如果您在信息安全領(lǐng)域工作，那么您無(wú)疑會(huì)聽說(shuō)過(guò)EDR，EDR（Endpoint Detection and Response端點(diǎn)檢測(cè)和響應(yīng)）有望徹底改變安全分析師消除攻擊的方式。不幸的是，與信息安全領(lǐng)域中的許多其他解決方案一樣，EDR未能實(shí)現(xiàn)承諾的宣傳。

EDR的典型銷售思路是這樣的：“我們都知道您可以在SIEM (安全信息和事件管理)中檢查警報(bào)，在您的工作效率軟件套件中打開升級(jí)通知，并警告系統(tǒng)管理員采取措施。但是，在這時(shí)間內(nèi)，攻擊者很可能已經(jīng)進(jìn)行了入侵和破壞，竊取了您的數(shù)據(jù)。問(wèn)題不在于您沒(méi)有足夠的檢測(cè)能力，而是到處都是問(wèn)題。如此情況下，您將如何響應(yīng)？時(shí)間就是金錢，時(shí)間有利于攻擊者。這就是為什么您需要EDR，它將檢測(cè)功能和響應(yīng)功能整合到一個(gè)平臺(tái)中?！?/p>

但是，正如您可能已經(jīng)猜到的那樣，EDR并沒(méi)有達(dá)到很高的期望。

EDR部署最大的失敗之一就是EDR大多數(shù)無(wú)法與安全分析人員使用的其他工具（SIEM，IDS，DLP等）整合在一起，只有極少的廠商產(chǎn)品可以做到。EDR部署的另一個(gè)常見問(wèn)題是IT業(yè)務(wù)與網(wǎng)絡(luò)安全之間典型的職責(zé)分離。EDR平臺(tái)跨越了兩條業(yè)務(wù)線；傳統(tǒng)的網(wǎng)絡(luò)安全主要是檢測(cè)功能，而傳統(tǒng)的IT服務(wù)主要是響應(yīng)功能。每當(dāng)執(zhí)行響應(yīng)功能時(shí)，都會(huì)存在系統(tǒng)中斷的風(fēng)險(xiǎn)。由于IT業(yè)務(wù)部門應(yīng)為任何系統(tǒng)停機(jī)負(fù)責(zé)，因此，只有在傳統(tǒng)上IT業(yè)務(wù)部門已經(jīng)管理了所有響應(yīng)功能，才有意義。而且由于EDR涵蓋了傳統(tǒng)的檢測(cè)和響應(yīng)功能，因此它打破了這種范式，為流程和工作流問(wèn)題鋪平了道路。

即使組織中要處理流程問(wèn)題，許多EDR平臺(tái)本身也無(wú)法充當(dāng)供應(yīng)商承諾的真正的一站式解決方案。許多EDR平臺(tái)缺乏與SIEM的集成。另一些則完全集中在端點(diǎn)上，完全忽略了網(wǎng)絡(luò)流量在消除誤報(bào)和為真正的誤報(bào)提供有價(jià)值的內(nèi)容方面所起的作用。

如何克服這些挑戰(zhàn)，有效實(shí)施EDR呢，聽我們一一道來(lái)。

安全工程師常常只關(guān)注EDR系統(tǒng)的檢測(cè)功能和工作流程。但是EDR不僅僅是檢測(cè)。顯然，響應(yīng)能力也很重要，但是，在評(píng)估EDR系統(tǒng)時(shí)，用戶通常會(huì)發(fā)現(xiàn)補(bǔ)救和響應(yīng)功能是對(duì)檢測(cè)功能的事后考慮。當(dāng)我們檢查產(chǎn)品生命周期時(shí)，我們通常還會(huì)觀察到檢測(cè)功能比響應(yīng)產(chǎn)品具有更多的功能增強(qiáng)。我們已經(jīng)強(qiáng)調(diào)了這樣做的一個(gè)原因：EDR提供的功能傳統(tǒng)上是網(wǎng)絡(luò)安全團(tuán)隊(duì)以及IT業(yè)務(wù)團(tuán)隊(duì)工作角色的一部分。但是，盡管兩個(gè)不同團(tuán)隊(duì)使用了跨部門的功能，但EDR系統(tǒng)的資金需求通常僅由網(wǎng)絡(luò)安全部門承擔(dān)?？磥?lái)EDR廠商在很大程度上響應(yīng)了市場(chǎng)力量。供應(yīng)商認(rèn)為，網(wǎng)絡(luò)安全團(tuán)隊(duì)中的決策者更可能重視檢測(cè)功能。

