「明明装了杀毒软件,为什么还要 EDR?」——二者角色不同。本文讲解 EDR 守护什么、如何守护(不会写出攻击步骤)。
与传统杀毒软件的区别
| 视角 | 传统防病毒 | EDR |
|---|---|---|
| 检测的轴心 | 已知特征码/IOC(哈希等) | 行为/IOA(一连串动向) |
| 抗绕过能力 | 对无文件、正规工具滥用较弱 | 更易凭行为捕获 |
| 事后调查 | 有限 | 可用时间线追溯经过 |
| 响应 | 以清除为主 | 支持隔离、调查、恢复 |
如何守护(机制)
特征码比对(拦截已知的恶意)与行为检测(凭 IOA 察觉)并不对立。两者兼备才切合实际,EDR 的定位是把后者做厚。
小规模环境下切实可行的应对方式
先夯实根基
用好操作系统自带防护
留存日志,具备 IOA 的眼光
按需考虑 EDR
本站的视角:比起产品名,更看重「能记录、检测、响应的状态」
EDR 很强大,但本站并不认为「装了 EDR 就安全」。检测是事故发生之后的事,真正的重点是从一开始就不让它发生、不让它扩散的设计(最小权限、补丁、MFA、不以明文存放机密)。在此基础上,绕过总会发生,因此要以与规模相称的方式,持有能记录、检测、响应行为的状态。个人往往「Defender+日志+IOA 意识」就够了,组织则可把托管型 EDR 纳入选项。要紧的不是产品名,而是预防(不让发生)与检测(察觉)这两个轮子是否都在转动。
接下来阅读
- 术语:IOA(攻击指标)是什么 / IOC(入侵指标)是什么 / 勒索软件是什么
FAQ
QEDR 和传统的杀毒软件(防病毒)有什么区别?
传统防病毒软件以比对「已知的恶意文件(特征码/哈希)」并加以拦截为主。EDR 在此之外,还会持续记录终端上的「行为」(进程启动、通信、文件操作等),检测一连串可疑动向,并支持隔离、调查、恢复等响应。把「拦截已知的恶意」理解为 AV、「凭行为察觉并响应」理解为 EDR,就容易区分了。
Q为什么需要基于行为的检测?
攻击者会用完即弃地更换文件哈希,或滥用操作系统自带的正规工具(无文件),借此绕过特征码比对。这类攻击作为「恶意文件」很难被看见,只会以「一串异常行为的连环」形式出现。因此关注行为(IOA)的 EDR,承担起捕获已绕过防线的攻击的角色。
Q个人或小规模也需要 EDR 吗?
全功能的 EDR 主要面向组织,对个人和小规模而言往往过剩。不过其思路是有效的。Windows 的 Microsoft Defender 含有简易的行为检测,把操作系统与应用的自动更新、最小权限、日志留存这些根基,与 IOA(凭行为察觉)的意识结合起来,就能获得大量价值。比起产品名,「是否处于能记录、检测、响应行为的状态」才是本质。