數世咨詢：EDR能力指南 - 網安 - 專業的網絡安全產業、社區、知識平臺

1 前言

終端安全可以說是數字安全的起源——早在計算機還是一個龐然大物的時候，就有了最早的“病毒”概念。相對應的，針對終端的防御也隨之開始。

從發展的角度來看，終端防護手段的演化，有兩個方面代表了整個數字安全領域的演化。

一個演化是威脅方式的演化。最早期的威脅來源，就是所謂的病毒，對計算機造成直接損害、遺留后門進行遠程控制，竊取賬號密碼，并且對自身進行再傳播。因此，最早的終端防護手段就是殺毒軟件。

然而，威脅在不斷演化。病毒對終端的損害不再只是系統崩潰，形成DoS攻擊的方式，而是逐漸在通過消耗計算機計算資源或者可能破壞數據的方式達成自己的經濟目標，如挖礦病毒、廣告軟件、勒索病毒；而間諜軟件也在進一步提升自己在目標終端的權限，以獲取不局限于本地文件以及相關憑證的更多信息——這些變化逐漸將“反病毒”的概念變為“反惡意軟件”。另一方面，惡意軟件的反查殺能力也在不斷提升。

現在，越來越多的攻擊開始采用0day漏洞，或者有預謀、有計劃、有目標地實行APT攻擊。攻擊的方式不再是隨機、隨意，而是更有策略地進行；目標不再只是單一的端點，而是全環境下多個端點，通過殺傷鏈一環接一環達成攻擊目標。攻擊的方式更隱秘，持續的時間更長——因此，造成的傷害也就更大。

和威脅的演化相對應的，是安全理念的演進。最早的理念就是“防護”，一定要將病毒在進入終端進程前進行阻止。傳統的殺毒軟件依賴于特征庫的方式進行防御，而隨著惡意軟件數量越來越多，逃逸手段越來越多樣，傳統的殺毒軟件已經不足以滿足防范的要求。

這時，EPP的出現一定程度上解決了傳統殺毒軟件的弱項。不止通過特征庫的方式，還通過云端的協同分析，以及威脅情報能力，EPP能夠抵御更多的已知威脅。然而，對于未知威脅，以及整個IT環境下攻擊事件的關聯防護能力，EPP依然不足。

EDR的出現代表了安全理念的一個重要轉變：從“預防”到“檢測”與“響應”。安全中沒有“銀色子彈”，我們無法攔截所有攻擊；而現在的安全理念，是從前置的嚴防死守，到及時發現異常并且進行處理，將損害限制在可控范圍內。因此，EDR不僅僅通過“特征”進行“預防”，更依靠“行為”進行“檢測”，并且進行“響應”。同時，EDR不再只是著眼于單個終端的防御，而是能夠對各個終端上事件的關聯分析，還原整個攻擊的流程，描繪出攻擊事件的全貌——在當下愈演愈烈的APT攻擊中，尤為重要。

（注：本報告中，“終端”特指手機、電腦、平板等用戶直接交互的設備，以及打印機、攝像頭等物聯網設備；“主機”指服務器；“端點”指“終端”與“主機”的總稱。）

2 關鍵發現

? 端點安全的最關鍵的防護目標是為了確保主機、服務器的安全；與之相對的，終端設備已經逐漸成為新的網絡邊界。

? EDR在國內落地的核心價值集中在對未知威脅的應對以及溯源取證；關鍵技術能力為防病毒引擎、數據采集分析能力、響應策略能力、威脅情報以及安全服務能力。

? 對于有采購EDR意向的組織，建議從自身的IT能力與安全現狀出發，選購適合自己需求的產品。

? 從市場來看，EDR在政府相關機構的占有率較高，購買驅動力以合規為主。

? 國內信創市場會極大增加對EDR的需求，未來三年內，信創產業極會推動EDR的市場擴展。

? 從未來長遠發展來看，EDR主要會趨向成為更為整體的解決方案中的一個關鍵能力，但同樣可能會有以EDR為核心的整體解決方案。

3 EDR概念以及核心價值

3.1 Gartner的EDR定義

根據Gartner對EDR的定義，EDR是一種記錄和存儲端點系統等級行為的解決方案，并且通過多種數據分析技術檢測可疑的系統行為，提供關聯信息，從而阻斷惡意行為并為受影響系統提供修復建議。Gartner認為，EDR解決方案需要有以下四個關鍵能力：檢測安全事件、遏制威脅、調查安全事件、提供修復指導。

Gartner提出的EDR的定義是從EDR對EPP能力的補充延展而來，概念也較為抽象。然而，在國內網絡安全環境下，無論是端點本身角度，還是從攻防層面來看的安全需求角度，端點檢測與響應都有了更加明確的需求。

