“數字經濟”國家戰(zhàn)略之下，數字化轉型升級，疊加新冠疫情及當前國際環(huán)境，傳統(tǒng)終端保護方案無法有效解決未知威脅、高級威脅等定向性攻擊手段，在終端安全管控方面，大型政企面臨著新的困難與挑戰(zhàn)。

企業(yè)終端安全保護面對的困難與挑戰(zhàn)

80%的系統(tǒng)抵御不了80%的風險 

首先，我們可以來看幾組數據——

2019年全球安全廠商披露APT攻擊總報告數量近500起，對比18年增長約10%；2019年統(tǒng)計顯示被勒索病毒攻擊的計算機已連續(xù)兩年超400萬臺以上；數據泄露數量對比18年增長52%，成本在五年內增加了12%，達392萬美元......

事實上，針對通常采用免殺、未知木馬、0day漏洞攻擊等復雜手段的APT攻擊以及勒索病毒攻擊，傳統(tǒng)的防病毒技術難以有效防范，傳統(tǒng)安全產品往往力不從心。企業(yè)信息化安全建設投入逐年增長，各類安全系統(tǒng)逐步上線，但80%的系統(tǒng)依然抵御不了80%的風險。一旦發(fā)生網絡安全事件，政企難以進行及時預警以及威脅處置。

傳統(tǒng)終端保護方案無法抵御當前攻擊手段 

● 無特征攻擊讓傳統(tǒng)防御手段無從下手

傳統(tǒng)的安全防御理念，都是以控制為核心，通過各種網絡安全系統(tǒng)對信息資源進行保護，但從網絡攻擊行為的發(fā)展趨勢來看，“潛伏性”和“持續(xù)性”是現網絡攻擊最顯著的特征，這讓攻擊行為的阻斷越來越困難。0day攻擊、無文件型攻擊和長期潛伏類等不含有具體文件特征的攻擊手段讓傳統(tǒng)防御手段無從下手。

● 警報疲勞導致應急響應周期長

現今隨著安全警報數量不斷增加，安全團隊越來越難以對重要警報做出快速響應。有報告顯示近三分之二的企業(yè)受訪者表示，只有不到10％的警報為有效警報，需要進一步關注。比如一個終端數量達到10w+的大型政企，每天可能會接收到數千條警報信息。運維人員面對大量的非關鍵/錯誤警報，極易陷入“警報疲勞”。并且，大量的非關鍵/錯誤警報導致真實警報被忽略，運維人員將時間浪費在追蹤誤報上，從而錯過了真正的威脅，企業(yè)對威脅事件響應時間無法縮短。

● 單一數據分析造成攻擊威脅溯源困難

傳統(tǒng)單一終端、單一時間段、單一系統(tǒng)的數據分析，無法關聯檢測對照，導致無法完整分析攻擊事件過程。終端保護不僅是防御攻擊，還需要對攻擊威脅進行溯源分析，而溯源分析的價值不在于追捕攻擊者，更大的價值在于發(fā)現未知的新型攻擊行為、針對性采取合適的對策、確定下一步該做什么，優(yōu)化從預防到響應的整個過程。而這對于大型政企來說尤為重要，也是關注的焦點之一。

也正是在這樣的背景下，終端檢測與響應（EDR）開始密集進入大型政企的視線。

EDR端點檢測與響應，是什么？

2013年Gartner提出了ETDR概念，2015年命名為EDR，將端點檢測和響應解決方案定義為“記錄和存儲端點系統(tǒng)級行為的解決方案，使用各種數據分析技術檢測可疑系統(tǒng)行為，提供上下文信息，阻止惡意活動，并提供修復建議以恢復受影響的系統(tǒng)。

