深信服 EDR 全面行为检测，让高级威胁尽在掌控

新型复杂威胁层出不穷，如 APT 类攻击、人工参与的攻击行为等。高级威胁可变幻各种攻击手法入侵，绕过安全检测，而"终端"是高级威胁进入单位内部网络的重要途径，因此传统的终端安全软件面临极大挑战：

1.新威胁难检测：高级威胁的攻击方式更加复杂而隐蔽（如主流的无文件攻击、0day 利用攻击），导致基于文件静态检测的传统终端安全软件无法应对。

2.威胁响应滞后：传统杀毒软件、终端安全产品在高级威胁入侵后形成病毒文件才发现威胁，响应及处置滞后，导致威胁的影响面不断扩大。

3.根因难发现：威胁进入终端后，产生一系列的攻击行为、恶意文件等，并不断入侵更多的终端，而传统的终端安全软件无法全面识别威胁行为（如病毒操作、目的、影响面等），导致无法定位终端威胁的来源。

一、我们如何抵抗高级威胁？

如果将高级威胁比作一个"通缉犯"，该"通缉犯"擅于乔装打扮其外部特征，绕过传统终端安全产品的检测，直达单位内部终端，甚至在单位内部终端中"惹是生非"致使威胁扩散。

威胁可伪装，但在终端侧的行为却无法隐瞒。这就如同通缉犯，不管如何伪装、隐藏特征，最终还是会在人或物品上产生恶意行为。

因此，只有具备全面行为检测能力，才能对高级威胁快速定位，精准防护。通过持续监测、记录终端系统层、应用层的行为数据，并结合用户真实环境做强关联分析，最终实现在攻击过程早期阶段就发现威胁。

同时，需具有强大的分析能力，才能做到更早发现、更快响应。终端行为特征庞大，传统本地分析能力 + 云端的情报难以快速定位恶意行为，如果能通过云端强大的算力平台，并实时采集 IOC 信息，再以终端威胁场景再现攻击事件（如勒索、挖矿入侵路径等），那么高级威胁检测将会更加快速。

二、具备全面行为检测能力前后变化

我们以一个常见的挖矿事件为例，看下终端具备全面行为检测能力前后的变化：

未具备全面行为检测能力的终端：当用户发现终端卡顿、CPU 占用率高，立即使用杀毒软件进行全盘扫描查杀，在点击"处置"相关威胁文件、进程后，电脑恢复正常。然而次日上班打开电脑，再次出现电脑卡顿现象，于是再次使用杀毒软件、专杀工具查杀。最终，陷入病毒查杀循环，浪费人力精力。

具备了全面行为检测能力的终端：在攻击早期阶段便可检出高级威胁（即：挖矿还未在终端落地时就能提前发现），同时可以还原挖矿事件全过程并持续监控。

在这个过程中，用户可以直观地看到整个过程，包括挖矿病毒从哪里进来、进入系统后对终端采取了哪些操作、影响面有多大、是否还有其他终端含有类似挖矿行为等。因此可以准确定位挖矿根本原因并进行有效处置，还能预判其他终端是否含有潜伏挖矿行为，做到一次性处置同类型事件。

三、深信服 EDR+SaaS XDR 持续抵御高级威胁

深信服 EDR 全面采集终端行为，并通过威胁场景重现技术，同时结合云端 XDR 平台强大的数据采集能力进行全网终端威胁狩猎、快速联动响应：

1.全面的终端行为检测能力，狙击高级威胁

①全面的端侧行为数据采集能力：基于 ATT&CK 攻击矩阵采集端侧系统层、应用层行为数据，包括进程、文件、注册表等 13 个类别数据，为攻击全面分析提供丰富数据源，提升威胁研判的精准度，减少误报。

②创新的威胁场景重现技术：高级威胁经常利用正常软件 / 系统操作相似性，而传统终端安全软件只能基于 1-2 个行为特征检测，难以检测出来。深信服 EDR 在自研 SAVE 人工智能检测引擎基础上，创新地合入场景重现 IOA 检测技术（支持挖矿、勒索、webshell 攻击、无文件攻击等十大场景），将各种行为和上下文信息进行聚合关联后转变为各种场景，从场景层面判别正常业务或恶意攻击，从而获得更高的威胁检出率，成为国内首个以满分通过 AV-TEST 测评的企业级终端安全产品。

2.与云端 XDR 平台双向赋能，实现快速响应

深信服 EDR 区别传统终端安全软件仅同步云端情报，还可联动云端 XDR 平台，通过强大算力对行为数据聚合分析，基于 IOA+IOC 全面精准研判攻击，深度还原攻击事件、定位根因，包括威胁从哪来、干了什么、影响多大、是否还有潜伏等，复杂的 APT 事件定位从几天时间缩短为小时级，同时云端专家还可提供专业处置与加固建议，让安全响应更快速。

深信服 EDR 基于全面的行为检测 + SaaS XDR 联动能力，实现端点一站式防护闭环，快速应对各类威胁。同时，深信服 EDR 凭借优秀的产品实力及安全效果，获"主机入侵检测类别"增强级认证，持续为用户提供高级威胁检测更全面，联动响应更快的轻量级终端安全软件。