3.1.1 主機是最關鍵的保護對象

如今的IT環境，企業的關鍵數據、系統都在主機端：企業的業務系統、CRM系統、ERP系統等關鍵系統都以主機為中心運作；同時，企業的重要數據，如客戶與員工相關的隱私信息、企業的財務數據等，都會存儲在主機端。可以說，主機對于攻擊者而言，是蘊藏著大量數據財寶的地方，是攻擊者千方百計希望能夠進入的地方。對企業自身而言，一旦主機系失陷，對日常業務的運作也會大受影響，產生直接的經濟與聲譽損失。

而另一方面，終端盡管也會存在一定數量的敏感信息，如一些機密文件、軟件代碼、潛藏的憑證等，但是數量總體而言極少。除極少部分信息以外，其他少量的敏感信息，即使造成泄漏，對企業的危害也遠遠不如主機失陷導致的破壞。

因此，從防護的重要性來看，主機是整個網絡環境中最關鍵的保護對象。

3.1.2 終端逐漸成為新邊界

盡管說主機是整個網絡環境中最關鍵的保護對象，不代表終端，或者說桌面端，就不應得到足夠的安全關注。事實上，終端反而在這個情況下應該獲得更多的安全關注度。

云技術的出現模糊了邊界，使得傳統的單一邊界入口防御效果逐漸下降。另一方面，由于疫情的影響，遠程辦公也在被越來越多的企業所采用——終端接入內網的環境，在外網的時候又接觸了哪些東西，都會成為對主機的潛在威脅。

事實上，如果我們從企業的IT運作來看，終端已經成為了進入企業內網、業務主機的入口。而從攻擊者視角來看，很少有攻擊直接命中核心主機，往往都是通過釣魚等手段先從攻陷部分終端，獲取相關員工的憑證，再通過該終端或者憑證進一步對內網進行滲透；而近年來十分猖獗的勒索病毒以及挖礦病毒，也是通過感染一個終端之后，進一步橫向移動進行感染。

因此，盡管一直在提及“邊界模糊化”，實際上模糊化的邊界是傳統網絡架構中單一、直線的邊界點。“邊界”本身并未模糊化，而是抽象化了，大量接入內網主機的終端設備作為一個個入口，無疑成為了新的邊界概念。

3.1.3 EDR的兩個切入點與兩個演化路徑

站在EDR的演化角度，從傳統殺毒軟件，到EPP，再到EDR，其主要部署位置都在終端/桌面端。可以說，從各個終端/桌面端設備入手，是EDR天然的切入點，也是大部分EDR供應商的EDR解決方案的演化過程。

然而，在終端切入點的具體演化過程中，又有兩個路徑。一方面，是原本就擁有EPP完整解決方案的廠商，將EDR作為自身EPP的補充能力，基于自身對整個端點環境安全能力的沉淀，再進一步提升關聯分析能力，可以更為有效地實現Gartner對EDR定義的能力。另一方面，是原本的桌面防護廠商，從整體桌面端的防護與響應手段入手，逐步完成對于未知威脅的檢測、遏制、溯源，以及修復的功能。

而在服務器/主機端，同樣看到了有廠商從這一點進行切入。在Gartner對CWPP模型的要求中，EDR也成為了CWPP能力中的一部分。通過在CWPP中加入EDR能力，CWPP能夠更全面地掌握云主機的運行狀態，發現潛藏的威脅，并對威脅進行一定程度的溯源。鑒于主機對整個企業業務的運作有著舉足輕重的作用，在主機端的EDR能力能夠協助CWPP構建最后的防線。因此，從主機側開始建設針對主機端的EDR能力，也是安全需求的結果。

不過，需要注意的是，由主機端切入的EDR能力相比從桌面端起家的EDR能力，會有一些缺陷。比如，缺乏在桌面端安全能力的積累，缺少從桌面端的適配能力，從而檢測和響應范圍很大程度上只局限于主機端，無法覆蓋全端點系統，防護范圍相對有限；同時，由于其端點類型的覆蓋面受限，在事后的追蹤溯源時，很難重現完整的，從攻擊發起點到攻擊結束的攻擊鏈情況。面對要求全端點類型覆蓋的客戶，從主機端切入開始實現EDR能力的廠商，需要時間和案例來彌補這些潛在的缺陷。但從另一個維度來看，從主機層面出發的EDR能力本身更偏向于以主機安全需求為主的客戶——這是企業在選購EDR能力的時候，需要衡量的一個因素。

