如果您在信息安全領(lǐng)域工作，那么您無疑會聽說過EDR，EDR（Endpoint Detection and Response端點檢測和響應(yīng)）有望徹底改變安全分析師消除攻擊的方式。不幸的是，與信息安全領(lǐng)域中的許多其他解決方案一樣，EDR未能實現(xiàn)承諾的宣傳。

EDR的典型銷售思路是這樣的：“我們都知道您可以在SIEM (安全信息和事件管理)中檢查警報，在您的工作效率軟件套件中打開升級通知，并警告系統(tǒng)管理員采取措施。但是，在這時間內(nèi)，攻擊者很可能已經(jīng)進行了入侵和破壞，竊取了您的數(shù)據(jù)。問題不在于您沒有足夠的檢測能力，而是到處都是問題。如此情況下，您將如何響應(yīng)？時間就是金錢，時間有利于攻擊者。這就是為什么您需要EDR，它將檢測功能和響應(yīng)功能整合到一個平臺中。”

但是，正如您可能已經(jīng)猜到的那樣，EDR并沒有達到很高的期望。

EDR部署最大的失敗之一就是EDR大多數(shù)無法與安全分析人員使用的其他工具（SIEM，IDS，DLP等）整合在一起，只有極少的廠商產(chǎn)品可以做到。EDR部署的另一個常見問題是IT業(yè)務(wù)與網(wǎng)絡(luò)安全之間典型的職責(zé)分離。EDR平臺跨越了兩條業(yè)務(wù)線；傳統(tǒng)的網(wǎng)絡(luò)安全主要是檢測功能，而傳統(tǒng)的IT服務(wù)主要是響應(yīng)功能。每當(dāng)執(zhí)行響應(yīng)功能時，都會存在系統(tǒng)中斷的風(fēng)險。由于IT業(yè)務(wù)部門應(yīng)為任何系統(tǒng)停機負責(zé)，因此，只有在傳統(tǒng)上IT業(yè)務(wù)部門已經(jīng)管理了所有響應(yīng)功能，才有意義。而且由于EDR涵蓋了傳統(tǒng)的檢測和響應(yīng)功能，因此它打破了這種范式，為流程和工作流問題鋪平了道路。

即使組織中要處理流程問題，許多EDR平臺本身也無法充當(dāng)供應(yīng)商承諾的真正的一站式解決方案。許多EDR平臺缺乏與SIEM的集成。另一些則完全集中在端點上，完全忽略了網(wǎng)絡(luò)流量在消除誤報和為真正的誤報提供有價值的內(nèi)容方面所起的作用。

如何克服這些挑戰(zhàn)，有效實施EDR呢，聽我們一一道來。

安全工程師常常只關(guān)注EDR系統(tǒng)的檢測功能和工作流程。但是EDR不僅僅是檢測。顯然，響應(yīng)能力也很重要，但是，在評估EDR系統(tǒng)時，用戶通常會發(fā)現(xiàn)補救和響應(yīng)功能是對檢測功能的事后考慮。當(dāng)我們檢查產(chǎn)品生命周期時，我們通常還會觀察到檢測功能比響應(yīng)產(chǎn)品具有更多的功能增強。我們已經(jīng)強調(diào)了這樣做的一個原因：EDR提供的功能傳統(tǒng)上是網(wǎng)絡(luò)安全團隊以及IT業(yè)務(wù)團隊工作角色的一部分。但是，盡管兩個不同團隊使用了跨部門的功能，但EDR系統(tǒng)的資金需求通常僅由網(wǎng)絡(luò)安全部門承擔(dān)?？磥鞥DR廠商在很大程度上響應(yīng)了市場力量。供應(yīng)商認為，網(wǎng)絡(luò)安全團隊中的決策者更可能重視檢測功能。

但是，這種假設(shè)是錯誤的，EDR可以執(zhí)行的許多查詢功能也可以由傳統(tǒng)的IT資產(chǎn)管理軟件（例如SCCM）執(zhí)行。僅在考慮了EDR的響應(yīng)功能后，部署EDR的主要好處才變得顯而易見。

EDR系統(tǒng)的理想響應(yīng)功能：

l 終止正在運行的進程

l 根據(jù)名稱、路徑、參數(shù)、父進程、發(fā)布者或哈希阻止進程

l 阻止特定進程在網(wǎng)絡(luò)上進行通信?阻止進程與特定主機名或IP地址通信

l 卸載服務(wù)

l 編輯注冊表項和值

l 關(guān)閉或重新啟動端點

l 從端點注銷用戶

l 即使正在使用文件和目錄，也能夠從操作系統(tǒng)中刪除它們（可能需要重新啟動）

大多數(shù)EDR系統(tǒng)都提供了這些功能的一部分。機器重啟是最常被忽視的問題之一。惡意軟件作者通常會安裝采用用戶模式rootkit鉤子的惡意軟件。操作系統(tǒng)中安裝了防止刪除注冊表項和用于在兩次重啟之間持久保存惡意軟件的值的鉤子。運行惡意軟件時，進程看不到惡意軟件使用的文件和目錄。惡意軟件通常通過由服務(wù)管理器管理的服務(wù)來持久保存。如果沒有在系統(tǒng)上執(zhí)行遠程重新啟動的功能，則采用EDR可能無法修復(fù)采用上述技術(shù)的惡意軟件。分析師需要能夠?qū)κ录龀隹焖俜磻?yīng)并加以遏制的能力。老式的方法是每次出現(xiàn)防病毒警報時僅重新映像覆蓋系統(tǒng)，根本無法適應(yīng)當(dāng)今的威脅。

