如果您在信息安全領域工作，那么您無疑會聽說過EDR，EDR（Endpoint Detection and Response端點檢測和響應）有望徹底改變安全分析師消除攻擊的方式。不幸的是，與信息安全領域中的許多其他解決方案一樣，EDR未能實現承諾的宣傳。

EDR的典型銷售思路是這樣的：“我們都知道您可以在SIEM (安全信息和事件管理)中檢查警報，在您的工作效率軟件套件中打開升級通知，并警告系統管理員采取措施。但是，在這時間內，攻擊者很可能已經進行了入侵和破壞，竊取了您的數據。問題不在于您沒有足夠的檢測能力，而是到處都是問題。如此情況下，您將如何響應？時間就是金錢，時間有利于攻擊者。這就是為什么您需要EDR，它將檢測功能和響應功能整合到一個平臺中。”

但是，正如您可能已經猜到的那樣，EDR并沒有達到很高的期望。

EDR部署最大的失敗之一就是EDR大多數無法與安全分析人員使用的其他工具（SIEM，IDS，DLP等）整合在一起，只有極少的廠商產品可以做到。EDR部署的另一個常見問題是IT業務與網絡安全之間典型的職責分離。EDR平臺跨越了兩條業務線；傳統的網絡安全主要是檢測功能，而傳統的IT服務主要是響應功能。每當執行響應功能時，都會存在系統中斷的風險。由于IT業務部門應為任何系統停機負責，因此，只有在傳統上IT業務部門已經管理了所有響應功能，才有意義。而且由于EDR涵蓋了傳統的檢測和響應功能，因此它打破了這種范式，為流程和工作流問題鋪平了道路。

即使組織中要處理流程問題，許多EDR平臺本身也無法充當供應商承諾的真正的一站式解決方案。許多EDR平臺缺乏與SIEM的集成。另一些則完全集中在端點上，完全忽略了網絡流量在消除誤報和為真正的誤報提供有價值的內容方面所起的作用。

如何克服這些挑戰，有效實施EDR呢，聽我們一一道來。

安全工程師常常只關注EDR系統的檢測功能和工作流程。但是EDR不僅僅是檢測。顯然，響應能力也很重要，但是，在評估EDR系統時，用戶通常會發現補救和響應功能是對檢測功能的事后考慮。當我們檢查產品生命周期時，我們通常還會觀察到檢測功能比響應產品具有更多的功能增強。我們已經強調了這樣做的一個原因：EDR提供的功能傳統上是網絡安全團隊以及IT業務團隊工作角色的一部分。但是，盡管兩個不同團隊使用了跨部門的功能，但EDR系統的資金需求通常僅由網絡安全部門承擔。看來EDR廠商在很大程度上響應了市場力量。供應商認為，網絡安全團隊中的決策者更可能重視檢測功能。

但是，這種假設是錯誤的，EDR可以執行的許多查詢功能也可以由傳統的IT資產管理軟件（例如SCCM）執行。僅在考慮了EDR的響應功能后，部署EDR的主要好處才變得顯而易見。

EDR系統的理想響應功能：

l 終止正在運行的進程

l 根據名稱、路徑、參數、父進程、發布者或哈希阻止進程

l 阻止特定進程在網絡上進行通信?阻止進程與特定主機名或IP地址通信

l 卸載服務

l 編輯注冊表項和值

l 關閉或重新啟動端點

l 從端點注銷用戶

l 即使正在使用文件和目錄，也能夠從操作系統中刪除它們（可能需要重新啟動）

大多數EDR系統都提供了這些功能的一部分。機器重啟是最常被忽視的問題之一。惡意軟件作者通常會安裝采用用戶模式rootkit鉤子的惡意軟件。操作系統中安裝了防止刪除注冊表項和用于在兩次重啟之間持久保存惡意軟件的值的鉤子。運行惡意軟件時，進程看不到惡意軟件使用的文件和目錄。惡意軟件通常通過由服務管理器管理的服務來持久保存。如果沒有在系統上執行遠程重新啟動的功能，則采用EDR可能無法修復采用上述技術的惡意軟件。分析師需要能夠對事件做出快速反應并加以遏制的能力。老式的方法是每次出現防病毒警報時僅重新映像覆蓋系統，根本無法適應當今的威脅。

如今，大多數EDR系統都允許分析師終止單個進程。但是，這些系統中的許多都缺乏阻止同一進程立即重新啟動的能力。他們真的讓分析員打了一場徒勞無功的游戲，進攻方總是占優勢，防守方總是想追上來。在評估一個EDR系統時，仔細檢查EDR系統如何允許分析人員主動預防已知的攻擊者技術，而不是簡單地對其作出響應。EDR系統的另一個常見問題是使用腳本解釋器，例如PowerShell或cscript。這兩個腳本解釋器通常用于正常的系統操作，但是它們也經常被惡意軟件使用。EDR系統必須為分析人員提供一定的能力，以區分腳本解釋器的合法使用和非法使用。

EDR系統的明顯用例是檢測入侵并自動響應。我們將通過一些用例來說明如何在現場實施EDR。

情景一：EDR檢測到一個以常規用戶身份運行的名為lsass.exe的進程

名為lsass.exe的進程只能在系統環境中執行，而不能在普通用戶環境中執行。由于新手分析師可能不知道Windows主機上應僅運行lsass.exe進程的單個實例，因此EDR突出顯示該事實并觸發警報，從而開始調查。在處理警報時，分析人員向EDR查詢端點上正在運行的進程，并發現惡意lsass.exe進程作為cmd.exe的子級正在運行。cmd.exe進程作為winword.exe的子級運行。分析人員現在懷疑惡意程序可能是惡意Word文檔的網絡釣魚攻擊的結果。流程的開始時間使分析人員得出結論，即網絡釣魚電子郵件剛剛打開，這為EDR提供了一個理想的機會，使EDR在短短幾分鐘內將事件從入侵到檢測再到響應。