3.2 數世咨詢的EDR概念

基于以上調研中發現的國內情況，數世咨詢基于Gartner對EDR的定義，認為國內的端點檢測與防護概念如下：

端點檢測與防護（Endpoint Detection and Response，EDR）是一種基于采集、記錄并存儲數字環境中各端點行為數據與狀態數據，并對數據進行關聯分析，以應對威脅的安全能力：通過對端點數據的分析，檢測出環境存在的威脅，并能進行隔離、查殺等響應手段；同時，對已發生，以及正在發生的安全事件，實現追蹤溯源；針對潛在的風險（如二次攻擊、有漏洞系統等），基于客戶的需求，提供一定的修復與保護建議。最終，實現包括主機在內的整個數字環境中，對未知威脅與高級可持續威脅的檢測與響應。

3.3 EDR核心價值

基于以上數世咨詢對EDR的概念理解，數世咨詢認為EDR的核心價值有以下三點：

3.3.1 未知威脅與高級可持續威脅檢測

如今的數字環境攻防狀況，最大的威脅是未知威脅，以及潛在的APT攻擊。然而，傳統的端點殺毒軟件由于依賴規則庫，無法應對這些基于未知漏洞，以及基于人員的威脅。EDR基于各個端點數據的關聯分析能力，不僅能夠通過IOA，還能夠通過IOC，發現遭到攻擊的設備，將受害情況盡可能在早期限制在可控制范圍內。

3.3.2 威脅響應

在對威脅的檢測之上，EDR還需要能對發現的威脅采取一定的措施。除了傳統的殺毒軟件中會進行的查殺行為之外，EDR更需要能盡可能將威脅控制在受攻擊端點的隔離能力。因此，微隔離技術能夠和EDR結合，更好地實現威脅控制。

3.3.3 溯源取證

對于現代的數字攻防，需要的不僅僅是能夠防住攻擊，更需要的是知道那些已經對自身環境實現了數個攻擊步驟成功的原因。因此，就需要能對檢測到的攻擊進行溯源。基于端點的數據信息，通過對攻擊的追蹤溯源，發現自身端點設備中存在的安全隱患，從而采取后續的安全手段，降低之后攻擊的成功率。

另一方面，在大型演練活動中，能否發現攻擊來源，也是演練的關鍵得分項。

3.4 EDR的局限性

EDR在落地實踐上依然存在著一些局限性。首先，EDR最多被人詬病的地方在于EDR如其名，只能對端點上發生的問題進行檢測和響應，對網絡流量、業務系統等其他領域則缺少關聯能力，無法全面掌握環境中的威脅情況——這也是XDR逐漸開始興起的原因。

另一方面的問題在于客戶對EDR產品的信任度以及使用習慣情況。在Gartner對EDR的定義中，要求EDR能夠為“受影響系統提供修復建議”的能力。但是，在調研中發現，盡管國內廠商都有能力提供相關功能，但是客戶很少會啟用相關功能——主要原因還是出于業務的正常運作：國內客戶依然對安全產品直接修改、接入相關系統運行有著一定抗拒，擔心部分行為是否會影響自身系統的運作。只有當客戶對安全廠商有極高的信任的時候，才會愿意使用相關功能。這一點上還需要安全廠商和企業進一步磨合，因為不只是在EDR產品，在其他安全解決方案上也會存在類似問題。

4 EDR關鍵能力

為了能夠實現未知威脅檢測、APT防護、威脅響應、與溯源取證，數世咨詢認為，EDR能力可以從以下角度維度來衡量。

4.1 防病毒引擎

盡管說EDR不依賴于規則庫對已知病毒進行查殺，但是EDR依然需要結合IOC（攻陷信標）和IOA（攻擊信標）對現有狀態進行分析，以實現對各類病毒的檢測效果。

尤其在某些離線場景下，無法通過云端分析的能力實時判斷環境中是否出現新的威脅，就需要依賴EDR本身的防病毒引擎能力進行病毒的檢測與響應。

4.2 數據采集與分析能力

無論是EDR要實現的對未知威脅的檢測要求，或者是對安全事故的溯源要求，其核心都是EDR本身的數據能力：數據采集與數據分析。

沒有足夠完整的數據，就無法進行有效的分析。因此，EDR必然需要強大的數據采集能力，能采集到端點上的各類關鍵數據。不同廠商會對采集數據有不同的分類方式，在采集數據的種類上也會有一定區別。企業在選購產品時，需要了解EDR廠商具體收集的端點數據類型是否和自己環境匹配。

另一方面，數據采集的價值在于分析。EDR能力能否有效地關聯各個端點采集到的數據，并且分析后檢測出威脅非常重要。在數據采集過程中，即使數據采集得足夠多，在分析階段一旦無法被合理使用，也是沒有價值的。因此，企業同樣需要進一步了解EDR廠商采集的數據以及其關聯分析方式中的一些邏輯。

