隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷提高，黑客的攻擊手法越來(lái)越復(fù)雜。堅(jiān)定的攻擊者和APT高級(jí)持續(xù)性威脅在逃避反病毒軟件檢測(cè)方面很有耐心，他們使用的工具，技術(shù)和戰(zhàn)術(shù)看上去像正常行為，非常難以檢測(cè)，他們可以在您的網(wǎng)絡(luò)環(huán)境中停留數(shù)天，數(shù)周甚至數(shù)月，都不會(huì)觸發(fā)安全警報(bào)。

EPP端點(diǎn)防護(hù)對(duì)此類高級(jí)攻擊中通常 “沒(méi)有反應(yīng)”，無(wú)法檢測(cè)到入侵，您甚至不知道黑客是如何攻擊進(jìn)來(lái)的，作了哪些操作，什么時(shí)候撤離的。

端點(diǎn)檢測(cè)和響應(yīng)（EDR）是解決這一挑戰(zhàn)的最有希望的解決方案, 被成為下一代反病毒。 EDR可以實(shí)時(shí)監(jiān)控整個(gè)端點(diǎn)，并搜索滲透到公司防御系統(tǒng)中的威脅。 這是一種新興的技術(shù)，可以更好地了解端點(diǎn)上發(fā)生的事情，提供關(guān)于攻擊的上下文和詳細(xì)信息。 EDR 可以讓你知道攻擊者是否及何時(shí)進(jìn)入你的網(wǎng)絡(luò)，并在攻擊發(fā)生時(shí)檢測(cè)攻擊路徑，幫助你立即對(duì)事件作出反應(yīng)。

EDR控制臺(tái)部署

像市場(chǎng)上許多其它EDR產(chǎn)品一樣，Bitdefender EDR提供了SaaS云控制臺(tái)版本，在云端集中管理，對(duì)于跨區(qū)域，跨全球的企業(yè)來(lái)說(shuō)，是一個(gè)非常不錯(cuò)的選擇。

除此之外,Bitdefender EDR還可以在公司內(nèi)部私有化部署。Bitdefender提供了OVA, XVA, VMDK，VHD, VHDX, RAW等多種格式的虛擬機(jī)模板，IT管理員可通過(guò)虛擬化管理平臺(tái)速導(dǎo)入虛擬機(jī)模板，一鍵完成管理控制臺(tái)部署。

IT環(huán)境支持

在IT環(huán)境支持方面，Bitdefender EDR不僅支持臺(tái)式機(jī)，筆記本辦公電腦，還適用于服務(wù)器，虛擬化數(shù)據(jù)中心，超融合基礎(chǔ)架構(gòu)，云環(huán)境等，支持面非常廣泛，支持各類的主流操作系統(tǒng)，EDR支持Windows, Linux，macOS等各類系統(tǒng)。

控制臺(tái)UI界面

訪問(wèn)Bitdefender EDR控制臺(tái)后首先看到的是儀表板，它既簡(jiǎn)潔又有用。它包含惡意軟件活動(dòng)的趨勢(shì)線，每個(gè)報(bào)表小部件中都包含追溯的功能。與大多數(shù)競(jìng)爭(zhēng)產(chǎn)品提供的靜態(tài)界面相比，Bitdefender在這方面做的非常不錯(cuò)，Bitdefender允許使用大量有用的小部件來(lái)定制其布局，定制成自己最喜歡的界面。

我們發(fā)現(xiàn)最獨(dú)特的是能夠直接從某些小部件中啟動(dòng)掃描任務(wù)。對(duì)于我們來(lái)說(shuō)，這種高度的定制與便捷的工具相結(jié)合，確實(shí)給人留下了深刻的印象。 

在管理控制臺(tái)右側(cè)，管理員可以實(shí)時(shí)看到網(wǎng)絡(luò)中每個(gè)安全事件的告警，快速查看安全事件。

EDR客戶端安裝

Bitdefender的EDR客戶端采用國(guó)際主流的方式，客戶端同集成了EPP+EDR，兩者結(jié)合在一起，可在一個(gè)輕量化傳感器中提供多種安全功能。

在部署時(shí)，我們選擇了使用下載器部署。整個(gè)安裝包只有5M大小，卻集成了非常多的安全模塊，包括: 反惡意軟件，高級(jí)威脅防護(hù)，高級(jí)反漏洞利用，HyperDetect可調(diào)節(jié)機(jī)器學(xué)習(xí)，Sandbox沙盒分析器，防火墻，入侵檢測(cè)系統(tǒng)，網(wǎng)絡(luò)攻擊防護(hù)，流量掃描，設(shè)備控制，補(bǔ)丁管理，EDR傳感器，威脅情報(bào)，應(yīng)用程序控制白名單，應(yīng)用程序控制黑名單等等，IT管理員可以將所有模塊都包含在安裝程序中，也可以根據(jù)需求自定義靈活配置。

