从EDR的火热看安全产品的发展

从EDR的火热看安全产品的发展

2021年4月8日23:13

当开始写这篇博客时，外面正是护网进行得如火如荼的时候。作为一个产品经理，在吃瓜的同时，也在思考着安全产品的发展。这几年一些看得到的变化在深刻地影响着安全市场的发展，各种检测技术的火热就是其中之一。EDR、NDR、甚至XDR，开始大量的应用。大到咨询机构的行业洞见，小到用户的使用感言，都让人热血沸腾忍不住想要干点什么。同时也让人产生疑问，凭什么EDR这么火？

先说出结论：检测响应技术的流行，代表着安全防护关口前移，攻防研判代替运维管理成为安全团队的首要职责。

安全防护的滞后性

要完全回答这个问题，或许我们得先往前看。时间回退几年，大家还在比拼特征库、规则库数量的时候。安全事故是如何处理的？

首先新的攻击手段或新的病毒出现。市面上的安全设备大部分都是失灵的，因为已有的规则库肯定无法对其进行检测。首批受害者遭受损失，开始要求安全服务商接入。安全厂商的一线人员介入后，获取攻击的样本，并实施一些简单的缓解措施，防止事件进一步恶化。安全厂商的分析人员通过一系列的工具对一线传回的样本进行分析，确定其危害。然后编写出对应的防护规则，更新到安全设备中以实现对新型攻击的防护。一线人员更新特征后，再彻底清除受害客户环境中心残留的痕迹、恢复业务。

这里简化了流程，入侵过程和威胁分析的过程可以拆分出更多的步骤。入侵过程可以参考kill chain模型、威胁分析可以参考威胁捕猎环。

这一模式的问题很明显：

1、通常在业务本身出现异常之前，很多管理员无法感知到当前系统是否已经被入侵。甚至可能入侵已经结束，用户还浑然不知。

2、从第一批受害者出现，到一般用户具备防护能力。这一过程通常长达数天（用户发现、到安全分析人员制作查杀工具、更新规则都需要时间），这数天的时间内会不断地有受害者出现。也正是在这个过程中，用户失去对安全设备和厂商的信任。

3、即便事后恢复了业务的正常运行，但是安全事故给用户业务中断、数据丢失的损失已经无法挽回。

在这个阶段，除了部分凤毛麟角的企业，大部分企业都没有自己的安全分析团队，只能依靠厂商的设备才能实现基础的防护。厂商之间只能比拼谁家的特征库更全面，更新速度快，出事概率低。

那为何这种方法开始变得行不通？

1、业务中断的损失已经变得越来越难接受。相比以前各个企业只有一两个门户网站。数字经济的发展，让非常多企业将业务搬到了互联网上，业务中断的风险对于用户来说变得不可接受。核心数据受损，可能直接摧毁一个小型的互联网企业。谁也不希望当新型攻击的首批受害者。

2、为了尽最大可能保障业务安全，需要上大量的防护手段。厂商们为了在能力的比拼中获得优势，也开始越来越深入多底层应用。导致的问题就是，安全设备对业务的运行稳定性影响越来越大。防护手段越多，网络、系统、应用层面受到的限制就越多，一旦业务与防护手段冲突，可能导致网络访问异常、系统不兼容。然后付出数天的时间定位问题，确认问题后再花费数周进行修复和升级。以至于业务团队往往非常抗拒，安全团队左右为难。

3、这几年护网的进行极大地改变了安全建设的模式，安全产品也从“有”向“用”转换。每年的通报和总结让用户的高层开始更为重视网络安全的建设。满足护网要求也成了很多企业建设网络安全的源动力。

检测响应技术的胜出之道

所以破局之道在于安全关口前移。原本安全厂家后端的分析人员的工作，前移到了一线的安全服务人员。以EDR为例：从名字可以看出，终端检测和响应。检测：用于发现主机上各种异常的指标（包含服务、进程、关键文件修改、命令执行、网络访问等）。响应：对异常行为中被认为是恶意的部分进行干预。