最后，在數據采集和數據分析之外，還有一項值得關注的數據能力：數據輸出。“大統一”的安全解決方案是最理想的狀態，但現實情況是大部分情況都需要多個不同安全廠商的安全產品共存。一旦這些產品無法協同，那就無法把握整個數字環境，更遑論XDR、態勢感知。然而，在多廠商產品結合的過程中，數據標準不統一，或者本身輸出的數據缺乏價值性都會成為痛點。

企業在選擇EDR廠商的時候，對于單點能力突出的廠商，還需要考慮其數據輸出能力。這需要EDR產品能夠和多個不同安全廠商進行數據對接，同時輸出的數據也應該盡可能是更為有效、有價值、經過處理的數據，而不是將大量的原始數據直接進行輸出。

4.3 響應策略

既然是端點檢測與響應能力，除了檢測，自然需要響應能力。EDR能力需要提供一系列響應能力，包括查殺、隔離、告警。從當前的情況來看，隔離能力最為重要。因為對于企業而言，最需要保護資產的是主機；因此，防止威脅在網絡中擴散到主機最為關鍵。當安全事故發生的時候，需要將威脅因素限制在相關端點之中，避免其擴散到其他端點，甚至主機，將危害限制到最低。另一方面，將威脅限制在少數有限的端點上，也更利于企業在事后進行追蹤溯源。

在理想狀態下，我們會期望響應行為能夠自動化進行。但是在實際環境中，會遇到各種問題，包括異常行為難以判定是否屬于攻擊行為、某些響應行為是否會影響業務等情況。因此，現在的響應機制依然需要靠自動化與人工協同，通過安全策略設置，將大部分安全事件自動化處理，將一些難以區分或者處理的事件交由安全專家手動處理。但是，安全策略的設置對EDR能力的分析能力與策略配置能力也提出了一定的要求。

4.4 威脅情報

對于安全事故的溯源取證，不僅依賴于數據采集的顆粒度，以及對于端點數據的分析能力，同樣需要威脅情報的協同。尤其是在大型演練場景中，參加演練的企業不僅需要能夠檢測到攻擊事件，更需要通過發現攻擊來源獲取加分。這個時候，就不僅僅需要從內部進行溯源取證，還需要對外部的網絡環境有溯源能力，就需要依賴威脅情報的協助。

在事前防護階段，威脅情報還能根據當下的威脅態勢與信息，結合自身環境進行分析與檢測，從而降低誤報率，并為安全運維人員提供有價值的分析信息，對環境內的設備進行針對性的防護。

4.5 安全服務

我國安全人才缺口依然比較大，企業本身缺乏安全運維人才。從投資回報的角度來看，對于大部分企業，通過從安全廠商處以安全服務的方式進行安全運維依然是一個更有利的方式。因此，對大部分安全能力而言，“產品+服務”的模式會逐漸成為主流——EDR也不例外。

從EDR角度來看，安全服務除了需要日常的防護之外，更重要的是讓安全專家使用EDR能力進行溯源。優秀的安全專家團隊能夠基于EDR的數據，對安全事故進行梳理，還原攻擊路線。

但是，值得注意的是，安全專家的溯源能力和EDR的數據輸出能力是相輔相成的。如果EDR本身能夠梳理各類數據，并且形成易于分析、閱讀的數據內容，也能大大提升安全專家的溯源和分析效率。

5 EDR購買建議

對于考慮購買EDR的組織，需要從以下先從以下幾個維度考慮。

5.1 端點環境現狀與安全規劃

組織首先需要把握自身IT環境中端點的情況，包括數量、種類、使用的操作系統類型、當前安全能力等。基于自身當前的端點能力與端點安全能力現狀，結合自身的預算，總結出當前自身在端點安全層面的最主要需求。

在當前的端點能力與安全需求之上，還要結合未來的發展計劃。從端點系統角度來看，在未來幾年內，是否會大幅度增加端點數量？是否會大規模更新系統？尤其在信創產業高速發展的情況下，是否會大規模替換操作系統？從安全需求角度來看，如果當前的需求是以傳統殺毒或者終端防護為主的安全策略，未來如何針對未知威脅進行防御？考慮到不同廠商能力點的不同，如何平衡當下的安全需求與未來發展安全的安全需求？

這些都需要企業從自身出發進行考慮。

5.2 易用性、兼容性與有效性

除了組織端點環境狀態，企業自身的人員安全能力也需要加入考慮范圍。功能強大的EDR產品未必對任何IT人員都好用。雖然說安全廠商能夠輸出安全專家以服務的方式進行專業的日常運維與威脅檢測，但并非所有的組織都會讓安全廠商人員長期駐場。因此，結合自身人員能力，對EDR產品的易用性也是一個考量點。

