隨著網(wǎng)絡攻擊技術(shù)的不斷提高，黑客的攻擊手法越來越復雜。堅定的攻擊者和APT高級持續(xù)性威脅在逃避反病毒軟件檢測方面很有耐心，他們使用的工具，技術(shù)和戰(zhàn)術(shù)看上去像正常行為，非常難以檢測，他們可以在您的網(wǎng)絡環(huán)境中停留數(shù)天，數(shù)周甚至數(shù)月，都不會觸發(fā)安全警報。

EPP端點防護對此類高級攻擊中通常 “沒有反應”，無法檢測到入侵，您甚至不知道黑客是如何攻擊進來的，作了哪些操作，什么時候撤離的。

端點檢測和響應（EDR）是解決這一挑戰(zhàn)的最有希望的解決方案, 被成為下一代反病毒。 EDR可以實時監(jiān)控整個端點，并搜索滲透到公司防御系統(tǒng)中的威脅。 這是一種新興的技術(shù)，可以更好地了解端點上發(fā)生的事情，提供關(guān)于攻擊的上下文和詳細信息。 EDR 可以讓你知道攻擊者是否及何時進入你的網(wǎng)絡，并在攻擊發(fā)生時檢測攻擊路徑，幫助你立即對事件作出反應。

EDR控制臺部署

像市場上許多其它EDR產(chǎn)品一樣，Bitdefender EDR提供了SaaS云控制臺版本，在云端集中管理，對于跨區(qū)域，跨全球的企業(yè)來說，是一個非常不錯的選擇。

除此之外,Bitdefender EDR還可以在公司內(nèi)部私有化部署。Bitdefender提供了OVA, XVA, VMDK，VHD, VHDX, RAW等多種格式的虛擬機模板，IT管理員可通過虛擬化管理平臺速導入虛擬機模板，一鍵完成管理控制臺部署。

IT環(huán)境支持

在IT環(huán)境支持方面，Bitdefender EDR不僅支持臺式機，筆記本辦公電腦，還適用于服務器，虛擬化數(shù)據(jù)中心，超融合基礎架構(gòu)，云環(huán)境等，支持面非常廣泛，支持各類的主流操作系統(tǒng)，EDR支持Windows, Linux，macOS等各類系統(tǒng)。

控制臺UI界面

訪問Bitdefender EDR控制臺后首先看到的是儀表板，它既簡潔又有用。它包含惡意軟件活動的趨勢線，每個報表小部件中都包含追溯的功能。與大多數(shù)競爭產(chǎn)品提供的靜態(tài)界面相比，Bitdefender在這方面做的非常不錯，Bitdefender允許使用大量有用的小部件來定制其布局，定制成自己最喜歡的界面。

我們發(fā)現(xiàn)最獨特的是能夠直接從某些小部件中啟動掃描任務。對于我們來說，這種高度的定制與便捷的工具相結(jié)合，確實給人留下了深刻的印象。 

在管理控制臺右側(cè)，管理員可以實時看到網(wǎng)絡中每個安全事件的告警，快速查看安全事件。

EDR客戶端安裝

Bitdefender的EDR客戶端采用國際主流的方式，客戶端同集成了EPP+EDR，兩者結(jié)合在一起，可在一個輕量化傳感器中提供多種安全功能。

在部署時，我們選擇了使用下載器部署。整個安裝包只有5M大小，卻集成了非常多的安全模塊，包括: 反惡意軟件，高級威脅防護，高級反漏洞利用，HyperDetect可調(diào)節(jié)機器學習，Sandbox沙盒分析器，防火墻，入侵檢測系統(tǒng)，網(wǎng)絡攻擊防護，流量掃描，設備控制，補丁管理，EDR傳感器，威脅情報，應用程序控制白名單，應用程序控制黑名單等等，IT管理員可以將所有模塊都包含在安裝程序中，也可以根據(jù)需求自定義靈活配置。

另外，還有更多的安裝選項，例如“選擇語言”，“防卸載密碼”， “安裝到自定義路徑”，“配置掃描引擎”， “卸載其它安全軟件”。這使Bitdefender的部署選項非常靈活，是IT專業(yè)人員的不錯選擇。

配置好安裝包后，管理員可以使用非常多的方法來部署B(yǎng)itdefender EDR客戶端到網(wǎng)絡，例如“發(fā)送邀請郵件”, “遠程推送安裝”， “與AD， vCenter Server， XenServer，Nutanix Prism集成遠程推送安裝”，“MSI安裝” “使用第三方工具例如SCCM，桌面管理軟件推送安裝”， “拷貝安裝包到目標機器安裝”等等，經(jīng)驗豐富的網(wǎng)絡管理員可以在30分鐘內(nèi)部署EDR到上百臺電腦，服務器，虛擬桌面，虛擬服務器等。