EDR主要能力：檢測安全事件、調查安全事件、在端點上遏制安全事件、將端點修復到感染前狀態(tài)。

哪些大型政企更迫切需要EDR？

目前，對EDR項目保持較高關注度的大型政企基本具備以下幾大特征——

● 終端數量多

大型政企涉及終端種類、數量眾多，環(huán)境復雜， 影響面大，對客戶端兼容性、穩(wěn)定性提出了更高的要求。

● 采集數據量大

大型政企終端的全量數據采集不僅采集內容要求全面，采集的數據量大，對數據的傳輸、存儲、分析要求較高。

● 配備強大的安全攻防團隊

大型政企本身具有強大的安全攻防能力和團隊，EDR作為政企攻防體系良好的補充，而不僅僅是標準的情報利用。

● 當前國際環(huán)境下面臨的未知威脅等定向性攻擊風險挑戰(zhàn)明顯增多

大型政企所遭遇的安全攻擊不是傳統(tǒng)威脅情報、病毒情況可發(fā)現的，要求EDR具有較強的基礎能力。

這些大型政企，都亟需構建更強大的EDR系統(tǒng)，保障終端安全。

什么樣的終端檢測與響應(EDR)能成為大型政企首選？

一個可落地、有效果、能持續(xù)為客戶帶來價值的EDR產品應該具備以下能力——

● 記錄（對終端上靜態(tài)信息、動態(tài)行為等內容進行完整記錄）：采集數據的多樣性、采集內容的精準性檢測對抗能力；

● 告警（根據記錄信息匹配風險規(guī)則，快速告警）：外部情報對接、海量數據處理；

● 發(fā)現（基于告警信息和記錄內容發(fā)現明確威脅事件）：自定義專家規(guī)則、主流專家規(guī)則兼容；

● 調查（調查威脅事件發(fā)生原由、安全漏洞及影響面）：實時調查能力、順序調查能力；

● 處置（針對威脅事件影響面終端快速響應處置，針對安全漏洞快速加固）：威脅事件響應能力、安全漏洞加固能力。

聯軟科技通過UniEDR終端檢測與響應系統(tǒng)為大型政企提供威脅檢測和響應處置于一體的終端防御平臺，通過記錄、告警、發(fā)現、調查，處置，最終形成閉環(huán)。高度匹配大型政企項目需求，為用戶構筑強大的風險展示能力、風險檢測能力、威脅響應能力，以及信息處理能力。

聯軟UniEDR是聯軟科技基于Gartner提出EDR概念結合CARTA“持續(xù)自適應風險與信任”安全模型開發(fā)的，用于解決終端高級威脅攻擊、威脅攻擊溯源及協(xié)助企業(yè)持續(xù)化改進的終端安全管控平臺。

產品可通過現有聯軟EPP管控平臺進行擴展，在統(tǒng)一管理平臺統(tǒng)一客戶的基礎上，實現安全能力互補，通過UniEDR系統(tǒng)發(fā)現威脅、處置威脅、分析威脅，聯軟EPP平臺通過威脅追溯分析結果持續(xù)化改進終端安全管理配置，使企業(yè)內部終端安全實現持續(xù)上升完善的趨勢。

聯軟UniEDR通過終端系統(tǒng)級數據進行全面采集，基于ATT&CK框架對終端上的危險行為和入侵行為進行檢測，基于機器學習對終端上的異常行為進行檢測，內置專家規(guī)則和誘餌對惡意行為進行快速判定，同時針對上述威脅進行及時告警，并通過威脅調查工具進行全面取證，通過控制、隔離、刪除等措施進行處置，并對受損終端進行恢復。

聯軟UniEDR專門為大型政企設計

EDR產品在不同規(guī)?？蛻糁械男枨蟛町愋跃薮?。聯軟UniEDR終端檢測與響應系統(tǒng)完美契合大型政企客戶需求，針對大型政企客戶終端數量多、數據量大、當前國際環(huán)境下未知威脅等定向性攻擊風險增多、客戶配備了安全攻防團隊這幾大突出特點，聯軟UniEDR均有技可施！

 ● 針對終端數量多—— 

聯軟具有18年的終端管控經驗，服務國內頂尖金融客戶超過十四年以上，單服務器支持管控終端數量超10W+。

 ● 針對數據量大—— 

數據采集能力至關重要。需要保證“完整記錄”，避免遺漏/錯誤數據導致的誤判、漏判。如果該能力不夠強，前期記錄遺漏了關鍵信息，將導致后續(xù)效果大打折扣甚至收效甚微。

對此，聯軟專為EDR類業(yè)務設計的數據處理引擎，單服務數據處理能遠高于mysql，且可以橫向擴展；數據可以分級存儲，摘要數據上傳，詳細數據保存在終端。并且在硬件，內核，應用3大層級都有采集器，通過對內核和應用層的RPC協(xié)議進行深度解析和破解，全面性采集各類安全數據。

全量數據采集：遠超同行的數據采集能力，支持超18+大類、336+小類及關聯行為采集內容；

按需采集技術：靈活高效的采集規(guī)則，支持超40種采集條件組合，100%兼容Sysmon規(guī)則。

經國內多家頭部客戶測評，聯軟數據采集能力（遙測數據）表現最為優(yōu)異，遠超同行。高質量數據采集，降低漏報誤報率，為客戶構筑更強大的安全情報威脅方面的響應和檢測能力。

