微步OneSEC讓新型威脅無所遁形

2013年，Gartner首次提出了終端威脅檢測與響應(Endpoint Detection & Response，EDR)的概念。EDR是一種記錄和儲存端點系統等級行為的解決方案，並且透過多種資料分析技術檢測可疑的系統行為，提供關聯資訊，從而阻斷惡意行為併為受影響系統提供修復建議。

然而，有些國內安全廠商會將防毒軟體包裝成EDR，這使得使用者難以區分兩者之間的差異，錯以為EDR就是高階版的防毒軟體，嚴重擾亂終端安全市場。實際上，防毒軟體和EDR在防禦方式、功能和技術路線上有明顯的區別。在防禦方式上，防毒軟體是一種被動防禦工具，而EDR則是一種主動防禦工具。

在功能上，防毒軟體透過識別已知的惡意檔案，阻止其感染系統。EDR無法查殺惡意檔案，但它能發現繞過防毒的惡意檔案行為。EDR不能做到在惡意行為執行前就提前防護，但它能在一個攻擊事件中檢測到攻擊者的攻擊動作，幫助在攻擊中進行快速響應。

此外，EDR也不是桌面管理，無法管控員工的軟體、網路訪問和外設的使用，但它能發現由於員工不合規操作帶來的安全威脅。EDR不能零信任和准入，無法驗證身份並實現接入控制，但它能作為持續的終端安全驗證引擎，增強零信任的策略控制。EDR不能做到完全自動化，但它能提高日常安全運營效率。

在技術路線上，EDR也不同於傳統的防毒軟體。防毒軟體具備的關鍵能力包括病毒識別、實時監控和防禦、系統資源佔用控制、自我保護和反解除安裝等。而EDR解決方案需要具備四個關鍵能力：檢測安全事件、遏制威脅、調查安全事件、提供修復指導。這些能力使得EDR能夠更加全面地應對終端威脅。

▲Gartner：EDR的定義和典型場景

與傳統的終端安全相比，EDR帶來了一些本質的變化。第一是計算方式的變化，從PC端轉移到服務端。第二個是安全運營的變化，從防禦轉為檢測與響應。總的來看，EDR技術的出現使得終端安全得到顯著提升，有效應對各類終端威脅，保護企業業務的連續性，降低運維成本和複雜性，提高安全性和隱私保護。

EDR產品能力與技術挑戰分析

EDR作為傳統安全防護產品的重要補充，憑藉其對終端安全資訊的持續監測與分析，受到全球技術提供商及買家的廣泛關注。據Mordor Intelligence預測，2025年EDR市場規模將達到42.35億美元，年複合增長率為22.97%。這意味著EDR將成為終端安全市場規模持續增長的重要驅動力。

隨著網路攻擊和惡意軟體的日益增多，企業對終端安全的需求也越來越高，越來越多的企業開始採用EDR產品來提升自身的終端安全能力。選型時，企業需要根據自身需求和實際情況進行綜合評估，考慮EDR產品的多個關鍵能力，包括行為採集、威脅檢測、溯源分析、事件響應。

具體而言，行為採集包括採集事件的型別、採集技術的種類，以及採集帶來的網路頻寬壓力;威脅檢測包含檢測的準確度和覆蓋度;溯源分析包括溯源到程式的源頭、執行的源頭和事件的源頭;事件響應涉及響應動作的豐富性，可進一步調查到事件源頭。

在行為採集方面，採集是後續檢測、分析能力的重要基礎。一方面，從事件採集的型別來看，只靠基礎行為事件是遠遠不夠的，要隨攻防不斷調整事件採集型別。另一方面，從採集採用的技術來看，單純基於ETW、API Hook技術會帶來不穩定、丟失、繞過多種風險。最後，網路頻寬壓力是極大限制EDR應用的重要因素，特別是在網路頻寬受限的環境。

威脅檢測的技術挑戰包括兩個方面，檢測的覆蓋度考驗的是對攻防和實戰的深度認知和持續跟進;檢測的準確度是EDR檢測中最難的部分，是流量檢測中不曾遇到的挑戰。

▲微步技術合夥人 黃雅芳

黃雅芳認為，“在溯源分析方面，一般來說溯源到程式源頭和執行源頭還比較容易，而溯源到事件源頭，涉及到跨機器間的執行鏈的關聯卻是一個非常難的課題。”在事件響應方面，響應動作不是簡單的隔離機器和程式，面對複雜威脅，通常還需要進一步調查取證。

微步OneSEC有效應對新型高階威脅

成立於2015年的微步線上，是數字時代網路安全技術創新型企業，以守護數字世界的安全為使命，致力於成為全球頂級的能力型網路安全公司。黃雅芳表示，“對於微步而言，我們並不想做整個終端安全市場，而是想要覆蓋其中的EDR領域，用更強的能力去補齊防毒軟體的部分客戶。”

作為一款專業的EDR產品，OneSEC可有效應對僵木蠕常見網路威脅和釣魚、勒索、挖礦與APT等新型威脅攻擊，並提供了SaaS和本地化兩種部署模式，實現政企辦公網路從風險發現、事前預防、事中檢測響應、事後溯源處置的一體化安全閉環。OneSEC具備以下技術優勢：

• 更全面的終端事件採集能力

一方面，除了採集基礎的事件之外，OneSEC還可以採集憑藉竊取、橫向移動、自啟位置等行為事件。另一方面，OneSEC組合運用關聯器、快照分析、智慧過濾等採集技術，具備更強的採集能力。

• 更全面的威脅檢測能力

在服務端，OneSEC提供非常全面的威脅檢測技術，基於各種最新的、花樣繁多的威脅情報IoC、百億hash雲查、僵木蠕IoA和圖檢測規則，呼叫雲端算力，進行大資料分析和篩查。黃雅芳強調到，“威脅情報是微步的看家能力之一，可以做到百萬級別、秒級更新，準確率高達99.9%，讓各種高階威脅難以遁形。”

• 更完善的溯源和響應能力

在溯源上，傳統的安全產品只能做到中間程式鏈的追溯，而OneSEC具備追溯到執行源頭的串鏈能力，能夠把左右兩邊的鏈條補齊。同時，OneSEC提供序列化、智慧化、自動化的響應能力，而且響應體系在不斷更新迭代。

OneSEC的背後，有更專業的團隊在雲端及時分析和響應。據黃雅芳介紹，“微步擁有一支由一線運營專家、樣本分析專家、hunting專家組成的專業安全服務團隊，在雲端實時幫助客戶進行人工研判、處置特殊的事件和威脅。”

▲追溯到執行源頭的串鏈能力

• SaaS化靈活的部署模式

對於支援SaaS化部署的客戶來說，微步OneSEC提供更低的成本+更好的效果+更強的服務+更低的風險。黃雅芳指出，“OneSEC並不會傳輸敏感資料，且雲端有充分的安全保障機制，雲化後帶來更強、更及時的能力，以及更低的成本。當前測試的超過5000點的超大規模的金融企業都選擇了SaaS模式，說明客戶對SaaS的認可和接受度在不斷提升。”

寫在最後

如今，微步OneSEC可以滿足新型威脅防護、攻防演練、混合辦公、APT防護四大場景需求，已廣泛應用於證券、銀行、基金期貨、央企、物流、網際網路等行業領域。未來，微步將繼續專注技術的錘鍊，不斷推出更具創新性的前沿產品，為數字時代的發展保駕護航。