首創“資料隨動機制” 啟明星辰天珣助力深耕EDR市場

伴隨網路安全威脅的爆發式增長，傳統的網路安全防禦已經難以和全新的網路安全威脅正面“硬碰硬”。縱觀整體網路安全行業，目前對於已知安全威脅的防禦已經相當成熟，但如何才能有效檢測感知並防範未知威脅成為很多企業的一大心病。

尤其隨著使用者安全防護能力的大幅提升，網路安全入侵對抗進入僵持期，攻擊方“吊打”防禦方的時代已經結束，同時使用者的安全防護思路也有著較大的提升和改進，一方面要求安全服務商對威脅的檢測精度要提升;另一方面對威脅是如何進行的也要清楚，即要求服務商對威脅溯源的能力;第三，對於威脅的響應，也不再是斷網、應用停擺這種休克療法，而是根據威脅溯源進行精確的響應。EDR，全稱Endpoint Detection and Response,即終端檢測與響應，正是在這樣的時代背景下產生的。

在和啟明星辰終端安全產品線總經理萬淼溝通時，萬淼提到：“EDR的概念最早是在2013年由Gartner提出的，當時主要是面向歐美市場。EDR概念剛剛提出時，由於我國本身的網路基礎設施建設和歐美存在一定差異，所以當時並沒有落地。”

她提到，EDR概念在國內真正被重視是在2018年左右，當時正值永恆之藍爆發前後，大家發現當時傳統的終端防護手段無法進行有效防護，傳統終端安全產品如防毒軟體、終端防護軟體等會被新型威脅繞過,使用者急需補充新的安全能力，EDR由於具備對異常行為、未知威脅的檢測能力以及對威脅的溯源能力，在國內安全市場的熱度有了迅速提升。

不追熱點，對症下藥 | 天珣EDR應運而生

啟明星辰在終端安全層面的積累已有十多年，擁有現成的傳統EPP、准入、DLP、文件保護等產品。如果為趕熱點，啟明星辰當時完全可以很快地基於傳統的技術包裝出EDR產品並推出市場，也就是所謂的新瓶裝舊酒，但啟明星辰沉住了氣。

啟明星辰透過對架構進行反覆的論證、推敲，並綜合國內外使用者對EDR產品的定義及需求，看哪些需求是傳統技術手段所不能解決的，從而真正開發設計了一款能夠在使用者現場解決實際問題，經受使用者考驗的產品——天珣終端高階威脅檢測與響應系統(下簡稱：天珣EDR)。

匠心所致 | 只為做出一款經受住使用者考驗的EDR產品。

根據啟明星辰EDR產品經理宋曉鵬介紹，目前市場上主要存在三種形式的EDR產品：

第一種，傳統EPP：本土化EDR的雛形，其著重防毒能力，能夠在終端上處理所有事物，此類EDR產品互動性強，但對於終端的資源佔用也較高;

第二種，重EDR：本土化EDR的進階形式，大部分是在老EDR形式上進行包裝，著重觸發式的威脅檢測能力;

第三種，輕EDR：將EDR整體做一個應用，並將其安全能力進行剝離，依靠平臺來做整體分析，終端只做資訊採集和響應使用。終端不需要處理任何業務，從而做到特別輕量化，將終端的資源佔用做到最低。

而啟明星辰的天珣EDR解決方案就採用了輕EDR的方式，總結下來就是“至輕、至簡、至用”。根據介紹，天珣EDR使用極致輕量級客戶端作為終端資訊採集和安全響應點，最小僅為500k。客戶端“零”配置，靜默執行，極至便利的使用者使用。配合高效能管理平臺對終端採集的原始資料進行清洗、聚合、威脅檢測、行為分析，應用業內獨創的“資料隨動機制”自適應閉環設計理念，對終端威脅進行全面安全響應，依託全量資訊採集能力，實現對威脅全視角、全過程溯源，從而有效檢測安全威脅，提高安全防護效果。

而在產品能力層面，天珣EDR解決方案主要具備有 五大核心能力：

●細顆粒度資產盤點：具有多維度的資料採集能力，支援對終端靜態資訊和動態資訊進行採集盤點，包括硬體配置資訊、軟體應用資訊、安全合規資訊、系統執行資訊並且具備精細化採集到開放埠、使用賬號、中介軟體(名稱、系列、版本)等具備潛在威脅隱患資訊能力，掌握終端的基礎安全狀態和工作常態，便於更好地發現終端中的異常態勢和威脅線索，讓組織對基礎安全現狀看得見、看得全、理得清、查得到。

●安全威脅態勢視覺化：採用全因素綜合研判機制，發現未安裝的重要補丁、應用配置缺陷、應用新型漏洞、異常賬戶、弱口令及威脅留存等安全因素，透過管理平臺對終端安全狀態以數值形式量化呈現，對威脅維度、範圍、趨勢、走向進行預判，幫助管理人員透過直觀、視覺化的介面，瞭解內網終端安全威脅態勢。

●主機東西向流量視覺化：採用東西向流量畫像技術，構建清晰可視的東西向流量詳情，幫助管理人員理清子網、出入口和終端訪問關係，同時對於連線安全性進行研判，根據研判結果和內網訪問規劃，透過微隔離技術細化網路訪問控制。

●安全閉環的資料隨動機制：EDR隨著終端執行資料的變化以及安全威脅的變化來動態調整防護模式，根據不同場景需求，靈活呼叫檢測、分析、響應、溯源等不同引擎，給終端提供最契合並且不間斷的安全能力，實現了終端威脅的快速跟蹤和準確定位。

●威脅溯源：透過網路連線溯源、檔案流轉路徑溯源和程式關聯關係溯源，天珣EDR可以對終端所有已經發生和正在發生的安全事件定位威脅源頭、威脅發生過程及威脅影響範圍，為善後、整改提供有效的資料支撐，從而幫助管理人員看到、看清、看全內網安全威脅。

由此來看，啟明星辰的天珣EDR產品是從真實使用者場景出發，滿足使用者實際需求的產品。正如啟明星辰所講，做出產品的時間或早或晚，但能研發出切實解決使用者問題的產品才是永遠不會過時的產品。

EDR市場未來整體向好

提到EDR市場未來的發展趨勢，萬淼提到，國外EDR已經做了很長時間，比較有代表性的有Crowdstrike、Carbon Black等。從國外市場來看，EDR有著非常大的潛力，發展趨勢良好。國內市場上，使用者對於未知威脅發現的需求、對威脅溯源的需求以及聯動上對終端資料採集的需求非常明確，且需求量非常之大，使得EDR在國內市場上發展空間和潛力也很大。

她認為，迴歸產品本身，EDR是一個功能比較複雜的產品，與使用者的互動較多，需要透過使用者不斷地實際磨鍊來完善功能，包括分析引擎的維度，資料採集的維度，以及響應的精準度，這些都是EDR未來要探討的問題。

寫在最後

前文提到，EDR並不是一個新興的產物，但真正能做到完全貼合使用者需求的EDR產品絕非易事。啟明星辰作為一家老牌的網路安全廠商，經過多年的技術積累和對使用者需求的不斷摸索，終歸打造出了真正貼合使用者需求的EDR產品。如萬淼所講，未來EDR市場蘊藏著巨大潛力，啟明星辰的天珣EDR作為EDR市場的“新秀”究竟能給使用者帶來怎樣的驚喜，讓我們拭目以待!