另外，還有更多的安裝選項(xiàng)，例如“選擇語(yǔ)言”，“防卸載密碼”， “安裝到自定義路徑”，“配置掃描引擎”， “卸載其它安全軟件”。這使Bitdefender的部署選項(xiàng)非常靈活，是IT專業(yè)人員的不錯(cuò)選擇。

配置好安裝包后，管理員可以使用非常多的方法來(lái)部署B(yǎng)itdefender EDR客戶端到網(wǎng)絡(luò)，例如“發(fā)送邀請(qǐng)郵件”, “遠(yuǎn)程推送安裝”， “與AD， vCenter Server， XenServer，Nutanix Prism集成遠(yuǎn)程推送安裝”，“MSI安裝” “使用第三方工具例如SCCM，桌面管理軟件推送安裝”， “拷貝安裝包到目標(biāo)機(jī)器安裝”等等，經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)管理員可以在30分鐘內(nèi)部署EDR到上百臺(tái)電腦，服務(wù)器，虛擬桌面，虛擬服務(wù)器等。

對(duì)于VMware，Citrix，Nutanix, AD環(huán)境，Bitdefender的部署尤其讓人印象深刻，所有部署都可以在控制臺(tái)中遠(yuǎn)程推送。

Bitdefender EDR 還包含了數(shù)據(jù)中心安全模塊，對(duì)虛擬化數(shù)據(jù)中心，超融合架構(gòu)的虛擬服務(wù)器VS和虛擬桌面VDI提供了特殊優(yōu)化的安全保護(hù), 可在虛擬化底層攔截攻擊。對(duì)于大型IT環(huán)境來(lái)說(shuō)，這是一個(gè)很吸引人的選項(xiàng)。

在官方文檔中，我們看到Bitdefender支持市場(chǎng)上所有的虛擬化和超融合平臺(tái)，例如：VMware，Citrix，Nutanix, Microsoft Hyper-V，KVM，深信服，阿里云，騰訊云，華為云，青云等等。

策略配置

Bitdefender的部署過(guò)程令人印象深刻，但在“策略”頁(yè)面上，Bitdefender的控制，易用度超越了其他公司。

Bitdefender可以在一個(gè)策略模板中，全面控制所有不同平臺(tái)的設(shè)備的安全策略，例如Windows, Linux，macOS等，策略設(shè)置后自動(dòng)下發(fā)，可在短短的1分鐘內(nèi)應(yīng)用到所有設(shè)備，非常便捷！

除了添加和管理策略外，還可以根據(jù)設(shè)備所連接的網(wǎng)絡(luò)自動(dòng)應(yīng)用這些策略。盡管規(guī)則可能會(huì)變得有些復(fù)雜，但是在這么多員工從不同位置通過(guò)不同設(shè)備進(jìn)行連接的時(shí)候，能夠如此精細(xì)地分配配置文件是一項(xiàng)強(qiáng)大的功能。對(duì)于遠(yuǎn)程辦公，漫游用戶的策略管理來(lái)說(shuō)非常有用。

事件檢測(cè)和響應(yīng)

EDR端點(diǎn)檢測(cè)與響應(yīng)是一個(gè)更加有趣的地方，因?yàn)樗峁┝酸槍?duì)惡意軟件攻擊的根本原因分析。

Bitdefender的EDR部分分為兩個(gè)區(qū)域：

調(diào)查：顯示突破Bitdefender安全技術(shù)的事件，管理員需要重點(diǎn)關(guān)注和調(diào)查此區(qū)域的事件

查看：顯示Bitdefender預(yù)防技術(shù)檢測(cè)的事件，管理員可以稍作查看，無(wú)需太多關(guān)注。

通過(guò)區(qū)域的劃分，Bitdefender大大縮小了需要分析的安全事件數(shù)量，因?yàn)榘踩治鰩煕](méi)有足夠的時(shí)間來(lái)評(píng)估每個(gè)警報(bào)并確定進(jìn)一步調(diào)查的優(yōu)先級(jí)。

自動(dòng)警報(bào)分類顯示了一個(gè)清晰的視圖，分析人員可以輕松閱讀和理解。 它減少了對(duì)警報(bào)進(jìn)行分類所花費(fèi)的時(shí)間，并使事件響應(yīng)更快。

點(diǎn)擊事件，將展開(kāi)詳細(xì)的分析報(bào)告，圖表顯示了詳細(xì)的攻擊路徑，并為IT專業(yè)人員提供了建議的主動(dòng)步驟，以緩解入侵。

