明明已部署 EDR，服务器为什么还是被入侵了？

昨天，笔者接到了一条后台留言：“明明已经安装了 EDR 产品，服务器为什么还是被入侵呢？”答案其实很简单，因为 EDR 并不是专门用来保护主机安全的。关于这一点，几个位置笔者在之前的文章中谈过在主机安全领域的鄙视链 CWPP → EDR → EPP → 杀毒软件（又是一条赤裸裸的鄙视链）。

在介绍 EDR 和 CWPP 两个产品概念之前，先来简单说明主机、服务器、终端概念：

主机 VS 服务器。主机是一个统称，所有服务器（虚拟机）都是主机，但并非所有主机都是服务器，也就是服务器⫋主机。主机和服务器的主要差别在于，主机是连接到网络的计算机或其他设备，而服务器是提供服务的软件或硬件设备，日常所说的服务器一般是指提供服务的主机。由此可见，主机安全并不是一个产品，而是对应一个需要被保护的位置，主机安全即主机侧的安全保护。

终端 VS 服务器。终端和服务器是两类东西。这里的终端指桌面电脑、笔记本、个人设备等用于访问网络、数据和应用的设备，而服务器则是提供服务、存储、计算的设备。当然，某种程度上来说，广义上的终端概念也可以包括服务器，但常规意义的终端不包括服务器。

EDR 与 CWPP 的定义及区别

简单来说，EDR（Endpoint Detection & Response，终端检测和响应）作用于 PC 这样的常规终端，而 CWPP（Cloud Workload Protection Platforms，云工作负载保护平台）作用于服务器端。可能有人会说，EDR 产品的 Agent 也能部署进服务器里面呀？这个问题没有错，但这么做相当于把汽车的发动机引擎装进飞机里面，装倒是装进去了，但问题是飞得起来吗？

网络安全是一个专业、细分品类非常多的领域，需要不同的安全产品各司其职来完成对应的安全保护。在安全的需求上，PC 类的终端侧与主机侧的安全诉求差别很大。所以，面向终端的 EDR 产品与面向服务器/工作负载的主机安全产品 CWPP，这两者之间有本质的区别，并不能混为一谈。主机侧的安全产品实现不了终端侧的安全防护，EDR 也不能实现 CWPP 的防护效果。

终端侧与主机侧具体的安全需求场景对比如下表所示：

表 1  终端侧与主机侧的安全需求对比

很多人会误认为装了 EDR 就等于实现了主机位置的安全防护，这种观点与市场上安全产品的分类混乱有一定关系，部分安全厂商为了扩大 EDR 产品的适用范围，在对产品进行简单整改之后，便对外宣称其 EDR 产品能够解决“PC+主机”两侧的安全问题，致使很多人误以为 EDR 本来就是能够同时覆盖 PC 侧与主机侧的统一解决方案。而事实上，根据 Gartner 对 EDR 的定义，国内绝大多数所谓的 EDR 产品连真正的 EDR 都算不上，基本都是 EPP（Endpoint Protection Platforms，终端保护平台）或 AV（Anti Virus，反病毒软件）换了皮肤，连常规的终端检测都没做好，更谈不上服务器侧的安全问题。

EDR 究竟是什么？

根据 Gartner 的定义，EDR 是一种集成的终端安全解决方案，它将终端数据的实时连续监控和收集与基于规则的自动响应和分析功能相结合。该术语由 Gartner 的 Anton Chuvakin 提出，用于描述新兴的安全系统，用于检测和调查终端上的可疑活动，采用高度自动化使安全团队能够快速识别和响应威胁。

EDR 安全系统的主要功能是：

• 监控并从终端收集表明可能存在威胁的活动数据；

• 分析这些数据以识别威胁模式；

• 自动响应已识别的威胁以消除或遏制它们，并通知安全人员；

• 取证和分析工具，用于研究已识别的威胁并搜索可疑活动。

什么才是 CWPP？

Gartner 在 CWPP 的定义中特别强调了 workload 是指虚拟机、容器、无服务器上的工作负载。

在 Gartner 研究的技术体系中，EDR 和 CWPP 是不同的技术品类。在主机安全这个位置上，CWPP 拥有 EDR 不可替代的价值：

• 细粒度的资产清点，管控不合规的软件供应链；

• 漏洞、弱密码等风险的持续检测，任务式跟踪，闭环管理；

• 实时检测绕过边界，入侵主机的未知威胁和有效攻击；

• 合规检查，管控不合规业务配置。

EDR 与 CWPP 的关系

EDR 与主机安全属于网络安全领域两个不同的方向，前者聚焦于常规的终端侧，后者聚焦于主机侧，两者作用于完全不同的位置。EDR 的基因是根植于 PC 等常规终端的，它天然不适配于主机侧。虽然部分厂商在后期对 EDR 产品做了改动，使其在主机上也能实现一定程度的防护效果，但如果在主机上安装 EDR 产品，会面临以下几点难题：