如今，大多數(shù)EDR系統(tǒng)都允許分析師終止單個進程。但是，這些系統(tǒng)中的許多都缺乏阻止同一進程立即重新啟動的能力。他們真的讓分析員打了一場徒勞無功的游戲，進攻方總是占優(yōu)勢，防守方總是想追上來。在評估一個EDR系統(tǒng)時，仔細檢查EDR系統(tǒng)如何允許分析人員主動預(yù)防已知的攻擊者技術(shù)，而不是簡單地對其作出響應(yīng)。EDR系統(tǒng)的另一個常見問題是使用腳本解釋器，例如PowerShell或cscript。這兩個腳本解釋器通常用于正常的系統(tǒng)操作，但是它們也經(jīng)常被惡意軟件使用。EDR系統(tǒng)必須為分析人員提供一定的能力，以區(qū)分腳本解釋器的合法使用和非法使用。

EDR系統(tǒng)的明顯用例是檢測入侵并自動響應(yīng)。我們將通過一些用例來說明如何在現(xiàn)場實施EDR。

情景一：EDR檢測到一個以常規(guī)用戶身份運行的名為lsass.exe的進程

名為lsass.exe的進程只能在系統(tǒng)環(huán)境中執(zhí)行，而不能在普通用戶環(huán)境中執(zhí)行。由于新手分析師可能不知道Windows主機上應(yīng)僅運行l(wèi)sass.exe進程的單個實例，因此EDR突出顯示該事實并觸發(fā)警報，從而開始調(diào)查。在處理警報時，分析人員向EDR查詢端點上正在運行的進程，并發(fā)現(xiàn)惡意lsass.exe進程作為cmd.exe的子級正在運行。cmd.exe進程作為winword.exe的子級運行。分析人員現(xiàn)在懷疑惡意程序可能是惡意Word文檔的網(wǎng)絡(luò)釣魚攻擊的結(jié)果。流程的開始時間使分析人員得出結(jié)論，即網(wǎng)絡(luò)釣魚電子郵件剛剛打開，這為EDR提供了一個理想的機會，使EDR在短短幾分鐘內(nèi)將事件從入侵到檢測再到響應(yīng)。

情景一中EDR的角色：

分析人員認識到流氓lsass.exe進程肯定是惡意的，因此查詢涉及任何流氓進程的網(wǎng)絡(luò)連接，并發(fā)現(xiàn)lsass.exe進程正在與東歐的IP地址通信。分析人員使用EDR終止惡意進程（lsass.exe，cmd.exe，和winword.exe）。分析人員還使用EDR系統(tǒng)查詢與可疑IP地址進行通信的所有端點。分析人員發(fā)現(xiàn)了另外兩個端點，并從這些系統(tǒng)中請求系統(tǒng)信息（例如，正在運行的進程和服務(wù)配置信息）。這些系統(tǒng)未像原始系統(tǒng)那樣使用流氓lsass.exe進程，但是EDR可以輕松識別，無論如何都是惡意進程。

傳統(tǒng)的網(wǎng)絡(luò)監(jiān)視系統(tǒng)（例如NetFlow和完整的數(shù)據(jù)包捕獲）缺少EDR提供的粒度。盡管傳統(tǒng)的網(wǎng)絡(luò)監(jiān)視系統(tǒng)可以將調(diào)查者指向與可疑IP地址進行通信的端點，但它們?nèi)詿o法確定所涉及的實際過程。不幸的是，EDR的這一方面意味著調(diào)查人員必須在調(diào)查中涉及另一個系統(tǒng)。另一方面，EDR允許研究人員識別通信中涉及的特定進程（并終止它們）。盡管第一個系統(tǒng)剛剛遭到破壞并且可以輕松處理，但新識別的機器何時遭到破壞尚不知道。分析人員深入研究了從EDR返回的信息，并發(fā)現(xiàn)持久性機制是用戶啟動目錄中的LNK文件，該文件已使用EDR刪除。

