一流的EDR系統(tǒng)不僅可以檢測、分析和驗(yàn)證常見威脅，還需要對無文件攻擊、零日威脅和APT攻擊提供有效的溯源。比如，通過分析黑客進(jìn)攻的時間、路徑、工具等所有細(xì)節(jié)，溯源出可疑文件后自動上傳到“沙箱”的隔離測試區(qū)域“引爆”、“驗(yàn)傷”,然后再進(jìn)行遏制、清除、恢復(fù)和優(yōu)化等。

那么，當(dāng)今天面對XDR的火熱，這些產(chǎn)品真的發(fā)生質(zhì)變了嗎？

答案是否定的。有一些EDR產(chǎn)品其實(shí)還只是算是防毒產(chǎn)品的“改造”，缺乏Gartner定義的EDR四大基本功能，并且一些產(chǎn)品還是無法根據(jù)行為規(guī)則IOA和外部特征庫IOC，來對漏洞攻擊和無文件攻擊等高級威脅進(jìn)行關(guān)聯(lián)分級及檢測，也無法通過繪制進(jìn)程事件樹來實(shí)現(xiàn)攻擊可視化等等。例如：

• 缺少基于IOA的行為檢測（通常是超過100條以上的規(guī)則條目）；

• 缺少基于操作系統(tǒng)行為高清記錄的調(diào)查功能，可視化的進(jìn)程事件樹關(guān)聯(lián)分析能力；

• 缺少遠(yuǎn)程遏制能力；

• 缺少遠(yuǎn)程修復(fù)能力。

事實(shí)上，要看清“李逵”與“李鬼”之間的區(qū)別，首先要清楚這兩類產(chǎn)品的用途。防毒軟件專注于預(yù)防，被設(shè)計用來在“壞東西”進(jìn)入你的網(wǎng)絡(luò)之前捕捉它們，但是它對攻擊期間發(fā)生的情況一無所知。所以，即使防毒軟件可以準(zhǔn)確地抓住了惡意代碼，也無法得知它（他）們來自哪里，以及攻擊是如何在系統(tǒng)中傳播的。而EDR描述的是整個攻擊過程，當(dāng)一個攻擊行為被防毒軟件阻止，或者針對無文件型的惡意軟件、零日漏洞、APT高級持續(xù)性威脅防控失敗的時候，EDR會為你提供真正的答案和修復(fù)的能力。

亞信安全早在2018年底就發(fā)布了基于XDR理念的解決方案，產(chǎn)品的重點(diǎn)方向是將能力型產(chǎn)品聯(lián)動起來，可以實(shí)現(xiàn)各類API的對接，進(jìn)而在發(fā)現(xiàn)威脅事件告警檢出率的同時能夠有效降噪，降低誤報率、漏報率，快速反應(yīng)處置。其次，亞信安全XDR利用強(qiáng)大的數(shù)據(jù)分析能力和響應(yīng)處置的能力，將AI與安全專家團(tuán)隊(duì)、預(yù)案和流程打通，再將產(chǎn)品聯(lián)動，進(jìn)而向用戶提供一個整體性的防御能力。

亞信安全認(rèn)為：XDR的價值就是有效對抗殺傷鏈。如今，不論是亞信安全端點(diǎn)防護(hù)層面的信端終端檢測與響應(yīng)系統(tǒng)（EDR），還是集成在信艙云主機(jī)安全（DeepSecurity）的EDR模塊，皆能基于云端威脅情報庫的IOC引擎和ATT&CK攻擊框架檢測的IOA引擎，在攻擊（威脅）事件發(fā)生之初，便能進(jìn)行記錄和告警，將風(fēng)險扼殺在搖籃中。

圖：亞信安全基于ATT&CK框架形成高級威脅治理

XDR結(jié)合了SIEM、SOAR、EDR、NTA、威脅狩獵以及集中安全數(shù)據(jù)和事件響應(yīng)，正是這些技術(shù)的復(fù)雜性讓許多用戶覺得很“神秘”。但是，在疫情影響之下，安全的邊界已經(jīng)發(fā)生改變，新一代網(wǎng)絡(luò)攻擊技術(shù)將變得更加隱蔽、狡猾和復(fù)雜。對于用戶而言，XDR的發(fā)展不僅會是一次對傳統(tǒng)安全方案的 “降維打擊”，也一定會為“無限可能”的數(shù)字化業(yè)務(wù)提供“無處不在”的護(hù)航能力。