1. 稳定性不高。重 Agent 架构，涉及装载驱动或修改内核，在部署安装 Agent 的时候就可能造成系统宕机、蓝屏、崩溃；

2. 容易影响业务。重防护功能，基于策略进行自动拦截阻断可能造成误判和误杀，导致业务系统崩溃；

3. 资产画像不全。对主机层和系统层资产清点以及对应用层梳理较弱，存在防护盲区；

4. Linux 系统下安全能力不足。源于针对 PC 终端进行防护，所以针对 Windows 系统功能做的相对全面，但 Linux 系统功能相对偏弱，包括补丁漏洞、杀毒、安全防护等；

5. 风险检测种类不全。EDR 只支持漏洞风险检查，其他的如弱密码、系统风险、应用风险、账号风险之类的风险是检查不出来的；

6. 不支持合规基线。EDR 通常不具备或只提供少量的基线检查标准，不能帮助用户合规落地。

这两种产品的区别可以通过下表清晰地展示出来：

表 2  国内 EDR 与 CWPP 的区别

通过安全 EDR 来实现主机安全可以看作是用数学老师教语文。一个数学老师，除了教数学，他可能也有能力教语文，但效果一定比不上专职语文老师。同样的道理，EDR 的核心能力在于对终端的安全防护，它虽然在一定程度上也能保护主机安全，但它在主机安全领域的能力并不深入。

想了解更多主机安全的趋势、产品及国内市场介绍，可以扫描下方二维码领取沙利文《2021 年中国云主机安全市场报告》。

CWPP 是主机侧安全的最佳落地实践

因此，要想让主机安全防护效果最大化，就得用专业的主机安全产品。青藤万相·主机自适应安全平台是国内第一家落地自适应安全架构的主机安全产品，历经 7 年多的发展，在主机侧沉淀了大量技术和场景经验，并基于 600 多万 Agent 为客户提供资产清点、风险发现、入侵检测、合规基线、病毒查杀、微隔离等多种安全服务。

在主机安全防护方面，青藤万相具有以下优势：

• 轻 Agent 部署。不装驱动、不动内核，稳定性高达 99.9999%，正常的系统负载情况下，CPU 占用率<1%，内存占用<40M，在系统负载过高时，Agent 会主动降级运行，不影响正常业务。

• 更全面的资产清点。从主机层、系统层、应用层、Web 层几个不同角度清点硬件配置、进程、端口、账号、中间件、数据库、Web 应用、Web 框架、Web 站点等，提供 10 余类主机关键资产清点，800 余类业务应⽤⾃动识别，让保护对象清晰可⻅。

• 高效的漏洞扫描。通过 Agent 收集主机信息，对主机的情况了如指掌，与自有的 50000+漏洞库比对，可以快速找出漏洞，不论主机数量多少，都可以在 5 分钟内完成扫描。

• 减少误报告警量。青藤万相只对成功的入侵行为发出告警，既把安全人员从大量无意义的告警中解脱出来，还能保证他们所接到的每条告警都是有价值的。

• 定制化合规基线。根据服务器的操作系统、软件应用等信息，自动筛选出该服务器上需要检查的基线，并支持一键批量创建基线任务。拥有 1500+的基线配置检查系统 Checklist 知识库，还可根据不同行业相关基线规范，对知识库实现定制管理，匹配各行业安全配置需求。

• 东西向流量管控。青藤万相的微隔离功能模块以拓扑图清晰直观地展示主机间的业务流量，让用户集中统一配置网络策略，阻断异常的横向访问行为，能够让东西向流量安全防护真正落地。

• 注重安全左移。关注安全事件的事前和事中及时发现，将风险消灭在萌芽过程中，同时针对事后具备全方位的事件采集功能，方便进行溯源处置追责。

青藤万相作为主机安全领域的代表性产品，凭借领先的技术和理念优势连续 5 年入选 Gartner CWPP 市场指南，位列 Frost&Sullivan 云主机安全市场领袖梯队，并在赛迪云主机安全报告中市场占有率第一，为金融、政府、运营商、互联网、国央企等 20+行业的 1000+头部客户提供了主机防护。如果你对这个领域有任何疑问或有主机安全防护需求，可以拨打 400-188-9287 咨询青藤安全专家并申请万相免费试用~