場景二：用EDR進行可疑行為分析

該組織收到新的威脅情報，即以它們?yōu)槟繕说腁PT威脅正在使用目錄％USERPROFILE％\ AppData \ Roaming \SharePoints暫存數(shù)據(jù)以進行滲透。該組織最近未在其網(wǎng)絡(luò)中觀察到APT小組的活動，并擔(dān)心可能會在其網(wǎng)絡(luò)中觀察到新發(fā)布的威脅指標（IOC）。如果發(fā)現(xiàn)了新的威脅指標，則組織希望能夠迅速做出反應(yīng)并將攻擊者從網(wǎng)絡(luò)中刪除。

情景二中EDR的角色：

EDR的任務(wù)是在網(wǎng)絡(luò)上的每臺計算機上查詢目錄％USERPROFILE％\ AppData \ Roaming \SharePoints的存在，該目錄已通過威脅情報識別為威脅指標。該目錄是在四臺計算機上發(fā)現(xiàn)的，其中兩臺位于總部，兩臺位于不同的遠程辦公室，而該組織沒有現(xiàn)場IT或信息安全人員。檢測到入侵總是不太容易的，但如果檢測到入侵，沒有現(xiàn)場支持，可能會導(dǎo)致額外的復(fù)雜問題。

分析人員立即查詢進程信息，包括通過EDR從四臺受影響的計算機中加載的DLL和網(wǎng)絡(luò)連接數(shù)據(jù)。分析人員不會立即看到任何看起來是惡意的進程，但是會看到不熟悉的DLL（kernel64.dll）已加載到explorer.exe（用戶的桌面）地址空間中。查找加載到explorer.exe中的DLL與共享的IOC一致，共享的IOC也綁定到用戶（而不是計算機）。

在檢查網(wǎng)絡(luò)連接數(shù)據(jù)時，分析人員指出，在三臺受感染的計算機上，explorer.exe進程具有與TCP端口33389上的外部IP地址的連接。分析員考慮使用EDR立即阻止與IP地址的通信，但EDR仍需進行其他查詢，因此在執(zhí)行其他查詢調(diào)查前，決定EDR暫不阻止外部IP地址的連接。

分析人員使用從先前查詢中獲得的信息，使用EDR查詢與TCP端口33389或可疑IP地址通信的所有計算機。分析人員還查詢所有加載DLL名稱kernel64.dll的進程。發(fā)現(xiàn)有五臺新機器正在加載kernel64.dll。由于這些計算機沒有暫存目錄，因此無法使用提供的原始威脅情報來定位它們。分析人員還發(fā)現(xiàn)另一個可疑IP地址。

分析人員使用EDR向已識別的計算機查詢所有登錄用戶的注冊表設(shè)置，以發(fā)現(xiàn)惡意軟件使用的持久性機制。所有受感染的計算機都有一個自動運行條目，可以啟動合法的第三方系統(tǒng)分析程序。由于該應(yīng)用程序是經(jīng)過數(shù)字簽名的，因此可以通過應(yīng)用程序白名單將其允許使用，但該應(yīng)用程序卻被用于從磁盤旁路加載DLL，注入explorer.exe并退出。執(zhí)行其他EDR查詢以查找安裝了第三方系統(tǒng)分析程序的其他計算機，但未發(fā)現(xiàn)。

完成檢測后，分析人員現(xiàn)在可以轉(zhuǎn)為響應(yīng)。他們使用EDR遠程刪除用于持久性的自動運行注冊表項和第三方系統(tǒng)分析程序（以及旁路加載的惡意DLL）。他們還使用EDR阻止與已標識IP地址的所有通信。盡管也應(yīng)在防火墻處阻止通信，但此任務(wù)通常由另一個團隊管理。在響應(yīng)期間跨多個團隊進行協(xié)調(diào)會導(dǎo)致延遲。盡管在識別和范圍界定階段可能不適合阻止與IP地址的通信，但當(dāng)事件響應(yīng)者觸發(fā)時，阻止應(yīng)該是立即和無縫的。根據(jù)我們的經(jīng)驗，與網(wǎng)絡(luò)團隊的協(xié)調(diào)既不是直接的，也不是無縫的，這進一步突出了EDR的價值主張。

EDR市場曾經(jīng)是一個小眾市場，近年來卻出現(xiàn)了爆炸式增長。不過，僅僅因為該產(chǎn)品帶有EDR描述，并不意味著這些產(chǎn)品彼此之間具有接近功能同等的地位或已被證明特別有效。

我們已經(jīng)討論了在考慮EDR時需要的功能，部署EDR的用例?？紤]使用EDR產(chǎn)品的組織在評估自己的部署時應(yīng)考慮本文提出的建議，包括：

l 使用EDR功能清單

l 考慮吸取的教訓(xùn)，以避免EDR部署問題

l 確保所選的EDR解決方案實現(xiàn)適當(dāng)?shù)捻憫?yīng)功能

l 預(yù)先確定與SIEM和其他工具的集成將如何影響EDR部署

l 確保EDR支持新手分析師可用的工作流程

寫在本文最后，部署EDR，我們是專業(yè)的！(*^▽^*)