另一方面，雖然說主流EDR廠商都能夠適配大部分的Windows與Linux的端點系統，但是具體落地依然需要根據組織自己的業務環境進行適配。不同廠商的產品在不同客戶處對業務的影響情況也會有所區別，組織需要根據自身的環境，評估廠商EDR產品能否在自己的業務環境中兼容。

在EDR產品能夠在影響最小的情況下，在組織的環境中運行時，就要評估該產品能否檢測出自身面臨的主要威脅，并且采取相對應的措施。這就需要組織通過實際測試評估產品的有效性。

5.3 整體解決方案VS第三方聯動性

企業未來安全規劃的另一層面，是要考慮整體解決方案與第三方聯動性之間的選擇。如果組織從零開始選購EDR產品，就需要考慮一個問題：未來發展的時候，當安全需要進一步建設的時候，是偏向于單一廠商的整體解決方案，還是多廠商之間進行協同？

如果組織偏向于一個廠商的整體解決方案，就需要選擇產線豐富，并且逐漸能夠將自身的各個安全能力進行協同的綜合性廠商。但是，如果組織暫時希望能針對某一個安全需求，尋求靠單品能力最為突出的廠商，就需要考慮今后如果需要啟用XDR、TDR等需要協同安全能力的情況時，該如何解決。比較保險的方式，是選購單品能力突出的廠商時，同樣衡量其數據輸出、與其他廠商安全產品協同的能力。這樣，即使今后的發展中，使用多家不同廠商的產品，依然有希望達成各個安全能力之間的聯動效果。

6 EDR應用案例

某金融項目案例（本案例由安恒信息提供）

6.1 場景介紹

某城市商業銀行，全行包括各營業部及支行共55家機構，作為國家重要的信息基礎設施行業，圍繞網絡區域邊界、終端已經搭建了初步的網絡安體系，但隨著網絡空間大環境的安全形勢日益嚴峻，網絡攻擊、入侵手段的不斷升級，傳統的基于特征庫或模式匹配的靜態檢測方法無法滿足動態檢測威脅的要求，面對頻發的0day 攻擊、高級未知威脅攻擊，無法進行有效的攔截和檢測，缺失針對性的應急響應機制。

6.2 客戶需求

? 能夠感知、發現、及時遏制正在進行中的未知威脅。

? 防范勒索病毒攻擊。

? 針對安全威脅事件，做到自動化威脅響應處置，運維人員可自主編排安全響應動作。

? 產品安全能力對行內的業務零入侵、具備高度的穩定性。

? 對行內發生的安全事件做到完整的調查取證與深度的溯源分析。

6.3 解決方案

圖片來源：安恒信息

EDR的服務端采用BS/CS混合架構，通過網頁端登錄服務端控制中心實現對客戶端的防護策略下發管理、威脅分析、威脅處置等。安恒技術人員根據該企業的網絡特點，給企業部署了多套服務端，通過級聯的方式進行統一管理，上級中心查看全網終端安全態勢。最終實現如下功能：

6.3.1 高級威脅檢測

部署安恒EDR后開啟高級威脅全流程防御模塊、對攻防對抗各個滲透階段進行防護：

? 單機擴展：針對本機的擴展行為（信息收集、本機提權等）進行監測，防止提權行為和信息泄露。

? 隧道搭建：識別滲透過程中的隧道代理（內網穿透、端口轉發、代理等），可阻斷隧道代理搭建行為。

? 內網探測：對內網的惡意攻擊行為（哈希傳遞、漏洞利用、橫向移動）進行識別，可阻斷惡意探測行為。

? 遠控持久：對失陷后主機遠控持久化（反彈shell、遠程控制）行為進行檢測，可阻斷遠控。

? 痕跡清除：可對滲透的收尾階段的數據清理行為進行識別和阻斷。

6.3.2 勒索防御

主機部署EDR客戶端后，通過管理平臺可立即開啟EDR勒索防御病毒實時防御能力。

EDR的專利級防加密引擎在內核層預置誘餌文件，面對未知類型的勒索病毒，在加密程序運行時可立即阻斷，并記錄其特征。

EDR文件保險柜，作為守護文件安全的最后一道防線，用文件過濾驅動技術防止文件被非法加密，同時支持設定合法的數據訪問進程，確保數據可用不可破壞。

6.3.3 未知威脅分析

基于威脅情報

通過多源威脅情報對外部資產發現和監控，發現暴露于互聯網側的資產信息，并對資產的威脅狀況進行監控，同時供安全分析人員進行事件的誤報分析和上下文信息獲取。

基于大數據&機器學習

部署EDR后利用AI技術，通過機器學習算法快速訓練現場安全場景，對異常行為進行定位跟蹤。通過風險閾值進行智能動態調整，實現智能安全判定，對殘余風險、隱蔽威脅、未知攻擊和0day攻擊等未知風險進行檢測。攻防對抗期間使用的安全分析建模功能有：

