí)存儲(chǔ)，摘要數(shù)據(jù)上傳，詳細(xì)數(shù)據(jù)保存在終端。并且在硬件，內(nèi)核，應(yīng)用3大層級(jí)都有采集器，通過(guò)對(duì)內(nèi)核和應(yīng)用層的RPC協(xié)議進(jìn)行深度解析和破解，全面性采集各類安全數(shù)據(jù)。

全量數(shù)據(jù)采集：遠(yuǎn)超同行的數(shù)據(jù)采集能力，支持超18+大類、336+小類及關(guān)聯(lián)行為采集內(nèi)容；

按需采集技術(shù)：靈活高效的采集規(guī)則，支持超40種采集條件組合，100%兼容Sysmon規(guī)則。

經(jīng)國(guó)內(nèi)多家頭部客戶測(cè)評(píng)，聯(lián)軟數(shù)據(jù)采集能力（遙測(cè)數(shù)據(jù)）表現(xiàn)最為優(yōu)異，遠(yuǎn)超同行。高質(zhì)量數(shù)據(jù)采集，降低漏報(bào)誤報(bào)率，為客戶構(gòu)筑更強(qiáng)大的安全情報(bào)威脅方面的響應(yīng)和檢測(cè)能力。

 ● 針對(duì)客戶配備了安全攻防團(tuán)隊(duì)—— 

多類型專家規(guī)則自由組合，深度發(fā)現(xiàn)威脅事件。支持YARA/McAfee/Braise語(yǔ)法方式，可實(shí)現(xiàn)靜態(tài)/動(dòng)態(tài)/語(yǔ)言等不同維度的自定義方式，不僅滿足復(fù)雜專家規(guī)則定義和開(kāi)源規(guī)則使用，同時(shí)可復(fù)用大型政企已積累專家規(guī)劃庫(kù)。

內(nèi)置腳本語(yǔ)言，客戶安全專家規(guī)則可編程；開(kāi)放性接口，可與第三方安全工具/平臺(tái)對(duì)接；如：迅猛龍、kafka。 

● 更高的ROI：良好的性能占用 

CPU<=2%，內(nèi)存<=150M

針對(duì)每一個(gè)類型的數(shù)據(jù)，分別采用不同的最高效的技術(shù)，盡可能在內(nèi)核級(jí)別完成計(jì)算，減少內(nèi)核到應(yīng)用層的切換。

整體性架構(gòu)平臺(tái)，同一Agent集成準(zhǔn)入控制、桌管、防泄密功能，根據(jù)企業(yè)需求與業(yè)務(wù)發(fā)展快速無(wú)縫擴(kuò)展；1500萬(wàn)+Agent部署數(shù)量，良好的兼容性，系統(tǒng)資源占用更少，大幅節(jié)省終端硬件投入，提升員工使用體驗(yàn)；與聯(lián)軟NDR、CWPP無(wú)縫聯(lián)動(dòng)，所有產(chǎn)品基于統(tǒng)一威脅檢測(cè)模型實(shí)現(xiàn)高效檢測(cè)和更加全面的威脅處置。

● 更安全：多終端節(jié)點(diǎn)架構(gòu)，保障客戶環(huán)境穩(wěn)定 

節(jié)點(diǎn)服務(wù)器具備數(shù)據(jù)緩存能力：可支持定時(shí)上報(bào)，有效減輕網(wǎng)絡(luò)并發(fā)壓力，以及局域網(wǎng)專網(wǎng)出口的壓力；

按需采集技術(shù)：根據(jù)實(shí)際威脅場(chǎng)景的檢測(cè)點(diǎn)進(jìn)行采集內(nèi)容條件組合，實(shí)現(xiàn)高效的數(shù)據(jù)收集，同時(shí)支持?jǐn)?shù)據(jù)上報(bào)速率自定義，降低對(duì)帶寬影響；

內(nèi)置輕量級(jí)數(shù)據(jù)庫(kù)引擎：實(shí)現(xiàn)高保真度的分布式存儲(chǔ)，可支持多級(jí)存儲(chǔ)模式，終端上傳核心關(guān)鍵安全數(shù)據(jù)，本地保留更豐富的基礎(chǔ)數(shù)據(jù)，既保證終端數(shù)據(jù)的完整，也減少了服務(wù)端的存儲(chǔ)和網(wǎng)絡(luò)帶寬壓力。

