终端安全

前序：

国内杀毒软件的发展史大体经过五个阶段：1）1989-90年代中期简单特征码杀毒引擎；2）90年代中期-1998年广谱特征码技术；3）1998-2007年启发式杀毒引擎；4）2008-2010年云查杀引擎；5）2010-至今人工智能杀毒引擎。

1）1989-90年代中期简单特征码杀毒引擎

第一代反病毒引擎-检验法，只能判断系统是否被病毒感染，通常是比对恶意文件的哈希值，但不具备病毒清除能力。检验法产生了真正的反病毒技术王者-特征码技术，特征码技术至今仍是反病毒软件的主要技术。

2）90年代中期-1998年广谱特征码技术

广谱特征码技术是江民公司首创，江民也是依靠该技术名震一时。广谱特征码是一类病毒程序中通用的特征字符串，起初广谱特征码技术可以有效查杀一类病毒包括变形病毒，但是随着正规应用的发展已经新病毒的不断出现，该技术误报率大大增多，已不能有效查杀新病毒。

3）1998-2007年启发式杀毒引擎

 特征码技术的病毒比对、实时查杀能力至今仍是杀毒引擎赖以存活的基本能力。其缺陷是特征码要读进内存，且只能查杀已知病毒，缺乏对未知病毒处置能力，病毒变种呈指数级增长，促使需要新的检测技术出现，因此基于行为（动态分析）、文件结构分析（静态分析）、较少依赖特征库的查杀未知木马病毒的新技术-启发式杀毒引擎应运而生。启发式监测是总结病毒入侵主机后的一系列共性行为为恶意行为。

在2007年，瑞星指出黑客利用加壳等技术“产业化、自动化生产病毒”；金山指出病毒/木马高速出新，病毒“工业化”入侵特征明显；江民指出病毒开始可以隐藏自身，以逃避杀毒软件查杀。因此，传统杀毒软件不再有效。

4）2008-2010年云查杀引擎

随着互联网发展及网络攻击不断推陈出新，以灰鸽子、熊猫烧香等网络病毒开始泛滥，正式揭开了病毒网络化发展的序幕，云安全概念也在此时出现，首先执牛耳者是趋势科技，全球首推云安全体系，随后瑞星跟随，成为国内第一家云安全体系的缔造者。尽管瑞星、金山都拥有云安全体系，360很快追赶上来，成为世界最大云安全体系厂商，而此时江民已然衰落，腾讯才开始起步，百度还没踏足安全领域。

5）2010-至今人工智能杀毒引擎

2010年，360向世界发布第七代反病毒引擎QVM（Qihoo Support Vector），首次将机器学习理论应用于病毒识别。从而开启了使用机器学习和人工智能技术实现病毒检测和查杀的终端安全时代。

 正文：

当前终端安全概念包括传统杀毒antivirus、云工作负载保护平台CWPP、端点防护平台EPP、终端安全检测和响应平台EDR以及基于主机的入侵检测系统HIDS。

1. 传统杀毒antivirus集中于病毒的哈希比对、特征码匹配以及启发式杀毒。起初的病毒哈希比对需要建立病毒哈希库，简单快捷，但是不能检测未知病毒样本。特征码匹配使用静态扫描技术，扫描对象与病毒特征码一致，则判断为病毒。启发式杀毒是通过检查程序代码指令中可疑属性来检测病毒的方法。

2. HIDS侧重于基于主机的检测，集中于真实攻击者入侵主机后可能在系统层面做的恶意行为，比如可疑命令、异常登录、反弹shell、上传webshell等。

3. CWPP（Gartner2017年提出【参考：https://www.gartner.com/smarterwithgartner/gartner-top-technologies-for-security-in-2017】）是一种云工作负载安全防护的解决方案。按照Gartner的说法，数据中心支持的工作负载可以运行在不同的地方，如物理机、虚拟机、容器、私有云和公有云。云工作负载防护平台提供单一的管理控制台和单一的方式来表示安全策略，而不管工作负载在哪里运行。而事实上，云工作负载主要指虚机和容器，因此CWPP主要是虚机和容器安全防护产品和解决方案，而虚机和容器安全防护又会涉及主机安全和网络安全，因此CWPP不单单指端点安全。在Gartner 2020年的CWPP市场指南中又把CWPP的技术方向细分了几十个，CWPP主要防护目标是服务器的工作负载，CWPP与EPP出现分离，EPP解决PC维度的安全防护，CWPP解决数据中心维度的安全防护，而且CWPP强调混合数据中心架构的统一管理，与云平台原生对接。

