【IT168 评论】随着网络安全威胁的爆发式增长，传统的网络安全防御已经难以和全新的网络安全威胁进行正面对抗。对于安全行业来讲，对已知安全威胁的防御已经相当成熟，但对于未知威胁的防范却成了很多企业的一大心病。

　　很多企业在安全威胁防护中都存在几大痛点，那就是可见性和检测性普遍较低，不能及时发现威胁，或者即便是发现威胁并进行了拦截也无法得知病毒来源于哪，还有没有其他影响。也正是基于这些痛点问题，EDR的概念逐渐浮现在大家面前。

　　EDR是什么?

　　EDR是一个简称，其全称为Enter point Detect Response,也就是端点检测和响应。严格来讲这并不是一个新概念，根据安全公司Sophos的销售工程师杨帆介绍，EDR在早些年是一个独立的产品，它和端点防护是分开的两部分。

　　Sophos的销售工程师杨帆

　　根据介绍，EDR主要用于威胁情报的收集，其情报主要是针对端点PC上可疑程序对系统做的所有事情。譬如读取哪些文件，写入哪些文件，有没有修改注册表，以及访问了哪些IP、URL或访问了局域网内的其他哪些机器等。通过对情报的分析来判断程序是否超越了安全的基线。也就是说，EDR并不是用来杀毒，而是用来做监控的。自2014年推出至今，Gartner在每年的大会上罗列的十大安全技术中均能找到EDR技术的身影。

　　可以说EDR技术的应用能够帮助企业用户很好的对安全威胁情报进行收集，以此增强企业安全防护。但一套完善的EDR解决方案并不是每家企业能负担得起的，当EDR产品收集到大量的情报后，需要投入大量水平极高的安全分析人员对情报进行分析，需要付出极高的人员成本，尤其对于中小企业来讲，恐怕是无法承担的。那如何才能让EDR技术真正在企业中得到应用?就在今年，Gartner做出相关预测，Gartner认为2019年的主要安全趋势是防病毒，端点保护和EDR要进行整合，这是业界的一大趋势。

　　Intercept X with EDR又是什么东?

　　作为新一代终端和网络安全厂商，Sophos对网络安全未来发展趋势进行了精准预测，并基于原有的Sophos Intercept X解决方案提供了EDR功能，推出了最新端点解决方案Intercept X with EDR。

　　该方案通过经由数以亿计样本训练的深度学习神经网络，对可疑的恶意编码属性进行搜寻，从而侦测未知安全威胁，并通过比对可疑档案的特征与SophosLabs中已分类的恶意软件样本，为企业提供广泛且专业的潜在攻击分析，使它们能够更迅速的对威胁进行识别及应对。

　　在此之前，只有具备了专业信息安全运营中心 (SOC) 或专业IT安全团队的企业，才能够对网络攻击进行成功追踪及分析，从而对安全事故进行侦查并作出响应。Intercept X with EDR推出后，无论是大型企业还是预算不多的中小型企业，都能够使用Sophos Intercept X with EDR，将威胁追踪和类似信息安全运营中心的功能新增至其防护措施，使安全威胁无法藏匿于企业网络内部而无从察觉。

　　IT主管现仅需一键即可获取SophosLabs提供的威胁情报，以及可疑事故偵查指引和跟进行动建议。SophosLabs為全面掌握威胁发展动向，每天追踪、解构及分析400,000宗独特且前所未见的恶意软件攻击，持续搜寻创新的攻击模式与网络犯罪技术。IT主管們的技术水平即使各有不同，他们全部皆可透过SophosLabs轻易获取第一手的法证数据，以实时确定辖下系统是否受到攻击，而相关攻击又属何种类形。

　　打开中小企业EDR市场

　　前文我们也提到，EDR并不是一个新的概念，但近年来各大安全厂商对EDR技术的应用确实得到了爆发式增长，那相比市面上其他友商的EDR产品相比，Sophos的优势又体现在哪些方面呢?对此杨帆进行了相关介绍：

　　●首先是基因方面的优势，Sophos无论是在软件还是硬件方面都有着相当全面的技术积累，在未来的发展过程中，通过这些软硬件方面的优势，能够更快地去收集到更多的情报，譬如AP、防火墙等这些网络设备获取的情报都可以进行海量收集，并统一收集到EDR产品中进行分析。

　　●其次，Sophos的EDR产品是基于Sophos Intercept X推出，Sophos Intercept X作为机器学习的组件，能够和传统的防病毒引擎同时工作，也就是说Sophos的终端防毒有两个引擎(传统的基于特征库匹配的杀毒引擎，以及基于机器学习的用于专门抵御未知威胁的引擎)。通过两个引擎的筛选能够帮助过滤掉肯定没有问题的情报，从而大大降低管理人员的工作强度，在提高效率的同时也节省了大量的人工成本。

　　●最后，在操控方面，Sophos的操控界面十分简单直观，管理人员不需要具备太专业的技术知识就能够进行相关操控。杨帆表示，Sophos的EDR产品的目标就是让企业花更少的投入拥有更简单易用的EDR产品。

　　写在最后

　　EDR产品自问世以来就得到了业界的肯定和追捧，但由于使用成本过高使不少中小企业望而却步，Sophos Intercept X with EDR解决方案的推出可以说在保证产品性能的前提下完美解决了EDR的使用成本问题，对于中小企业来讲是一大福音。我们也相信，随着技术的不断演进，未来EDR技术将会更加趋于成熟，更加简单易用!