情景一中EDR的角色：

分析人員認識到流氓lsass.exe進程肯定是惡意的，因此查詢涉及任何流氓進程的網絡連接，并發現lsass.exe進程正在與東歐的IP地址通信。分析人員使用EDR終止惡意進程（lsass.exe，cmd.exe，和winword.exe）。分析人員還使用EDR系統查詢與可疑IP地址進行通信的所有端點。分析人員發現了另外兩個端點，并從這些系統中請求系統信息（例如，正在運行的進程和服務配置信息）。這些系統未像原始系統那樣使用流氓lsass.exe進程，但是EDR可以輕松識別，無論如何都是惡意進程。

傳統的網絡監視系統（例如NetFlow和完整的數據包捕獲）缺少EDR提供的粒度。盡管傳統的網絡監視系統可以將調查者指向與可疑IP地址進行通信的端點，但它們仍無法確定所涉及的實際過程。不幸的是，EDR的這一方面意味著調查人員必須在調查中涉及另一個系統。另一方面，EDR允許研究人員識別通信中涉及的特定進程（并終止它們）。盡管第一個系統剛剛遭到破壞并且可以輕松處理，但新識別的機器何時遭到破壞尚不知道。分析人員深入研究了從EDR返回的信息，并發現持久性機制是用戶啟動目錄中的LNK文件，該文件已使用EDR刪除。

場景二：用EDR進行可疑行為分析

該組織收到新的威脅情報，即以它們為目標的APT威脅正在使用目錄％USERPROFILE％\ AppData \ Roaming \SharePoints暫存數據以進行滲透。該組織最近未在其網絡中觀察到APT小組的活動，并擔心可能會在其網絡中觀察到新發布的威脅指標（IOC）。如果發現了新的威脅指標，則組織希望能夠迅速做出反應并將攻擊者從網絡中刪除。

情景二中EDR的角色：

EDR的任務是在網絡上的每臺計算機上查詢目錄％USERPROFILE％\ AppData \ Roaming \SharePoints的存在，該目錄已通過威脅情報識別為威脅指標。該目錄是在四臺計算機上發現的，其中兩臺位于總部，兩臺位于不同的遠程辦公室，而該組織沒有現場IT或信息安全人員。檢測到入侵總是不太容易的，但如果檢測到入侵，沒有現場支持，可能會導致額外的復雜問題。

分析人員立即查詢進程信息，包括通過EDR從四臺受影響的計算機中加載的DLL和網絡連接數據。分析人員不會立即看到任何看起來是惡意的進程，但是會看到不熟悉的DLL（kernel64.dll）已加載到explorer.exe（用戶的桌面）地址空間中。查找加載到explorer.exe中的DLL與共享的IOC一致，共享的IOC也綁定到用戶（而不是計算機）。

在檢查網絡連接數據時，分析人員指出，在三臺受感染的計算機上，explorer.exe進程具有與TCP端口33389上的外部IP地址的連接。分析員考慮使用EDR立即阻止與IP地址的通信，但EDR仍需進行其他查詢，因此在執行其他查詢調查前，決定EDR暫不阻止外部IP地址的連接。

分析人員使用從先前查詢中獲得的信息，使用EDR查詢與TCP端口33389或可疑IP地址通信的所有計算機。分析人員還查詢所有加載DLL名稱kernel64.dll的進程。發現有五臺新機器正在加載kernel64.dll。由于這些計算機沒有暫存目錄，因此無法使用提供的原始威脅情報來定位它們。分析人員還發現另一個可疑IP地址。

分析人員使用EDR向已識別的計算機查詢所有登錄用戶的注冊表設置，以發現惡意軟件使用的持久性機制。所有受感染的計算機都有一個自動運行條目，可以啟動合法的第三方系統分析程序。由于該應用程序是經過數字簽名的，因此可以通過應用程序白名單將其允許使用，但該應用程序卻被用于從磁盤旁路加載DLL，注入explorer.exe并退出。執行其他EDR查詢以查找安裝了第三方系統分析程序的其他計算機，但未發現。

完成檢測后，分析人員現在可以轉為響應。他們使用EDR遠程刪除用于持久性的自動運行注冊表項和第三方系統分析程序（以及旁路加載的惡意DLL）。他們還使用EDR阻止與已標識IP地址的所有通信。盡管也應在防火墻處阻止通信，但此任務通常由另一個團隊管理。在響應期間跨多個團隊進行協調會導致延遲。盡管在識別和范圍界定階段可能不適合阻止與IP地址的通信，但當事件響應者觸發時，阻止應該是立即和無縫的。根據我們的經驗，與網絡團隊的協調既不是直接的，也不是無縫的，這進一步突出了EDR的價值主張。

EDR市場曾經是一個小眾市場，近年來卻出現了爆炸式增長。不過，僅僅因為該產品帶有EDR描述，并不意味著這些產品彼此之間具有接近功能同等的地位或已被證明特別有效。

我們已經討論了在考慮EDR時需要的功能，部署EDR的用例。考慮使用EDR產品的組織在評估自己的部署時應考慮本文提出的建議，包括：

l 使用EDR功能清單

l 考慮吸取的教訓，以避免EDR部署問題

l 確保所選的EDR解決方案實現適當的響應功能

l 預先確定與SIEM和其他工具的集成將如何影響EDR部署

l 確保EDR支持新手分析師可用的工作流程

寫在本文最后，部署EDR，我們是專業的！(*^▽^*)