? 攻擊者畫像建模分析：實現對攻擊者的多維度畫像分析，至少包含攻擊者的網絡指紋數據、偏好攻擊手段、攻擊破壞力分析等維度，并提供高度可視化的工具，實現攻擊者維度對事件的追溯分析。

? 資產畫像建模分析：實現對企業內網信息資產的多維護畫像分析，至少包含資產的風險點、被攻擊的趨勢、頻繁被攻擊方式、攻擊影響范圍以及資產的風險值等，并提供高度可視化的攻擊，實現資產維度的安全事件的追蹤溯源分析。

? 安全事件組合關聯分析：針對某一安全事件的攻擊鏈追溯分析，提供針對資產的關聯攻擊鏈日志以及系統漏洞信息關聯分析，為運維人員提供攻擊鏈日志和漏洞對比信息，快速感知當前資產的安全狀況。

6.3.4 安全自動化響應

在攻防對抗期間，基于客戶實際的管理流程以及風險處理流程，對事件分析與響應流程進行標準化、流程化。通過編排響應技術，把人、過程和技術結合起來，極大地提高安全運營效率，也將企業安全分析員從耗時且重復的分析工作中解放出來。

圖片來源：安恒信息

6.3.5 安全溯源分析

EDR攻擊溯源聯動分析功能在確定攻擊事件后會回溯所有攻擊相關的網絡數據包，對系統近期的所有行為進行串聯，確定攻擊事件的整個事件周期，展示整個攻擊事件的所有攻擊路徑。

還原攻擊過程以檢測威脅為基礎。攻擊者可能采用多種繞過技術繞過了大部分檢測機制，這時通過大數據分析模型檢測到攻擊者的IP，還原該IP的所有行為重新回滾，進行二次分析，避免了因攻擊者不連續的攻擊而造成漏報。

如某攻擊者第一天對系統僅僅是簡單的掃描探測，但幾天后又對該系統有進行其他疑似攻擊行為，單條行為都不滿足攻擊的報警條件，傳統安全設備則會單獨處理不同的安全事件，而該系統則會利用大數據分析模型對不同時間的攻擊行為進行串聯，做二次深度分析。

主要提供如下溯源分析功能：

? 攻擊者維度溯源分析：通過攻擊入口確定分析過程，獲取攻擊者的網絡指紋，結合威脅情報數據，獲取攻擊者的網絡身份。

? 資產維度溯源分析：以資產維度分析，識別并深入分析資產受到的攻擊、安全現狀等。以攻擊維度分析，識別攻擊者的歷史攻擊事件、攻擊方式偏好、攻擊時間偏好、攻擊威脅源等。

6.4 客戶價值

? 在攻防演練期間成功幫助用戶阻斷多次高級威脅入侵，并且針對威脅進行深度的溯源取證。

? 基于數據保護需求，構建了縱深的勒索專項防護，保護了核心業務數據不被非法破壞。

? 幫助企業和組織，將事件分析與響應流程標準化、流程化，做到風險自動關聯、自動化響應處置，提高安全運營效率，縮短事件響應時間。

6.5 客戶反饋

內部服務器部署安恒EDR后，通過資產盤點功能以及風險監測功能，實現了對現有資產數據、資產風險、系統脆弱性的全面梳理；同時針對風險，能做到主動分析、加固和修補。

針對勒索病毒，能從事前、事中、事后的角度，對其傳播與攻擊進行有效的防御，大大提高了勒索力。

在紅藍攻防對抗活動中，成功發現多起利用0day漏洞進行定向攻擊的高級威脅，做到了高效的阻斷；并且通過其威脅溯源能力，精準地溯源到了攻擊者。

同時通過利用EDR的自動化編排響應能力，針對一些關鍵的風險事件能夠做到自動化的快速響應，有效解決了人力分析不足和報警信息孤立的問題，大大提高了安全響應的效率。

7 EDR市場指南

7.1 EDR點陣圖

? 參與本次EDR安全能力點陣圖的安全廠商有12家，分別為：安恒信息、安全狗、安天、北信源、江民科技、杰思安全、綠盟科技、奇安信、深信服、天融信、網思科平、亞信安全。

? 本次EDR安全能力點陣圖將廠商分為三種：

融合源：本身擁有多樣產品線的綜合性廠商，能夠通過部分其他產線能力（如專有的威脅情報團隊）將EDR能力進一步發揮。

專注源：專注以EDR為自身主要產品的廠商。

能力源：在某一方面（如病毒查殺、主機防御）有突出能力，圍繞該能力拓展成為EDR的廠商。

7.2 EDR市場調研

? EDR在數世咨詢定義的市場成熟度，概念市場、新興市場、發展市場與成熟市場四個階段中，位于發展市場階段。在數世咨詢發布的《中國數字安全能力圖譜》中屬于“信息基礎設施保護”維度中的“端點安全“技術領域。