但是，這種假設(shè)是錯(cuò)誤的，EDR可以執(zhí)行的許多查詢功能也可以由傳統(tǒng)的IT資產(chǎn)管理軟件（例如SCCM）執(zhí)行。僅在考慮了EDR的響應(yīng)功能后，部署EDR的主要好處才變得顯而易見。

EDR系統(tǒng)的理想響應(yīng)功能：

l 終止正在運(yùn)行的進(jìn)程

l 根據(jù)名稱、路徑、參數(shù)、父進(jìn)程、發(fā)布者或哈希阻止進(jìn)程

l 阻止特定進(jìn)程在網(wǎng)絡(luò)上進(jìn)行通信?阻止進(jìn)程與特定主機(jī)名或IP地址通信

l 卸載服務(wù)

l 編輯注冊(cè)表項(xiàng)和值

l 關(guān)閉或重新啟動(dòng)端點(diǎn)

l 從端點(diǎn)注銷用戶

l 即使正在使用文件和目錄，也能夠從操作系統(tǒng)中刪除它們（可能需要重新啟動(dòng)）

大多數(shù)EDR系統(tǒng)都提供了這些功能的一部分。機(jī)器重啟是最常被忽視的問(wèn)題之一。惡意軟件作者通常會(huì)安裝采用用戶模式rootkit鉤子的惡意軟件。操作系統(tǒng)中安裝了防止刪除注冊(cè)表項(xiàng)和用于在兩次重啟之間持久保存惡意軟件的值的鉤子。運(yùn)行惡意軟件時(shí)，進(jìn)程看不到惡意軟件使用的文件和目錄。惡意軟件通常通過(guò)由服務(wù)管理器管理的服務(wù)來(lái)持久保存。如果沒(méi)有在系統(tǒng)上執(zhí)行遠(yuǎn)程重新啟動(dòng)的功能，則采用EDR可能無(wú)法修復(fù)采用上述技術(shù)的惡意軟件。分析師需要能夠?qū)κ录龀隹焖俜磻?yīng)并加以遏制的能力。老式的方法是每次出現(xiàn)防病毒警報(bào)時(shí)僅重新映像覆蓋系統(tǒng)，根本無(wú)法適應(yīng)當(dāng)今的威脅。

如今，大多數(shù)EDR系統(tǒng)都允許分析師終止單個(gè)進(jìn)程。但是，這些系統(tǒng)中的許多都缺乏阻止同一進(jìn)程立即重新啟動(dòng)的能力。他們真的讓分析員打了一場(chǎng)徒勞無(wú)功的游戲，進(jìn)攻方總是占優(yōu)勢(shì)，防守方總是想追上來(lái)。在評(píng)估一個(gè)EDR系統(tǒng)時(shí)，仔細(xì)檢查EDR系統(tǒng)如何允許分析人員主動(dòng)預(yù)防已知的攻擊者技術(shù)，而不是簡(jiǎn)單地對(duì)其作出響應(yīng)。EDR系統(tǒng)的另一個(gè)常見問(wèn)題是使用腳本解釋器，例如PowerShell或cscript。這兩個(gè)腳本解釋器通常用于正常的系統(tǒng)操作，但是它們也經(jīng)常被惡意軟件使用。EDR系統(tǒng)必須為分析人員提供一定的能力，以區(qū)分腳本解釋器的合法使用和非法使用。

EDR系統(tǒng)的明顯用例是檢測(cè)入侵并自動(dòng)響應(yīng)。我們將通過(guò)一些用例來(lái)說(shuō)明如何在現(xiàn)場(chǎng)實(shí)施EDR。

情景一：EDR檢測(cè)到一個(gè)以常規(guī)用戶身份運(yùn)行的名為lsass.exe的進(jìn)程

名為lsass.exe的進(jìn)程只能在系統(tǒng)環(huán)境中執(zhí)行，而不能在普通用戶環(huán)境中執(zhí)行。由于新手分析師可能不知道Windows主機(jī)上應(yīng)僅運(yùn)行l(wèi)sass.exe進(jìn)程的單個(gè)實(shí)例，因此EDR突出顯示該事實(shí)并觸發(fā)警報(bào)，從而開始調(diào)查。在處理警報(bào)時(shí)，分析人員向EDR查詢端點(diǎn)上正在運(yùn)行的進(jìn)程，并發(fā)現(xiàn)惡意lsass.exe進(jìn)程作為cmd.exe的子級(jí)正在運(yùn)行。cmd.exe進(jìn)程作為winword.exe的子級(jí)運(yùn)行。分析人員現(xiàn)在懷疑惡意程序可能是惡意Word文檔的網(wǎng)絡(luò)釣魚攻擊的結(jié)果。流程的開始時(shí)間使分析人員得出結(jié)論，即網(wǎng)絡(luò)釣魚電子郵件剛剛打開，這為EDR提供了一個(gè)理想的機(jī)會(huì)，使EDR在短短幾分鐘內(nèi)將事件從入侵到檢測(cè)再到響應(yīng)。