對于VMware，Citrix，Nutanix, AD環(huán)境，Bitdefender的部署尤其讓人印象深刻，所有部署都可以在控制臺中遠程推送。

Bitdefender EDR 還包含了數(shù)據(jù)中心安全模塊，對虛擬化數(shù)據(jù)中心，超融合架構(gòu)的虛擬服務器VS和虛擬桌面VDI提供了特殊優(yōu)化的安全保護, 可在虛擬化底層攔截攻擊。對于大型IT環(huán)境來說，這是一個很吸引人的選項。

在官方文檔中，我們看到Bitdefender支持市場上所有的虛擬化和超融合平臺，例如：VMware，Citrix，Nutanix, Microsoft Hyper-V，KVM，深信服，阿里云，騰訊云，華為云，青云等等。

策略配置

Bitdefender的部署過程令人印象深刻，但在“策略”頁面上，Bitdefender的控制，易用度超越了其他公司。

Bitdefender可以在一個策略模板中，全面控制所有不同平臺的設備的安全策略，例如Windows, Linux，macOS等，策略設置后自動下發(fā)，可在短短的1分鐘內(nèi)應用到所有設備，非常便捷！

除了添加和管理策略外，還可以根據(jù)設備所連接的網(wǎng)絡自動應用這些策略。盡管規(guī)則可能會變得有些復雜，但是在這么多員工從不同位置通過不同設備進行連接的時候，能夠如此精細地分配配置文件是一項強大的功能。對于遠程辦公，漫游用戶的策略管理來說非常有用。

事件檢測和響應

EDR端點檢測與響應是一個更加有趣的地方，因為它提供了針對惡意軟件攻擊的根本原因分析。

Bitdefender的EDR部分分為兩個區(qū)域：

調(diào)查：顯示突破Bitdefender安全技術(shù)的事件，管理員需要重點關(guān)注和調(diào)查此區(qū)域的事件

查看：顯示Bitdefender預防技術(shù)檢測的事件，管理員可以稍作查看，無需太多關(guān)注。

通過區(qū)域的劃分，Bitdefender大大縮小了需要分析的安全事件數(shù)量，因為安全分析師沒有足夠的時間來評估每個警報并確定進一步調(diào)查的優(yōu)先級。

自動警報分類顯示了一個清晰的視圖，分析人員可以輕松閱讀和理解。 它減少了對警報進行分類所花費的時間，并使事件響應更快。

點擊事件，將展開詳細的分析報告，圖表顯示了詳細的攻擊路徑，并為IT專業(yè)人員提供了建議的主動步驟，以緩解入侵。

應急響應工具：

Bitdefender提供了：“黑名單”， “Mitre ATT&CK 標簽”，“隔離主機”，“安裝補丁”，“遠程Shell連接”，“結(jié)束進程”，“沙盒分析” ，“VirusTotal分析”， “Google分析”，“掃描入侵指標” ，“事件搜索” 等眾多響應功能。對于可疑的安全事件，管理員可立即采取行動，避免威脅繼續(xù)發(fā)展。

黑名單是一個有用的事件響應工具，管理員可以在事件中，點擊按鈕將文件添加到黑名單中，也可以手動導入MD5或SHA256哈希，建立黑名單規(guī)則，阻止其在網(wǎng)絡中運行。

對于APT常用的網(wǎng)絡釣魚攻擊，管理員可借助黑名單功能，快速屏蔽釣魚附件，非常好用。

高級功能

Bitdefender的沙盒分析器是另一個突出的功能。當遇到不確定的文件時，可以將其提交到沙盒以進行引爆然后進行分析。由于它在虛擬容器中引爆，因此這是確定文件是否安全的一種好方法。

當有潛在威脅試圖突破Bitdefender預防技術(shù)時，端點會自動觸發(fā)沙盒提交分析功能，沙盒系統(tǒng)分析完畢后，會自動反饋分析結(jié)果和報告到管理控制臺，并發(fā)送判決給客戶端。

如果需要，也可以手動提交文件和網(wǎng)址到沙盒分析。

相對于微步在線之類的沙盒工具，Bitdefender提供了更加詳細和精準的沙盒分析報告，集成的沙盒工具讓安全分析更加簡單和高效。

特色功能

風險管理是Bitdefender的一大特色功能，Bitdefender風險管理包括操作系統(tǒng)安全基線分析，漏洞分析，人為風險分析等功能。IT管理員可在管理控制臺實時查看整個公司的風險態(tài)勢，所有的風險指標，例如：操作系統(tǒng)配置錯誤，瀏覽器配置錯誤，Office宏，程序漏洞，密碼更改策略，人為風險等數(shù)百個風險指標，Bitdefender還提供了自動或手動修復功能。

持續(xù)的風險分析，風險修復，可以從根本上降低整個公司的攻擊面。

除了基線分析，Bitdefender還提供了漏洞掃描和補丁管理功能，可以快速發(fā)現(xiàn)操作系統(tǒng)和第三方應用程序的漏洞，IT管理員可設置自動漏掃，自動安裝補丁計劃，非常方便。完整清晰的報表，易用度，甚至可以超越LANDESK之類的桌面管理工具。