中國數字安全能力圖譜：信息基礎設施保護（部分）

? 根據調研，國內最早EDR相關產品出現在2016年，頭部廠商從2017年開始進入EDR市場。

? 據本次調研統計，2020年國內EDR市場規模約在10.45億元左右，綜合各家提供商的判斷，預計2021年將達到15.46億元左右，2022年將達到7.66億元左右。在未來幾年，信創產業將成為EDR能力主要的市場突破口。

? 在參加本次EDR安全能力調研的安全廠商中，EDR安全能力的平均收入為8710.41萬元，但收入標準差則高達5425.63萬元。EDR的市場占有相對明顯。

? 據調研目前EDR交付模式主要可分為三種：單一標準化產品、定制化及運營產品以及集成模式。其中主要以“單一標準化產品”交付的比例占62.45%、以“定制化運營產品”形式交付占12.47%，集成模式占21.35%。另外，訂閱及其他模式占3.46%。

? 從銷售方式來看，廠商直接銷售和通過渠道銷售占比差距不大。但是，在調研過程中發現，對于單一廠商，EDR銷售的方式本身呈現兩極化：單獨廠商本身通過自身直銷占比非常高，或者通過渠道銷售的占比非常高，很少出現單獨廠商自身兩種銷售方式占比差距很小的情況。

? 如下圖所示，國內各行業用戶對EDR的投入情況，排名前三的為：地方政府(12.36%)、金融(11.80%)、國家部委(10.49%)。從整體局勢來看，國家相關單位、機關對端點安全非常重視。考慮到未來信創產業的發展，國家相關單位在EDR方面的占比會進一步擴大。

? 從客戶的分布來看，華北、華南和華東依然是該領域安全產品的主要客戶群體，其中華北占比最高達35.72%，華南其次占21.74%，華東第三占20.95%。

? EDR的落地推動因素，除了等保合規的政策性因素之外，還因為攻擊的形式越來越多樣，越來越隱蔽。常規的端點防護手段防不住，傳統的特征庫查殺方式發現不了，這時就需要基于關聯分析的EDR能力對未知威脅進行檢測和響應。另一方面，EDR能力中的溯源取證也幫助企業在大型演練活動與日常安全運維當中能夠更好地定位攻擊來源，從而實現自身的安全目標。

? EDR的落地難點主要在于客戶的IT環境復雜。一方面是本身IT結構復雜，不同資產的關聯需要厘清。另一方面在于端點系統本身呈現的多樣性增加了環境的復雜程度：信創市場后發先至，會給IT的操作系統環境帶來巨大的變化；而隨著物聯網的進一步發展，企業環境中的物聯網設備數量也會增加，包括員工自用的智能手機、平板電腦等，都會成為企業網絡的入口，使得企業的端點環境持續變化。

8 EDR未來趨勢

EDR雖然已經不是一個新的概念了，但是在國內落地情況依然處于發展中階段。從未來來看，EDR能力有以下三個方向。

8.1 純粹安全能力與解決方案

當前來看，EDR作為單一標準化解決方案有著62.45%的部署情況，但是從未來來看，EDR能力會有作為純粹的安全能力與解決方案的兩個變化方向。

EDR本身的出現是為了彌補傳統殺毒與EPP的短板，因此其本身就帶有一定的附屬性質。從能力目標來看，要實現的主要還是針對未知威脅的防御以及溯源效果，其技術核心就是針對端點數據的采集與分析。從這個角度來看，EDR很難單獨承擔完整的端點安全功能，因此更傾向于作為純粹實現未知威脅檢測與響應，以及溯源能力，作為整體端點安全解決方案的補充。在本次調研中發現，融合源廠商對于整體的端點安全都強調了“EPP+EDR”的部署模式；不少客戶對于端點安全軟件的使用，依然主要依賴于EPP能力，并不開啟EDR能力模塊。在未來，當這一部分客戶開始意識到EDR的必要性時，會逐漸加大EDR作為純粹安全能力的收入占比（即作為整體解決方案的一部分或者部分定制化集成與交付）。

同時，CWPP中也提到了對EDR端點數據采集的使用，代表了EDR作為純粹的安全能力，在主機安全層面會有極大的價值。綜合而言，EDR在長遠的發展維度，會更趨向于逐漸成為純粹的安全能力，作為更大規模的安全解決方案的一部分。