情景一中EDR的角色：

分析人員認(rèn)識(shí)到流氓lsass.exe進(jìn)程肯定是惡意的，因此查詢涉及任何流氓進(jìn)程的網(wǎng)絡(luò)連接，并發(fā)現(xiàn)lsass.exe進(jìn)程正在與東歐的IP地址通信。分析人員使用EDR終止惡意進(jìn)程（lsass.exe，cmd.exe，和winword.exe）。分析人員還使用EDR系統(tǒng)查詢與可疑IP地址進(jìn)行通信的所有端點(diǎn)。分析人員發(fā)現(xiàn)了另外兩個(gè)端點(diǎn)，并從這些系統(tǒng)中請(qǐng)求系統(tǒng)信息（例如，正在運(yùn)行的進(jìn)程和服務(wù)配置信息）。這些系統(tǒng)未像原始系統(tǒng)那樣使用流氓lsass.exe進(jìn)程，但是EDR可以輕松識(shí)別，無(wú)論如何都是惡意進(jìn)程。

傳統(tǒng)的網(wǎng)絡(luò)監(jiān)視系統(tǒng)（例如NetFlow和完整的數(shù)據(jù)包捕獲）缺少EDR提供的粒度。盡管傳統(tǒng)的網(wǎng)絡(luò)監(jiān)視系統(tǒng)可以將調(diào)查者指向與可疑IP地址進(jìn)行通信的端點(diǎn)，但它們?nèi)詿o(wú)法確定所涉及的實(shí)際過(guò)程。不幸的是，EDR的這一方面意味著調(diào)查人員必須在調(diào)查中涉及另一個(gè)系統(tǒng)。另一方面，EDR允許研究人員識(shí)別通信中涉及的特定進(jìn)程（并終止它們）。盡管第一個(gè)系統(tǒng)剛剛遭到破壞并且可以輕松處理，但新識(shí)別的機(jī)器何時(shí)遭到破壞尚不知道。分析人員深入研究了從EDR返回的信息，并發(fā)現(xiàn)持久性機(jī)制是用戶啟動(dòng)目錄中的LNK文件，該文件已使用EDR刪除。

場(chǎng)景二：用EDR進(jìn)行可疑行為分析

該組織收到新的威脅情報(bào)，即以它們?yōu)槟繕?biāo)的APT威脅正在使用目錄％USERPROFILE％\ AppData \ Roaming \SharePoints暫存數(shù)據(jù)以進(jìn)行滲透。該組織最近未在其網(wǎng)絡(luò)中觀察到APT小組的活動(dòng)，并擔(dān)心可能會(huì)在其網(wǎng)絡(luò)中觀察到新發(fā)布的威脅指標(biāo)（IOC）。如果發(fā)現(xiàn)了新的威脅指標(biāo)，則組織希望能夠迅速做出反應(yīng)并將攻擊者從網(wǎng)絡(luò)中刪除。

情景二中EDR的角色：

EDR的任務(wù)是在網(wǎng)絡(luò)上的每臺(tái)計(jì)算機(jī)上查詢目錄％USERPROFILE％\ AppData \ Roaming \SharePoints的存在，該目錄已通過(guò)威脅情報(bào)識(shí)別為威脅指標(biāo)。該目錄是在四臺(tái)計(jì)算機(jī)上發(fā)現(xiàn)的，其中兩臺(tái)位于總部，兩臺(tái)位于不同的遠(yuǎn)程辦公室，而該組織沒(méi)有現(xiàn)場(chǎng)IT或信息安全人員。檢測(cè)到入侵總是不太容易的，但如果檢測(cè)到入侵，沒(méi)有現(xiàn)場(chǎng)支持，可能會(huì)導(dǎo)致額外的復(fù)雜問(wèn)題。