通过EDR、NDR在终端和网络上实时监控各种异常行为，在业务受到影响之前，提前检测到入侵者的行为。例如：进程的创建、漏洞利用、异常的网络访问。这样安全调查分析的时间点大大提前，无需等到安全厂家一线、二线介入。有经验的一线分析者看到各种指标就能判断出是否这是否恶意行为，以及入侵者的意图。

在确定面对的是恶意的攻击行为时，就可以展开处置行动了。相比传统模式需要等安全厂家更新规则库或特征库而言。响应操作可以直接在现场进行，通过封堵IP、访问控制、进程阻断、恶意文件隔离等简单的操作，即可完成大部分安全事件的缓解。后续人工可以进一步执行根除、重建的修复。

这么做优缺点都非常明显。首先优点：

1、关口前移，检防并重。相比单纯使用特征库进行精准的防护。重检测和响应的思路，可以将不那么确定的灰度事件全部暴露出来，允许一线人员基于这些信息判断这些行为是否恶意。虽然无法像专业的安全分析人员那么深入的分析和还原。但对于一线服务人员来说只要能区分善恶，以便进一步处置就足以满足需求。一线人员从而具备未知威胁、新型特征的威胁的发现能力。

2、事件响应时间大大缩短。一线人员加上各种工具，在现场环境中基于安全事件上下文的数据直接进行分析研判和响应处置，省去了中间各个环节，大大节省了事件处置的时间。各厂家宣传的提升时间处理优势就在此了。

3、对于业务的侵占减少。检测技术相比在业务上叠加多种防护模块，对业务的限制更小，对业务稳定性的影响也更小，对于业务也更友好。

缺点：

1、安全团队需要处理的问题显著增多。入侵者大都善于隐藏自己的行为，这导致各种终端、网络检测产品对于大量无法确定的灰色事件，都会产生告警信息。传统模式下特征库精确匹配的才会告警，而现在检测技术产生的数据可能是之前的十倍以上。

2、一线人员需要具备分析和溯源能力。一线人员需要学习使用whois、沙箱、SIEM、MITRE ATT&CK等分析工具对检测设备抛出的各种异常数据进行分析，从而决定下一步的行动。并且部分行为的分析还需要对受影响业务系统的流程和行为有足够的了解才能正确判断。

现有的安全产品也会使用各种技术，尽量降低使用门槛、减少误报。比如，在检测阶段使用机器学习的方式，增强对灰色事件的判断能力。关联告警数据，减少告警数量。集成威胁情报和常用分析工具，自动化地富化告警信息。这个过程中衍生出SOAR、XDR等产品。但即便这样检测响应技术依旧对使用者有着较高的技能要求。

各种DR之后将是什么？

EDR、XDR火了之后，下一个快速发展的领域是什么？不妨顺着当前思路畅想一下：

1、用户自建安全团队。相比现在安全团队而言，未来的安全团队对安全事件分析、溯源能力要求更高，能够使用各种工具尽可能完整、准确地分析出入侵者的攻击链。在长期的对抗中，安全团队能够更加深入地了解入侵者。甚至能够协助公安反制攻击行为。

2、用户安全团队具备整合能力，熟练掌握编程语言，通过系统开发将多个厂家不同维度的检测产品集成在一起。结合不同产品的优劣势，优化它们在自身环境中的检测表现。

3、安全团队的地位发生变化。业务负责人无法承受业务损失带来的风险，将主动请求内部防护团队的协助。安全团队成为内部风控部门。

4、安全产品的检测能力和防护能力会并举发展，但是防护功能的设计思路将有较大的转变。过于“笨重”的防护模块将被舍弃，一些简单互通的指令将成为各个系统之间交互方案。

5、安全产品内部将内置各种工具，包括信息的富化、行为验证、临时数据管理、脱敏等。

6、部分安全产品将进入响应之后的恢复领域，提供自动化的配置修补、报告生成、情报共享、数据和业务的恢复等。

7、托管服务有极大的空间。上面这几条要求，不是每个企业都有财力和能力建设完整的体系和团队。托管服务对很多中小型企业都是最优的选择。云计算深远地改变了IT。云服务也将深远地改变安全。依托于云服务的远程安全托管，蕴含着巨大的机会，并将诞生新的市场领导者。这也是为什么gartner等机构判断安全服务增速快于产品增速的原因。