终端威胁的现状

在早期，黑客入侵都是属于个人爱好、技术钻研类，这些基本属于个人作战。通过这些年的发展，趋于利益的原因，现今社会存在的威胁基本都是来自有组织有预谋的团体。

传统的终端的静态防御技术基本依靠已知样本来识别恶意文件、URL等相关信息，主要针对样本静态代码特征进行对比分析，同时依靠特征库的更新来发现较新的恶意威胁。但是随着攻击的进化，攻击者们使用不同的技术来逃避传统的检测和防御，同时每天新增大量的恶意样本，已经突破百万级别，这种检测手段显得力不从心。

且威胁的复杂性和多样性都有显著的变化和提升，短短的几年时间，恶意威胁就由原来的盲目、直接、粗暴的恶意攻击手段转变为有目标、精确、持久隐藏的高级威胁所取代。

同时现在高级威胁也并非像原来的单一的威胁事件，它们会依照安排好的多个阶段进行有条不紊的开展，预估好每一步骤，通过侦测、武器化、传输、漏洞利用、植入渗透、C&C、窃取这些步骤达到最终的目的，并可在短时间内造成用户的惨重损失。但是要发现、解决则需要几周或数月的时间，传统的安全解决方案的无法有效的解决高级威胁的问题。

信息技术高速发展的当今，对终端的定义不再仅仅是Windows操作系统的计算机，当提及终端的时候，指的可能是任何类型的机器，包括：笔记本电脑、台式机、服务器、移动设备、嵌入式设备，SCADA系统，甚至IoT设备，面对缤纷杂乱的终端，很难以统一的方式保护他们免受从复杂的攻击。

随着攻击方式的进一步发展，攻击者开始逐渐从利用样本转为利用漏洞。漏洞可以承载在文档、PDF或者网页当中，通过鱼叉、水坑等方式针对性攻击少数人群，攻击开始呈现出针对性和隐蔽性。在攻击者获取到了内部的控制权之后，往往通过各种手段实现长期驻留，这些驻留的样本成为了来自组织内部的威胁，长期挥之不去。从攻击者角度来说，其集团化运作、组织化运作的趋势也越来越显现，开始出现了产业分工，甚至出现了“攻击即服务”的模式。这种新的攻击环境下，我们就需要第三代的，也就是新时代的终端安全体系来保护组织的安全。

新一代终端解决方案——网蝎EDR系统

EDR是一种为了提高安全监测，威胁检测及应急响应能力而出现的工具或解决方案，它有如下四个特征：

1.针对于高级威胁事件，在其发生前、发生中、发生后进行对应的安全检测和响应动作。

2.安全事件发生前需要实时针对终端安全数据进行采集，便于以后利用收集的终端上下文信息来跟踪检测到的威胁的根源。

3.安全事件发生时，结合威胁情报，形成对终端安全的感知，发现潜在的安全威胁并对安全风险进行预警。评估安全事件影响范围，自动化的快速处置，减轻事件对企业带来的损失。

4.安全事件发生后，通过将已存储的终端数据，溯源、追踪事件引入终端，还原事件发生过程，对终端防御体系不足部分进行修复、取证。

EDR工具能够记录终端和网络上详细的事件信息，并将这些信息集中存储，然后进行深度检测、分析、研究和告警。EDR工具能够持续不断地分析数据以尽早发现正在进行的攻击威胁，并更快地对发现的攻击采取相应适度的处理。

网蝎终端侦测与响应系统（简称“网蝎EDR系统”）完全满足如上四个特征，是面向政府、企业、金融、军队、医疗、教育、制造业等大型企事业单位推出的下一代终端安全解决方案，可以实现对已知和未知威胁的检测和实时报警，通过终端行为的深度可见性以及上下文分析，能够快速理解攻击手段并采取有效的威胁响应方案，最终实现针对被攻击主机的多级防护，保障用户数据的安全。

网蝎EDR系统基于机器学习和关联分析技术，对网络行为和主机行为进行综合分析，能够发现绕过防火墙和传统安全软件的高级威胁。网蝎EDR系统内置多个由业内资深安全专家整理的攻击模型，用于识别潜在的攻击和恶意行为。无论是在内网中长期潜伏还是试图入侵，都可以被分析平台有效识别。

网蝎EDR防御系统具备大数据机器学习能力，在已有攻击检测模型的攻击指标检测的基础上，充分利用海量的数据，能够发现未知和潜在的攻击行为，同时具备对攻击事件智能回溯的能力。

网蝎EDR系统能够对系统遭受的攻击进行深度解析，可以解析出攻击者的信息、攻击事件的细节始末，以及所造成的危害等，把繁杂冗余的攻击信息以时间线的形式完整展现出来，让用户一目了然。

用户收益

• 强有力的服务支持

凭借先进的技术，可以帮助用户直观的了解到目前信息业务系统安全现状，为后续的安全工作提供有力支撑。

• 已知/未知隐患监测

依托大数据平台的分析理念，可以准确掌握已知及未知威胁的行为动向，同时评估信息系统的威胁系数，针对发现的安全隐患获得有效的处理方案。

• 威胁事件智能回溯

对各类安全事件和日志信息进行存储和备份，依托平台突出的关联分析能力，对威胁事件进行整体回溯，使安全事件有据可查，可作为安全评测的原始依据。

• 清楚安全态势

客户可以及时全面了解目前网络系统的安全态势，降低安全风险，保障自身业务的可持续性。

• 整体全面防护

凭借一体化的服务理念，可以帮助客户建立一套属于自身的一体化信息安全防护体系。

用户类型	使用EDR的收益
安全运维人员	• 自动智能快速检测和发现攻击； • 连续数据收集+ • 覆盖所有端点+ • 自动智能和模式匹配 • 减少阻止攻击和修复漏洞的时间
安全分析师和事件响应者	• 大数据分析可以快速将事实相关联并识别大量数据中的模式隐藏 • 一个强大的分析引擎来分类恶意活动，并评估每次攻击的实际和潜在影响。 • 影响分数集中在最危险的活动上。
首席信息安全官	• 提高SOC员工和事件响应者的生产力和有效性 • 最大限度地减少客户和个人信息，知识产权和其他信息的丢失 • 避免数据泄露和通知成本

可以说，网蝎终端侦测与响应系统（EDR）已经在终端这块信息安全主战场上，领先安全威胁一步，占尽先机。