分析人員立即查詢進(jìn)程信息，包括通過(guò)EDR從四臺(tái)受影響的計(jì)算機(jī)中加載的DLL和網(wǎng)絡(luò)連接數(shù)據(jù)。分析人員不會(huì)立即看到任何看起來(lái)是惡意的進(jìn)程，但是會(huì)看到不熟悉的DLL（kernel64.dll）已加載到explorer.exe（用戶的桌面）地址空間中。查找加載到explorer.exe中的DLL與共享的IOC一致，共享的IOC也綁定到用戶（而不是計(jì)算機(jī)）。

在檢查網(wǎng)絡(luò)連接數(shù)據(jù)時(shí)，分析人員指出，在三臺(tái)受感染的計(jì)算機(jī)上，explorer.exe進(jìn)程具有與TCP端口33389上的外部IP地址的連接。分析員考慮使用EDR立即阻止與IP地址的通信，但EDR仍需進(jìn)行其他查詢，因此在執(zhí)行其他查詢調(diào)查前，決定EDR暫不阻止外部IP地址的連接。

分析人員使用從先前查詢中獲得的信息，使用EDR查詢與TCP端口33389或可疑IP地址通信的所有計(jì)算機(jī)。分析人員還查詢所有加載DLL名稱kernel64.dll的進(jìn)程。發(fā)現(xiàn)有五臺(tái)新機(jī)器正在加載kernel64.dll。由于這些計(jì)算機(jī)沒(méi)有暫存目錄，因此無(wú)法使用提供的原始威脅情報(bào)來(lái)定位它們。分析人員還發(fā)現(xiàn)另一個(gè)可疑IP地址。

分析人員使用EDR向已識(shí)別的計(jì)算機(jī)查詢所有登錄用戶的注冊(cè)表設(shè)置，以發(fā)現(xiàn)惡意軟件使用的持久性機(jī)制。所有受感染的計(jì)算機(jī)都有一個(gè)自動(dòng)運(yùn)行條目，可以啟動(dòng)合法的第三方系統(tǒng)分析程序。由于該應(yīng)用程序是經(jīng)過(guò)數(shù)字簽名的，因此可以通過(guò)應(yīng)用程序白名單將其允許使用，但該應(yīng)用程序卻被用于從磁盤旁路加載DLL，注入explorer.exe并退出。執(zhí)行其他EDR查詢以查找安裝了第三方系統(tǒng)分析程序的其他計(jì)算機(jī)，但未發(fā)現(xiàn)。

完成檢測(cè)后，分析人員現(xiàn)在可以轉(zhuǎn)為響應(yīng)。他們使用EDR遠(yuǎn)程刪除用于持久性的自動(dòng)運(yùn)行注冊(cè)表項(xiàng)和第三方系統(tǒng)分析程序（以及旁路加載的惡意DLL）。他們還使用EDR阻止與已標(biāo)識(shí)IP地址的所有通信。盡管也應(yīng)在防火墻處阻止通信，但此任務(wù)通常由另一個(gè)團(tuán)隊(duì)管理。在響應(yīng)期間跨多個(gè)團(tuán)隊(duì)進(jìn)行協(xié)調(diào)會(huì)導(dǎo)致延遲。盡管在識(shí)別和范圍界定階段可能不適合阻止與IP地址的通信，但當(dāng)事件響應(yīng)者觸發(fā)時(shí)，阻止應(yīng)該是立即和無(wú)縫的。根據(jù)我們的經(jīng)驗(yàn)，與網(wǎng)絡(luò)團(tuán)隊(duì)的協(xié)調(diào)既不是直接的，也不是無(wú)縫的，這進(jìn)一步突出了EDR的價(jià)值主張。

EDR市場(chǎng)曾經(jīng)是一個(gè)小眾市場(chǎng)，近年來(lái)卻出現(xiàn)了爆炸式增長(zhǎng)。不過(guò)，僅僅因?yàn)樵摦a(chǎn)品帶有EDR描述，并不意味著這些產(chǎn)品彼此之間具有接近功能同等的地位或已被證明特別有效。

我們已經(jīng)討論了在考慮EDR時(shí)需要的功能，部署EDR的用例。考慮使用EDR產(chǎn)品的組織在評(píng)估自己的部署時(shí)應(yīng)考慮本文提出的建議，包括：

l 使用EDR功能清單

l 考慮吸取的教訓(xùn)，以避免EDR部署問(wèn)題

l 確保所選的EDR解決方案實(shí)現(xiàn)適當(dāng)?shù)捻憫?yīng)功能

l 預(yù)先確定與SIEM和其他工具的集成將如何影響EDR部署

l 確保EDR支持新手分析師可用的工作流程

寫在本文最后，部署EDR，我們是專業(yè)的！(*^▽^*)