找出潜在威胁 端点侦测与反制系统

对于针对性的攻击手法，端点计算机光是倚赖防病毒软件的把关，企业可能无法完全根除问题，近年来，如雨后春笋般推出的端点侦测与反制系统（Endpoint Detection and Response，EDR），便是能够找出在端点计算机的潜在威胁，并加以阻断、清除恶意软件的解决方案。

这种强调针对端点提供侦察与反制功能的产品，愈来愈多，根据最早提出EDR一词的市调公司Gartner，他们在市场分析所列举出的代表性厂商数量变化，就可看出端倪──在2015年5月发布的内容中，已有12家，而最近2016年11月底新发表的报告大幅增加为33家，显示越来越多的厂商投入这块领域，提供相关的解决方案，让想要找出潜在威胁的企业用户使用。

值得留意的是，现在不只许多知名的资安厂商都有提供EDR产品，也有其他厂商推出相关的解决方案。

此外，市面上的端点侦测与防护产品，也随着愿意投入的厂商增加，变得相当多元。例如，部分产品像Sophos Intercept X、微软WDATP，它们采用云端平台机制，因此企业不需前期投资大量的硬设备，就能快速建置，也适合人数规模不多、预算较为有限的企业选购；而有些产品如CylanceProtect，则着重在威胁行为初期活动时，就具有主动侦测与阻挡攻击的能力，甚至强调能取代一般的端点防病毒软件。不过，虽然这些厂商都声称他们提供的是端点威胁侦测与反制功能产品，但产品功能与适用的企业类型，存在相当大的差异。

一般而言，企业若是选购需自行架设的EDR产品，无可避免的，需要准备具有足够处理能力的服务器，因应分析运算的庞大硬件资源，才能架设，而有些产品则是必须购买指定的硬设备。现在，有些产品直接采用云端平台，主打能够快速建置，用户只需部署端点的代理程序，即可上线运作。

采用云端分析平台架构产品出现，大幅降低企业导入门坎

以采用云端平台的产品而言，端点的集中管控接口，也同样以云端型式提供，因此，只要有因特网联机，管理者就能调查攻击事件的全貌，并采取反制的措施。对于人数规模较小、或是不想自行维护分析平台的企业来说，选购提供云端平台的端点侦防系统，也许是较为省时省力的解决方案。

而这种透过云端平台进行控管与分析的端点侦防产品，也代表分析系统的维护、更新都由厂商执行，因此管理者只需专注在找出威胁事件的全貌即可，不过，采用这类架构的产品，对于无法对外联机、只允许内部存取的端点计算机，便毫无用武之地。我们这次介绍的产品中，Sophos Intercept X与微软WDATP都属于这种类型，端点计算机必须倚赖因特网传送执行记录到分析平台，才能运作。文章出自：sbf胜博发完全娱乐

而CylanceProtect虽然也是采用云端管理接口，但是基本的识别恶意软件的机制与阻断能力，都包含在端点代理程序，因此端点计算机若是没有网络联机，主要影响的是各端点后续的情资统整，以及无法直接透过管理平台派送公司政策。

在自行建置分析与管理平台的产品当中，有些也能提供租用的选择，例如，我们这次测试的CounterTack Sentinel，原本必须至少购买250个端点授权，使用门坎高，而代理商中芯数据也推出类似云端服务租用的代管模式，由代理商负责架设，并提供每个用户专属的管理接口。

端点侦防系统即将成为企业对付进阶威胁的情资统整中心

EDR端点侦测与防护系统最主要要求，就是在端点计算机上藉由可疑行为，找出潜在的威胁事件，这个机制，与我们之前介绍内部用户行为监控系统（UBA或UEBA）概念有些类似。

UBA/UEBA的对象是内部用户，收集数据的范围则是整个企业内部环境（包含端点计算机与网络设备等）。相对来说，EDR只针对端点计算机来收集威胁事件，单靠本身收集到的情资，想要拼凑出事件的样貌，可能信息就不够全面。

值得一提的是，许多厂商开始将端点侦防系统与其他防护产品进行整合，例如，Sophos Intercept X就采用Sophos Central云端控制台控管，而这个控制台也能同时管理其他Sophos产品，包含防病毒软件、网页安全网关，以及电子邮件防护。

像是CounterTack Sentinel则可与Blue Coat Security Analytics沙盒连结，此外，它还能接收由同厂牌的Active Defense软件，检查内存内执行处理程序的扫描结果。

至于WDATP，目前只有与端点计算机的防病毒软件Windows Defender整合，以及可搭配端点计算机管理软件System Center Configuration Manager、Intune等，但微软计划在2017年初，汇整内部用户威胁监控产品Advanced Threat Analytics，与电子邮件防护Office 365 ATP，企图将这两款产品收集到的情资，供WDATP进行更为精确的分析。

未来的攻击手法可能看起来无害，必须倚赖相关记录拼凑出攻击意图

由于在许多攻击事件中，端点计算机是其中重要的目标，加上这些计算机主要依赖防病毒软件保护，黑客攻击时，便会绕过相关侦测机制，例如，针对目标企业编写专用的攻击工具，防病毒软件便无法直接依据档案特征码判断为恶意软件。

此外，未来的攻击手法会越趋于中性，例如使用系统内建的工具，像是PowerShell，下达像是下载恶意攻击软件的指令；而对外联机的部分，则可能会利用Google Drive、Dropbox等常见的云端空间，因此，企业想要调查中继站与档案来源，将会更加困难。由于无论是这些内建应用程序，还是公有云网域，企业都不太可能直接设定为黑名单，因此非黑即白的过滤措施，也受到严重的挑战。

因此，针对新型态攻击，企业可能必须面临到的，是如何在端点执行处理程序中，找到疑似攻击事件的意图。

在端点防护产品之外，EDR将是企业重要的资安投资。特别是现在攻击工具取得相当容易，有心人士要发动针对性攻击的门坎大幅降低，企业若没有透过EDR自动化找出潜在威胁，并加以反制，取代过往极为费时、以人工判读SIEM记录的作法，很可能会延误处理的时效，也难以找到事件源头，并加以根除。

转载于:https://juejin.im/post/59c36ced5188256c6b582080