4. EPP（Gartner2017年提出【参考：https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2017】）是一种部署在终端设备上的解决方案，防御基于文件的恶意软件攻击，检测恶意活动，并且提供响应动态安全事件和警报所需的调查和补救能力。EPP的检测能力各有不同，但是高级的解决方案会使用多种检测技术，从静态IOC到行为分析。理想的EPP解决方案主要是云管理的，允许持续监控和活动数据收集，并具备远程补救措施的能力，无论终端在企业网络还是非办公网络。此外，理想的EPP是云数据辅助的，意味着终端agent不必维护所有已知IOC的本地数据库，仅依靠检查云资源找到无法分类的对象的最新判断。EPP是一种集成解决方案，EPP包含的功能主要有以下几种：

• 反恶意软件（anti-malware）
• 个人防火墙
• 端口和设备控制
• 漏洞评估
• 应用程序控制和应用程序沙箱
• 企业活动管理（Enterprise mobility management (EMM)）
• 内存防护
• EDR
• 数据防护如全磁盘和文件加密
• 终端数据丢失防护（DLP）

反病毒的启发式监控结合威胁情报信息提升了EPP的反病毒能力，但从技术上讲都是被动防御能力的叠加，当针对性强，持续时间久，威胁程度高的APT攻击增多，被动防御已不能满足安全需求，因此出现了EDR技术。

5. EDR（Gartner2014年提出【参考：https://www.information-age.com/gartners-top-10-security-technologies-2014-123458169/】）是一种终端安全的解决方案，记录和存储终端系统层行为，使用各种数据分析技术检测可疑系统行为，提供上下文信息，封堵恶意活动，并提供修复建议以恢复受感染系统。EDR解决方案必须具备四种功能：1）检测安全事件，对终端的持续监控；2）在终端遏制威胁事件，以威胁事件为起点实现自动根因分析；3）调查安全事件，高级关联分析应对针对性和复杂性攻击；4）提供修复指导，主动发现和追踪存在的威胁，在威胁产生影响指出做出响应。EDR在2014年就进入Gartner Top10技术，各个EPP厂商融入了EDR能力，目前基于云的EDR部署方式成为主流，基于云的EDR部署能减轻PC端的性能消耗压力，将计算、分析整合到云上，云数据集中加上机器学习和AI的加持增强了检测分析能力。

EDR将企业的终端安全分为预防、防御、检测和响应四个阶段：

• 预防：和传统EPP相比，加入了前期资产识别、脆弱性检查、漏洞管理、补丁管理、基线检查、流量可视、USB管控等功能预防病毒或攻击行为的渗透；
• 防护：防护阶段一般还包括勒索诱捕、进程黑白名单、沙箱、自动隔离恶意文件的能力；

• 检测：指的是持续检测，开始强调基于人工智能和行为分析的检测引擎，利用机器学习从海量的病毒样本中学习其中的基因特征，从而在未知病毒的发现上获得显著效果；此外还会包括违规外连监控、暴力破解、webshell检测、流行病毒快速检测框架。

• 响应：一旦在某主机上发现恶意文件，必须形成安全闭环及时响应处置，在此阶段，安全厂商融入SDP（Software defined Perimeter）东西向流量管控、宏病毒修复、进程溯源、终端围剿查杀、安全产品联动等。

 EDR的厂商很多，入选Gartner前20的有：

分析：

1. EPP与EDR的区别

包括EPP在内的传统终端安全解决方案以防御威胁为出发点，被动检测和拦截攻击，对威胁来源、运行过程、产生的影响无法做到监控和记录，而且产生的告警信息数量庞大缺乏相互关联，导致缺乏对整个安全威胁事件的可见性和可控性。因此传统终端安全解决方案存在的问题是1）难以应对复杂针对性攻击如APT攻击，告警需要人工分析和挖掘；2）难以威胁溯源，只有告警，缺乏终端持续监控，难以定位威胁来源；3）应急响应周期长，告警数量庞大，告警间独立，缺乏关联，难以及时正确响应和处理。

EDR一个重要功能是威胁追踪（threat hunting），EDR会记录大量终端网络事件，将这些数据保存本地或上传数据中心，使用已知威胁情报、行为分析、机器学习技术发现威胁行为或者新型攻击迹象，而不是依赖已知威胁签名。EDR的威胁追踪功能是区别EPP的重要特征。EPP依赖存储的模式和签名文件阻止已知威胁，对未知威胁难以解决，EDR的主要目标是主动检测新的或未知威胁。EPP属于“阻断”层次产品，类似于IPS，而EDR属于“检测”+“响应”层次产品。

简单总结一下：

• EDR不是防病毒软件，EDR本身不能杀毒，需要与EPP产品结合
• EDR是单独产品，但目前有厂商推出EPP结合EDR
• EDR与EPP主要区别在“沙盒”和“威胁追踪” 

2. CWPP与EDR的区别

EDR从EPP脱胎出来，核心在于深入的行为分析和系统响应，利用对系统行为的建模和数据分析来发现攻击。CWPP也可以认为是从EPP分化出来，CWPP针对云工作负载虚机或者容器，因而EDR面向终端安全，CWPP面向服务器和工作负载安全。