另一方面， EDR整體解決方案在未來三年內依然會是比較主流的能力提供方式。但是，作為解決方案的EDR需要更多的改進。在調研過程中發現，不少EDR能力作為整體解決方案出現的時候，不僅僅會提供EDR概念中需要的檢測、遏制、溯源的能力，還會有資產管理、虛擬補丁等額外功能，逐漸演化為“以EDR為核心的終端管理能力”。

EDR演化的兩個方向其實代表了兩種對EDR不同的發展理念：是將EDR作為一種EPP、CWPP或者端點安全總體解決方案的額外輔助能力，還是認為端點的安全應該直接由“檢測與響應”出發進行一體化解決方案。

8.2 EDR 到TDR

隨著XDR概念的提出，就開始不斷有聲音表示EDR即將走到盡頭，但事實上并非如此。

EDR的缺陷在于只采集端點側數據，缺乏和其他安全產品的聯動性（如NDR），從而難以將關聯分析更進一步擴展到整個環境。XDR概念的提出就是為了解決安全產品之間缺乏協同的問題。因此，XDR即使要進入實踐，從當前來看，EDR能力依然是一個核心組件。另一方面，XDR的落地有兩個方向：集成平臺融合多家不同廠商的產品，或者單獨綜合性廠商自身完成協同。在前者的方式下，獨立的EDR解決方案依然會成為關注點，因為集成平臺可以將不同廠商的產品協同到一起，從而讓企業能夠選擇每個領域最佳的產品。

從國內的發展來看，TDR（Threat Detection and Response）更可能成為趨勢。無論是“威脅情報”，還是“威脅狩獵”服務，都是從“威脅”的角度出發，而近年來的大型演練活動更突顯了這一點：當下，數字環境的核心，是出于“威脅”的應對。無論是檢測，還是響應，都只是手段；而檢測和響應這兩個手段的目的，是為了處理“威脅”。

因此，從“威脅”這個維度出發，構建數字環境的安全體系，會是國內未來的趨勢。在這一場景下，端點顯然是直面“威脅”的重點區域。對于組織和機構而言，無論是作為獨立的解決方案，還是作為TDR中的一個關鍵組件，EDR能力必然會成為整體安全結構中的重要一環。

8.3 信創

在由眾誠智庫發布的《中國信創產業發展白皮書（2021）》中提到，未來三年內，我國信創市場容量將突破萬億元。這個龐大的市場同樣離不開安全。

尤其在國內信創領域還處于初期發展階段，研發層面會更側重于能力的實現，這就需要安全廠商的端點能力去補足防護的需求；另一方面，由于信創產業的快速發展，信創系統的更新迭代也會非常的頻繁，這也就需要安全廠商能夠將自身產品的適配能力跟上信創系統的步伐。

我國關鍵行業、部門大規模替換信創產品是必然趨勢，這給EDR市場帶來的絕對的市場機會。但是，能否抓住這一機會，需要技術的積累，以及和信創市場的磨合。

8.4 泛終端化

物聯網的發展必然會造成企業IT環境中的端點類型越來越多樣。IT環境不再是計算機、服務器，以及打印機之類的傳統辦公網絡設備，還逐漸增加了智能手機、平板電腦、工作臺等員工個人使用的設備。未來，甚至還可能有更多如智能手表等可穿戴的個人設備出現在企業的網絡當中——而這些設備都可能能夠進入企業網絡，成為隱患的傳播者。

這些物聯網設備都有兩個共性。

一個共性是本身移動性強，難以管理。因為員工會使用自己的設備，但這些設備并不會長久地停留在企業網絡中，而是會頻繁在企業網絡與公網環境中移動，帶來了極大隱患。

另一個共性在于設備本身的多樣性與復雜性。不同設備會來源于不同的制造商，會采用不同的系統和版本，因此也會存在不同的安全隱患，使得統一管理和對安全事件的溯源更為困難。

因此，EDR未來的方向之一，也會和移動安全與物聯網安全產生交集，不僅需要和客戶合作產出解決方案，還可能需要和物聯網廠商協作，完善在物聯網設備的兼容性覆蓋面。

8.5 EDR SaaS

從國外市場來看，以CrowdStrike為代表的EDR廠商在EDR SaaS上發現了大量的市場需求。EDR SaaS可以借助廠商在云端的能力，得到更多的計算分析能力，同時可以借助云端專家和威脅情報的能力，進一步提升安全分析能力。

盡管說國內不少企業和機關單位對公有云依然保持懷疑態度，但是行業云的發展可以彌補公有云在這些機構中的乏力。因此，行業云、政務云是EDR SaaS未來的巨大市場。一旦相關的行業云、政務云的供應商意識到了EDR SaaS能夠給行業內企業帶來的巨大安全價值，EDR SaaS的落地也自然水到渠成。