 ● 針對客戶配備了安全攻防團隊—— 

多類型專家規(guī)則自由組合，深度發(fā)現威脅事件。支持YARA/McAfee/Braise語法方式，可實現靜態(tài)/動態(tài)/語言等不同維度的自定義方式，不僅滿足復雜專家規(guī)則定義和開源規(guī)則使用，同時可復用大型政企已積累專家規(guī)劃庫。

內置腳本語言，客戶安全專家規(guī)則可編程；開放性接口，可與第三方安全工具/平臺對接；如：迅猛龍、kafka。 

● 更高的ROI：良好的性能占用 

CPU<=2%，內存<=150M

針對每一個類型的數據，分別采用不同的最高效的技術，盡可能在內核級別完成計算，減少內核到應用層的切換。

整體性架構平臺，同一Agent集成準入控制、桌管、防泄密功能，根據企業(yè)需求與業(yè)務發(fā)展快速無縫擴展；1500萬+Agent部署數量，良好的兼容性，系統(tǒng)資源占用更少，大幅節(jié)省終端硬件投入，提升員工使用體驗；與聯軟NDR、CWPP無縫聯動，所有產品基于統(tǒng)一威脅檢測模型實現高效檢測和更加全面的威脅處置。

● 更安全：多終端節(jié)點架構，保障客戶環(huán)境穩(wěn)定 

節(jié)點服務器具備數據緩存能力：可支持定時上報，有效減輕網絡并發(fā)壓力，以及局域網專網出口的壓力；

按需采集技術：根據實際威脅場景的檢測點進行采集內容條件組合，實現高效的數據收集，同時支持數據上報速率自定義，降低對帶寬影響；

內置輕量級數據庫引擎：實現高保真度的分布式存儲，可支持多級存儲模式，終端上傳核心關鍵安全數據，本地保留更豐富的基礎數據，既保證終端數據的完整，也減少了服務端的存儲和網絡帶寬壓力。

● 更快速：基于ATT＆CK攻擊矩陣，快速識別告警安全風險 

以MITER ATT＆CK?為基礎，系統(tǒng)化對威脅檢測策略規(guī)劃，相比傳統(tǒng)依賴已知案例專家規(guī)則，能夠更全面的對威脅進行防御，發(fā)現未知潛在威脅；獨創(chuàng)的高速數據存儲、處理引擎和圖計算模型，大幅提升計算速度，有效提升威脅調查的速度，更早發(fā)現威脅。 

● 更放心：終端數據實時查詢，分鐘級調查取證 

基于威脅線索，對可疑終端進行實時調查。內置60+項單點運維功能，通過Agent接口調用終端實時狀態(tài)和歷史追溯，在不影響用戶辦公情況下實現遠程調查取證工作。并且可以保障緊急時期的快速響應調查。

● 更全面：基于EPP的威脅響應，處置結合修復 

●  更領先：18年終端技術積累和大型項目服務經驗 

聯軟科技在終端安全領域積累了雄厚的技術實力和豐富的大型項目服務經驗。EDR產品必須經過大型客戶聯合打磨和實踐，才能更符合大型政企的需求。聯軟EDR交付團具有豐富的大型EDR項目建設經驗，充分了解把控和規(guī)避項目風險。

聯軟是國內為數不多具有超百億級數據處理能力的安全廠商。同時，十萬點以上終端案例數量，在業(yè)界少有。典型代表客戶包括中興通訊、順豐速運、微眾銀行等。

近20年來，聯軟持續(xù)為15000000+個終端提供保護，具備超千萬終端兼容性適配和調優(yōu)經驗，攜手華為等生態(tài)合作伙伴及700多家代理商，為超過3000家高端行業(yè)客戶構建網絡安全防線。

近日，聯軟科技從眾多激烈的競標對手中脫穎而出，憑借終端檢測與響應（EDR）大型項目建設經驗、強大的技術支持力量，以及高品質的交付保障能力，中標金融科技某頭部企業(yè)的終端檢測與響應（EDR）項目，該項目包括了幾十個成員單位共30萬點的終端管控，聯軟的強勁實力再獲客戶認可！

未來，聯軟科技將繼續(xù)深耕前沿科技，扎實推進創(chuàng)新發(fā)展，為推動政企網絡安全體系建設、加快推進數字化轉型升級提供有力支撐。