2013年，Gartner首次提出了终端威胁检测与响应(Endpoint Detection & Response，EDR)的概念。EDR是一种记录和存储端点系统等级行为的解决方案，并且通过多种数据分析技术检测可疑的系统行为，提供关联信息，从而阻断恶意行为并为受影响系统提供修复建议。

然而，有些国内安全厂商会将杀毒软件包装成EDR，这使得用户难以区分两者之间的差异，错以为EDR就是高级版的杀毒软件，严重扰乱终端安全市场。实际上，杀毒软件和EDR在防御方式、功能和技术路线上有明显的区别。在防御方式上，杀毒软件是一种被动防御工具，而EDR则是一种主动防御工具。

在功能上，杀毒软件通过识别已知的恶意文件，阻止其感染系统。EDR无法查杀恶意文件，但它能发现绕过杀毒的恶意文件行为。EDR不能做到在恶意行为执行前就提前防护，但它能在一个攻击事件中检测到攻击者的攻击动作，帮助在攻击中进行快速响应。

此外，EDR也不是桌面管理，无法管控员工的软件、网络访问和外设的使用，但它能发现由于员工不合规操作带来的安全威胁。EDR不能零信任和准入，无法验证身份并实现接入控制，但它能作为持续的终端安全验证引擎，增强零信任的策略控制。EDR不能做到完全自动化，但它能提高日常安全运营效率。

在技术路线上，EDR也不同于传统的杀毒软件。杀毒软件具备的关键能力包括病毒识别、实时监控和防御、系统资源占用控制、自我保护和反卸载等。而EDR解决方案需要具备四个关键能力：检测安全事件、遏制威胁、调查安全事件、提供修复指导。这些能力使得EDR能够更加全面地应对终端威胁。

▲Gartner：EDR的定义和典型场景

与传统的终端安全相比，EDR带来了一些本质的变化。第一是计算方式的变化，从PC端转移到服务端。第二个是安全运营的变化，从防御转为检测与响应。总的来看，EDR技术的出现使得终端安全得到显著提升，有效应对各类终端威胁，保护企业业务的连续性，降低运维成本和复杂性，提高安全性和隐私保护。

EDR产品能力与技术挑战分析

EDR作为传统安全防护产品的重要补充，凭借其对终端安全信息的持续监测与分析，受到全球技术提供商及买家的广泛关注。据Mordor Intelligence预测，2025年EDR市场规模将达到42.35亿美元，年复合增长率为22.97%。这意味着EDR将成为终端安全市场规模持续增长的重要驱动力。

随着网络攻击和恶意软件的日益增多，企业对终端安全的需求也越来越高，越来越多的企业开始采用EDR产品来提升自身的终端安全能力。选型时，企业需要根据自身需求和实际情况进行综合评估，考虑EDR产品的多个关键能力，包括行为采集、威胁检测、溯源分析、事件响应。

具体而言，行为采集包括采集事件的类型、采集技术的种类，以及采集带来的网络带宽压力;威胁检测包含检测的准确度和覆盖度;溯源分析包括溯源到进程的源头、执行的源头和事件的源头;事件响应涉及响应动作的丰富性，可进一步调查到事件源头。

在行为采集方面，采集是后续检测、分析能力的重要基础。一方面，从事件采集的类型来看，只靠基础行为事件是远远不够的，要随攻防不断调整事件采集类型。另一方面，从采集采用的技术来看，单纯基于ETW、API Hook技术会带来不稳定、丢失、绕过多种风险。最后，网络带宽压力是极大限制EDR应用的重要因素，特别是在网络带宽受限的环境。

威胁检测的技术挑战包括两个方面，检测的覆盖度考验的是对攻防和实战的深度认知和持续跟进;检测的准确度是EDR检测中最难的部分，是流量检测中不曾遇到的挑战。

▲微步技术合伙人 黄雅芳

黄雅芳认为，“在溯源分析方面，一般来说溯源到进程源头和执行源头还比较容易，而溯源到事件源头，涉及到跨机器间的执行链的关联却是一个非常难的课题。”在事件响应方面，响应动作不是简单的隔离机器和进程，面对复杂威胁，通常还需要进一步调查取证。

微步OneSEC有效应对新型高级威胁

成立于2015年的微步在线，是数字时代网络安全技术创新型企业，以守护数字世界的安全为使命，致力于成为全球顶 级的能力型网络安全公司。黄雅芳表示，“对于微步而言，我们并不想做整个终端安全市场，而是想要覆盖其中的EDR领域，用更强的能力去补齐杀毒软件的部分客户。”

作为一款专业的EDR产品，OneSEC可有效应对僵木蠕常见网络威胁和钓鱼、勒索、挖矿与APT等新型威胁攻击，并提供了SaaS和本地化两种部署模式，实现政企办公网络从风险发现、事前预防、事中检测响应、事后溯源处置的一体化安全闭环。OneSEC具备以下技术优势：

• 更全面的终端事件采集能力

一方面，除了采集基础的事件之外，OneSEC还可以采集凭借窃取、横向移动、自启位置等行为事件。另一方面，OneSEC组合运用关联器、快照分析、智能过滤等采集技术，具备更强的采集能力。

• 更全面的威胁检测能力

在服务端，OneSEC提供非常全面的威胁检测技术，基于各种最新的、花样繁多的威胁情报IoC、百亿hash云查、僵木蠕IoA和图检测规则，调用云端算力，进行大数据分析和筛查。黄雅芳强调到，“威胁情报是微步的看家能力之一，可以做到百万级别、秒级更新，准确率高达99.9%，让各种高级威胁难以遁形。”

• 更完善的溯源和响应能力

在溯源上，传统的安全产品只能做到中间进程链的追溯，而OneSEC具备追溯到执行源头的串链能力，能够把左右两边的链条补齐。同时，OneSEC提供序列化、智能化、自动化的响应能力，而且响应体系在不断更新迭代。

OneSEC的背后，有更专业的团队在云端及时分析和响应。据黄雅芳介绍，“微步拥有一支由一线运营专家、样本分析专家、hunting专家组成的专业安全服务团队，在云端实时帮助客户进行人工研判、处置特殊的事件和威胁。”

▲追溯到执行源头的串链能力

• SaaS化灵活的部署模式

对于支持SaaS化部署的客户来说，微步OneSEC提供更低的成本+更好的效果+更强的服务+更低的风险。黄雅芳指出，“OneSEC并不会传输敏感数据，且云端有充分的安全保障机制，云化后带来更强、更及时的能力，以及更低的成本。当前测试的超过5000点的超大规模的金融企业都选择了SaaS模式，说明客户对SaaS的认可和接受度在不断提升。”

写在最后

如今，微步OneSEC可以满足新型威胁防护、攻防演练、混合办公、APT防护四大场景需求，已广泛应用于证券、银行、基金期货、央企、物流、互联网等行业领域。未来，微步将继续专注技术的锤炼，不断推出更具创新性的前沿产品，为数字时代的发展保驾护航。