● 更快速：基于ATT＆CK攻擊矩陣，快速識(shí)別告警安全風(fēng)險(xiǎn) 

以MITER ATT＆CK?為基礎(chǔ)，系統(tǒng)化對(duì)威脅檢測(cè)策略規(guī)劃，相比傳統(tǒng)依賴已知案例專家規(guī)則，能夠更全面的對(duì)威脅進(jìn)行防御，發(fā)現(xiàn)未知潛在威脅；獨(dú)創(chuàng)的高速數(shù)據(jù)存儲(chǔ)、處理引擎和圖計(jì)算模型，大幅提升計(jì)算速度，有效提升威脅調(diào)查的速度，更早發(fā)現(xiàn)威脅。 

● 更放心：終端數(shù)據(jù)實(shí)時(shí)查詢，分鐘級(jí)調(diào)查取證 

基于威脅線索，對(duì)可疑終端進(jìn)行實(shí)時(shí)調(diào)查。內(nèi)置60+項(xiàng)單點(diǎn)運(yùn)維功能，通過(guò)Agent接口調(diào)用終端實(shí)時(shí)狀態(tài)和歷史追溯，在不影響用戶辦公情況下實(shí)現(xiàn)遠(yuǎn)程調(diào)查取證工作。并且可以保障緊急時(shí)期的快速響應(yīng)調(diào)查。

● 更全面：基于EPP的威脅響應(yīng)，處置結(jié)合修復(fù) 

●  更領(lǐng)先：18年終端技術(shù)積累和大型項(xiàng)目服務(wù)經(jīng)驗(yàn) 

聯(lián)軟科技在終端安全領(lǐng)域積累了雄厚的技術(shù)實(shí)力和豐富的大型項(xiàng)目服務(wù)經(jīng)驗(yàn)。EDR產(chǎn)品必須經(jīng)過(guò)大型客戶聯(lián)合打磨和實(shí)踐，才能更符合大型政企的需求。聯(lián)軟EDR交付團(tuán)具有豐富的大型EDR項(xiàng)目建設(shè)經(jīng)驗(yàn)，充分了解把控和規(guī)避項(xiàng)目風(fēng)險(xiǎn)。

聯(lián)軟是國(guó)內(nèi)為數(shù)不多具有超百億級(jí)數(shù)據(jù)處理能力的安全廠商。同時(shí)，十萬(wàn)點(diǎn)以上終端案例數(shù)量，在業(yè)界少有。典型代表客戶包括中興通訊、順豐速運(yùn)、微眾銀行等。

近20年來(lái)，聯(lián)軟持續(xù)為15000000+個(gè)終端提供保護(hù)，具備超千萬(wàn)終端兼容性適配和調(diào)優(yōu)經(jīng)驗(yàn)，攜手華為等生態(tài)合作伙伴及700多家代理商，為超過(guò)3000家高端行業(yè)客戶構(gòu)建網(wǎng)絡(luò)安全防線。

近日，聯(lián)軟科技從眾多激烈的競(jìng)標(biāo)對(duì)手中脫穎而出，憑借終端檢測(cè)與響應(yīng)（EDR）大型項(xiàng)目建設(shè)經(jīng)驗(yàn)、強(qiáng)大的技術(shù)支持力量，以及高品質(zhì)的交付保障能力，中標(biāo)金融科技某頭部企業(yè)的終端檢測(cè)與響應(yīng)（EDR）項(xiàng)目，該項(xiàng)目包括了幾十個(gè)成員單位共30萬(wàn)點(diǎn)的終端管控，聯(lián)軟的強(qiáng)勁實(shí)力再獲客戶認(rèn)可！

未來(lái)，聯(lián)軟科技將繼續(xù)深耕前沿科技，扎實(shí)推進(jìn)創(chuàng)新發(fā)展，為推動(dòng)政企網(wǎng)絡(luò)安全體系建設(shè)、加快推進(jìn)數(shù)字化轉(zhuǎn)型升級(jí)提供有力支撐。