應(yīng)急響應(yīng)工具：

Bitdefender提供了：“黑名單”， “Mitre ATT&CK 標(biāo)簽”，“隔離主機(jī)”，“安裝補(bǔ)丁”，“遠(yuǎn)程Shell連接”，“結(jié)束進(jìn)程”，“沙盒分析” ，“VirusTotal分析”， “Google分析”，“掃描入侵指標(biāo)” ，“事件搜索” 等眾多響應(yīng)功能。對(duì)于可疑的安全事件，管理員可立即采取行動(dòng)，避免威脅繼續(xù)發(fā)展。

黑名單是一個(gè)有用的事件響應(yīng)工具，管理員可以在事件中，點(diǎn)擊按鈕將文件添加到黑名單中，也可以手動(dòng)導(dǎo)入MD5或SHA256哈希，建立黑名單規(guī)則，阻止其在網(wǎng)絡(luò)中運(yùn)行。

對(duì)于APT常用的網(wǎng)絡(luò)釣魚攻擊，管理員可借助黑名單功能，快速屏蔽釣魚附件，非常好用。

高級(jí)功能

Bitdefender的沙盒分析器是另一個(gè)突出的功能。當(dāng)遇到不確定的文件時(shí)，可以將其提交到沙盒以進(jìn)行引爆然后進(jìn)行分析。由于它在虛擬容器中引爆，因此這是確定文件是否安全的一種好方法。

當(dāng)有潛在威脅試圖突破Bitdefender預(yù)防技術(shù)時(shí)，端點(diǎn)會(huì)自動(dòng)觸發(fā)沙盒提交分析功能，沙盒系統(tǒng)分析完畢后，會(huì)自動(dòng)反饋分析結(jié)果和報(bào)告到管理控制臺(tái)，并發(fā)送判決給客戶端。

如果需要，也可以手動(dòng)提交文件和網(wǎng)址到沙盒分析。

相對(duì)于微步在線之類的沙盒工具，Bitdefender提供了更加詳細(xì)和精準(zhǔn)的沙盒分析報(bào)告，集成的沙盒工具讓安全分析更加簡(jiǎn)單和高效。

特色功能

風(fēng)險(xiǎn)管理是Bitdefender的一大特色功能，Bitdefender風(fēng)險(xiǎn)管理包括操作系統(tǒng)安全基線分析，漏洞分析，人為風(fēng)險(xiǎn)分析等功能。IT管理員可在管理控制臺(tái)實(shí)時(shí)查看整個(gè)公司的風(fēng)險(xiǎn)態(tài)勢(shì)，所有的風(fēng)險(xiǎn)指標(biāo)，例如：操作系統(tǒng)配置錯(cuò)誤，瀏覽器配置錯(cuò)誤，Office宏，程序漏洞，密碼更改策略，人為風(fēng)險(xiǎn)等數(shù)百個(gè)風(fēng)險(xiǎn)指標(biāo)，Bitdefender還提供了自動(dòng)或手動(dòng)修復(fù)功能。

持續(xù)的風(fēng)險(xiǎn)分析，風(fēng)險(xiǎn)修復(fù)，可以從根本上降低整個(gè)公司的攻擊面。

除了基線分析，Bitdefender還提供了漏洞掃描和補(bǔ)丁管理功能，可以快速發(fā)現(xiàn)操作系統(tǒng)和第三方應(yīng)用程序的漏洞，IT管理員可設(shè)置自動(dòng)漏掃，自動(dòng)安裝補(bǔ)丁計(jì)劃，非常方便。完整清晰的報(bào)表，易用度，甚至可以超越LANDESK之類的桌面管理工具。

攻擊實(shí)戰(zhàn)

為了檢驗(yàn)EDR的實(shí)際能力，我們對(duì)Bitdefender EDR發(fā)動(dòng)了實(shí)際攻擊測(cè)試。我們準(zhǔn)備了一臺(tái)用于攻擊的Kali Linux,和一臺(tái)Windows 10，在Windows 10上安裝了Bitdefender EDR客戶端。

攻擊測(cè)試1—APT網(wǎng)絡(luò)釣魚

我們執(zhí)行的第1個(gè)測(cè)試是網(wǎng)絡(luò)釣魚，從服務(wù)器發(fā)送一封釣魚郵件到受害者，其中包含特制的word文檔，打開(kāi)文檔時(shí)將運(yùn)行VBA宏，該宏啟動(dòng)帶有特定參數(shù)的cmd.exe，并嘗試執(zhí)行installer.exe安裝木馬。

Bitdefender EDR自動(dòng)響應(yīng)，阻止了所有的攻擊，并在控制臺(tái)中深度曝光了每個(gè)執(zhí)行步驟。

攻擊測(cè)試2—RDP爆破攻擊

我們?cè)贙ali上使用Hydra對(duì)Windows 10發(fā)起了1000次蠻力爆破攻擊，Bitdefender EDR自動(dòng)響應(yīng)和攔截了RDP爆破，并屏蔽了后續(xù)的攻擊，EDR控制臺(tái)也實(shí)時(shí)展現(xiàn)了攻擊鏈路。

