安全设备篇——EDR

概念引入

edr是老生常谈了，有多少安服仔曾经被天擎支配过呢。老样子，先上某度百科：

端点检测和响应（EDR）是一种技术形式，可对针对企业网络和系统的高级网络安全威胁提供持续监控和响应。

很多人第一反应是edr就是个杀软嘛，其实对，也不对。先从技术层面，edr可检测的威胁不仅限于恶意病毒之类的，更强调行为上的阻断，更全面。而从架构部署上，edr是企业方案，注重主动性与防御性，其实说通俗点，edr在网络架构上有服务器，传统杀软把一切集中在一台主机上，而edr是通过网络区域内主机与服务器的连接来构成一个整体，edr强调的是网络内主机的安全。

edr产品

Edr只是个概念，落实到产品上各家安全厂商都有自己的利器，先来说说鼠鼠用过的，某深x服的和微某步的edr都用过，还有某一所的，天擎也不用说了，九成九的安服仔都用过，大家感兴趣的都可以去官方主页搜一下。

重点说说目前大部分edr产品的一个特点，首先是安装问题，edr产品进入一个企业时，不大可能是从零开始的，啥意思呢，一台台装起来真麻烦啊。。。。涉及到一些不太好处理的问题时，客户就会嚷嚷着不会弄要找技术人员了，鼠鼠就和同事们熬夜装过edr。

部分企业可能会有终端管理手段，可能会有软件推送或者统一安装之类的方法，但是实测，首要的一个前提就是edr安全包支持静默安装（这个目前遇到的都有，但是不好说不敢保证。）

其次就是协同的问题，因为要占用主机性能，也需要一定时间，如果有需要的话基本都是安服冤种们下了班一个个装上去了。

当然了，edr很重要的一个特点（优点）就是更新威胁情报库、病毒识别库等这些特征库只需要更新在服务端，等客户段连接时可以设置自动同步更新的，一在网络情况理想的状况下这套方案时目前最佳的。

Edr产品在联动上是最佳拍档，尤其是和态势感知联查病毒木马，绝对省时省力很多，能节省下相当的一部分对数据包传输内容的研判，关于联动的详情可以看看鼠鼠公众号的另一篇文章：安全设备篇——态势感知，这里就不太展开了。

终端安全

前面提到过了，edr是以服务器为指令主体的，这一点上确实方便检测和排查，如果需要实际研判发现某台主机上存在病毒和木马需要查杀，在服务端直接下发指令即可，很是方便，终端分为个人主机和服务器方面：

①个人主机

个人主机方面要安装一个agent客户端，然后客户端会自己连接服务器（跟cs有点像啊，自己生成指向服务器的exe），也可自己指定到服务器地址和端口，这些就是操作上的细节了。用户自己也可以利用客户端进行个人电脑的木马病毒查杀、防护，日常使用中哪怕没有接入服务器端，客户端也是具备防护功能。

②服务器

服务器也是终端安全需要被照顾的一环，假设一个请求从用户到达服务器，正常来说会经过waf、边界防火墙、ips等外层安全设备，edr就是最后一道防线。正常来理解呢就是各道防护各司其职，waf拦截非法参数，防火墙隔离网络区域，ips主动拦截，edr基本就是当场杀软来用了。但是从我个人角度出发这也是edr的侧弱点，对个人主机来说主动防御是几乎唯一的需求，但对服务器来说这是很单一的侧向，edr关注的更多只是端点安全，而忽略了点到点之间线段的安全，这就像是你的快递在到菜鸟驿站之前如果被抢劫了，你也没辙，这就需要找个强大的派送员来“押镖”，这就引出了XDR。

EDR与XDR

XDR 解决方案旨在通过组合和关联来自端点之外的多个来源（例如网络流量、云服务和电子邮件）的数据，提供更全面的网络安全方法。这使得 XDR 解决方案能够识别并响应单个端点可能不明显的威胁。其实就是弥补了edr在点到点之间路径的安全问题的弱点，之所以没有把xdr单独划分出来单作为一个安全设备来说，是主流观点普遍认为xdr是edr的下一个进化形态，是未来企业安全的进阶方案，但目前市场上仍然会以edr为主力军一段时间，所以本期还是以edr为主角展开讨论。

Edr和其他安全产品最大的不同也是在此，这是一类不断发展和变化的安全设备。也是普通人可能唯一会解除和有意识的安全产品，每个人在自己的个人电脑上大概率都会装一个杀软，这本身就进化线路上最初始的一个形态。

总结

终端安全是一个特殊的路线，从终端安全出发去培养、提升大众的网络安全意识是一直以来的一个方法，不需要懂得太多所谓网络攻击的手法和防范手段，其实知道给自己装个杀毒软件就大差不差了，终端安全的发展也是网络安全全民发展双路并行的，或许也是企业安全技术与民众挂钩的桥梁，一些企业版edr会推出社区版仅供个人使用。篇幅太短，目前和大家讨论的就这么多了，本篇仍然是以给萌新师傅们普及，以及跟各位师傅们探讨为目的的