攻擊實戰(zhàn)

為了檢驗EDR的實際能力，我們對Bitdefender EDR發(fā)動了實際攻擊測試。我們準備了一臺用于攻擊的Kali Linux,和一臺Windows 10，在Windows 10上安裝了Bitdefender EDR客戶端。

攻擊測試1—APT網(wǎng)絡釣魚

我們執(zhí)行的第1個測試是網(wǎng)絡釣魚，從服務器發(fā)送一封釣魚郵件到受害者，其中包含特制的word文檔，打開文檔時將運行VBA宏，該宏啟動帶有特定參數(shù)的cmd.exe，并嘗試執(zhí)行installer.exe安裝木馬。

Bitdefender EDR自動響應，阻止了所有的攻擊，并在控制臺中深度曝光了每個執(zhí)行步驟。

攻擊測試2—RDP爆破攻擊

我們在Kali上使用Hydra對Windows 10發(fā)起了1000次蠻力爆破攻擊，Bitdefender EDR自動響應和攔截了RDP爆破，并屏蔽了后續(xù)的攻擊，EDR控制臺也實時展現(xiàn)了攻擊鏈路。

測試3—內(nèi)網(wǎng)發(fā)現(xiàn)

攻擊者通過釣魚，暴力破解，漏洞利用等攻擊手動攻擊成功后，通常會以此機器為跳板，發(fā)現(xiàn)網(wǎng)絡中其它的設備和關(guān)機服務器，因此，我們執(zhí)行了第3個測試是網(wǎng)絡發(fā)現(xiàn)。我們?yōu)榇藢ｉT制作了一個批處理腳本，運行后此腳本將自動搜集攻擊目標的系統(tǒng)和網(wǎng)絡信息。

非常令人震撼的是,Bitdefender把批處理腳本中的每一條命令和命令參數(shù)都完整地呈現(xiàn)在控制臺中。

測試4—提權(quán)和竊取憑據(jù)

我們的第4項測試比較棘手，我們編寫了一套powershell和批處理腳本，首先，我們使用UACMe繞過Windows的UAC，并提權(quán)。 有了這些新的特權(quán)，我們再運行Powershell腳本。Powershell腳本將運行mimikatz.exe從操作系統(tǒng)進程lsass.exe中提取用戶名和密碼，轉(zhuǎn)儲到文件中data.txt。 然后，powershell腳本將解析這個文件并提取憑證，然后通過HTTP將其發(fā)送到運行在Kali機器上的Python攻擊服務器。

Bitdefender EDR自動響應，阻止了所有的攻擊，并像播放高清電影一樣清晰地展示了每一個攻擊步驟。

出色的響應

Bitdefender EDR最厲害的功能之一就是它實時響應高級攻擊。一旦檢測到威脅，惡意軟件名稱，文件以及相關(guān)信息，便會立即在彈出面板中顯示。

而且，Bitdefender顯示的詳細程度令人震驚。客戶端和Web控制臺界面上的事件鏈顯示了惡意軟件正在執(zhí)行的詳細逐個播放。對于事件調(diào)查，根本原因分析，攻擊取證非常有用，它也可以揭示攻擊的來源，并幫助管理員搜索初始入口點。

測試總結(jié)

Bitdefender EDR是一個您需要重點關(guān)注的強大的安全解決方案，它包含大量高級功能以及經(jīng)過深思熟慮的策略管理系統(tǒng)。即使針對非標準攻擊，在我們的測試中Bitdefender檢測威脅的能力也是令人驚嘆，攻擊者很難繞過Bitdefender的安全防線。

Bitdefender EDR總體評分：5.0/5.0

產(chǎn)品功能	⭐⭐⭐⭐⭐
文檔	⭐⭐⭐⭐⭐
性能	⭐⭐⭐⭐⭐
易用度	⭐⭐⭐⭐⭐
支持	⭐⭐⭐⭐⭐
產(chǎn)品價值	⭐⭐⭐⭐⭐
文檔	⭐⭐⭐⭐⭐

 

Bitdefender EDR優(yōu)點

—對復雜IT環(huán)境支持非常好,對虛擬化和超融合的VDI和VS提供了特殊優(yōu)化的安全保護

—集成行業(yè)頂級的EPP預防技術(shù)

—高質(zhì)量的威脅情報，5億用戶全球最大的云安全網(wǎng)絡

—部署非常簡單，易于使用

—EDR實時展示，響應和停止高級攻擊，可深度朔源和攻擊取證

—沙盒分析器帶來安全自動化，簡化可疑文件分析

—包含實用的漏洞掃描和補丁管理功能

—包含風險管理評估安全基線功能，從根本上減少攻擊面

附：Bitdefender EDR能力圖