測(cè)試3—內(nèi)網(wǎng)發(fā)現(xiàn)

攻擊者通過(guò)釣魚，暴力破解，漏洞利用等攻擊手動(dòng)攻擊成功后，通常會(huì)以此機(jī)器為跳板，發(fā)現(xiàn)網(wǎng)絡(luò)中其它的設(shè)備和關(guān)機(jī)服務(wù)器，因此，我們執(zhí)行了第3個(gè)測(cè)試是網(wǎng)絡(luò)發(fā)現(xiàn)。我們?yōu)榇藢ｉT制作了一個(gè)批處理腳本，運(yùn)行后此腳本將自動(dòng)搜集攻擊目標(biāo)的系統(tǒng)和網(wǎng)絡(luò)信息。

非常令人震撼的是,Bitdefender把批處理腳本中的每一條命令和命令參數(shù)都完整地呈現(xiàn)在控制臺(tái)中。

測(cè)試4—提權(quán)和竊取憑據(jù)

我們的第4項(xiàng)測(cè)試比較棘手，我們編寫了一套powershell和批處理腳本，首先，我們使用UACMe繞過(guò)Windows的UAC，并提權(quán)。 有了這些新的特權(quán)，我們?cè)龠\(yùn)行Powershell腳本。Powershell腳本將運(yùn)行mimikatz.exe從操作系統(tǒng)進(jìn)程lsass.exe中提取用戶名和密碼，轉(zhuǎn)儲(chǔ)到文件中data.txt。 然后，powershell腳本將解析這個(gè)文件并提取憑證，然后通過(guò)HTTP將其發(fā)送到運(yùn)行在Kali機(jī)器上的Python攻擊服務(wù)器。

Bitdefender EDR自動(dòng)響應(yīng)，阻止了所有的攻擊，并像播放高清電影一樣清晰地展示了每一個(gè)攻擊步驟。

出色的響應(yīng)

Bitdefender EDR最厲害的功能之一就是它實(shí)時(shí)響應(yīng)高級(jí)攻擊。一旦檢測(cè)到威脅，惡意軟件名稱，文件以及相關(guān)信息，便會(huì)立即在彈出面板中顯示。

而且，Bitdefender顯示的詳細(xì)程度令人震驚。客戶端和Web控制臺(tái)界面上的事件鏈顯示了惡意軟件正在執(zhí)行的詳細(xì)逐個(gè)播放。對(duì)于事件調(diào)查，根本原因分析，攻擊取證非常有用，它也可以揭示攻擊的來(lái)源，并幫助管理員搜索初始入口點(diǎn)。

測(cè)試總結(jié)

Bitdefender EDR是一個(gè)您需要重點(diǎn)關(guān)注的強(qiáng)大的安全解決方案，它包含大量高級(jí)功能以及經(jīng)過(guò)深思熟慮的策略管理系統(tǒng)。即使針對(duì)非標(biāo)準(zhǔn)攻擊，在我們的測(cè)試中Bitdefender檢測(cè)威脅的能力也是令人驚嘆，攻擊者很難繞過(guò)Bitdefender的安全防線。

Bitdefender EDR總體評(píng)分：5.0/5.0

產(chǎn)品功能	⭐⭐⭐⭐⭐
文檔	⭐⭐⭐⭐⭐
性能	⭐⭐⭐⭐⭐
易用度	⭐⭐⭐⭐⭐
支持	⭐⭐⭐⭐⭐
產(chǎn)品價(jià)值	⭐⭐⭐⭐⭐
文檔	⭐⭐⭐⭐⭐

 

Bitdefender EDR優(yōu)點(diǎn)

—對(duì)復(fù)雜IT環(huán)境支持非常好,對(duì)虛擬化和超融合的VDI和VS提供了特殊優(yōu)化的安全保護(hù)

—集成行業(yè)頂級(jí)的EPP預(yù)防技術(shù)

—高質(zhì)量的威脅情報(bào)，5億用戶全球最大的云安全網(wǎng)絡(luò)

—部署非常簡(jiǎn)單，易于使用

—EDR實(shí)時(shí)展示，響應(yīng)和停止高級(jí)攻擊，可深度朔源和攻擊取證

—沙盒分析器帶來(lái)安全自動(dòng)化，簡(jiǎn)化可疑文件分析

—包含實(shí)用的漏洞掃描和補(bǔ)丁管理功能

—包含風(fēng)險(xiǎn)管理評(píng)估安全基線功能，從根本上減少攻擊面

附：Bitdefender EDR能力圖