【面臨層出不窮的持續性進階威脅，端點防護是臺灣資安廠商立足全球市場的新機會】國產EDR展現臺灣資安研發能量

長期以來，臺灣面臨來自中國各式的網路威脅，在防護的措施上，長期仰賴許多國外廠商提供的解決方案，雖然許多類型的產品已有國產品牌可選，然而，產品在防護能力的展現上，卻很有可能礙於業者研發資源有限，導致多年來，國產資安廠商僅能不斷追趕外國的腳步，被企業當成經濟實惠的次要選擇，若要更為進階的防護功能，企業最終還是採購外商解決方案。

但這樣的現象，從國產品牌的端點偵測與回應（Endpoint Detection and Response，EDR）系統出現之後，終於有所突破，從防毒業者趨勢科技開始打頭陣，提供相關產品，接著還有在2017年先後成立的2間新創公司──TeamT5杜浦數位安全和奧義智慧（CyCarrier），也相繼投入EDR防護的領域。這3間公司，在採用機器學習或是人工智慧的技術上，都強調具備其獨道的方法，能夠更為精確找出進階威脅，減少誤判的情況。

端點防護產品的發展面臨劇烈變化

在EDR這類產品出現之前，曾經不少資安專家提出了「防毒軟體已死」的看法，最常被提起的，是Symantec資訊安全副總裁Brian Dye的觀點，他指出防毒軟體只能攔截大約45%的網路攻擊，因此，端點防護不能再完全倚賴傳統防毒偵測機制，於是，他們正在研發能對抗新型網路攻擊的防護措施。

直到2年多前，端點防護領域出現重大的變化，不少廠商強調防毒軟體難以防範進階威脅，必須透過更多端點的事件行為分析，才能找出這些攻擊。為此，他們開始推出新型態防護產品，稱為端點偵測與回應系統，而且，不只是推出次世代端點防護的新創公司投入，連帶使得不少資安業者，也相繼發展這種類型的產品或是服務。

當時，防毒軟體廠商看法不一，有些以原本針對進階持續性威脅提供防禦的產品，因應這樣的情勢，也有些防毒大廠一度堅持，不打算推出端點偵測與回應型態的解決方案。但直到去年，還是有許多防毒業者相繼推出有關產品。

這樣的現象，顯示端點上的偵測與回應型態措施，市場上仍有需求──即使去年市調公司Gartner曾在報告中強調，他們打算不再推出有關EDR的市場指南，甚至產業分析師Zeus Kerravala也認為「EDR已死」。但怪異的是，這類解決方案至今，仍然如不斷出現新產品，難道是分析師與產業脫節了嗎？

其實，在端點偵測與反制解決方案不斷推陳出新的同時，有些資安業者也提出了另一種說法，那就是企業在偵測威脅與採取反制措施上，不能只局限於端點電腦，所以，開始也有Palo Alto等業者，提出了XDR一詞，強調於端點的事件分析之餘，也要結合網路流量的過濾，以及威脅情報的統合。

這樣的概念，固然是為了免於企業在調查事件時，只聚焦在端點電腦，而造成「以偏概全」的可能性。但是，端點上的事件採集，仍然是企業找出各種已知與未知攻擊的重要依據與環節。

特別是許多駭客為了回避各式的防護措施，可能會在傳送的過程中，將作案工具切割，直到到端點電腦要執行時，才組裝起來，發動攻擊。因此，企業便往往難以在網路流量上，找出上述型態的潛在威脅，相形之下，端點電腦所提供的跡證，變得至為關鍵，成為企業必須著重的面向之一。

從部署的架構上，EDR可分為2種型態：獨立產品與防毒軟體整合

隨著XDR一詞的出現，也代表著幾年發展下來，鎖定端點電腦的EDR產業，可說是日益成熟。

以往，只要能夠與機器學習和人工智慧結合的端點防護系統，許多廠商便會宣稱他們的產品能取代傳統防毒軟體，或是具備EDR相關功能。

但是，如今各家資安廠商大都提供相關產品的情況下，這種類型的解決方案，不只要考量到偵測威脅的能力與準確度，予以改善，並且先行過濾出必須優先處理的事項，更要提供極為容易判讀的資訊和操作介面，以供企業IT人員能夠快速上手，甚至是進一步進行遠端反制作業。

另一方面，面臨企業相關的資安人員嚴重短缺，可能難以自行判讀EDR系統所找到的異常現象，所以當中也有許多廠商，同時提供代為監控的服務，稱為MDR（Managed Detection and Response）。

因此，這也突顯了企業採用EDR系統之後，廠商所能提供的相關技術支援，極有可能左右這套防護系統的成效。

這種類型的產品發展多年以來，我們大致可區分成2大型態，一種是偏重提供進階偵測能力，與防毒軟體各司其職；另一種則是與端點防護平臺（Endpoint Protection Platform，EPP）高度整合，成為現有防護平臺的延伸，成為端點防護重要的一環。

不過，在防護的原理上來看，EDR採取行為特徵的彙整，與傳統防毒發展而成的EPP防護平臺裡，採取非黑即白的特徵碼識別機制，做法可說是存在極大的差異，但是，兩者所防護的標的，卻是相同，都是確保企業環境裡端點電腦的安全。

為此，多年前EDR一詞出現時，曾經引發能否取代防毒軟體的熱烈討論，不過，時至今日，我們可以看到，若是強調能夠取代防毒軟體的EDR系統，其端點的代理程式（Agent），也都具備攔截威脅的功能。

從防護的範圍來看，EDR應該隸屬於端點防護的領域，因此，Gartner在去年的端點防護魔力象限中，將這樣的防護系統，納入EPP平臺的評估項目之中。

不過，企業在實務建置上，可能基於避免影響現有防毒軟體運作等考量，選擇專屬的EDR系統，而非已經與EPP平臺深度整合的產品。

因此，在EDR解決方案中，不少廠商提供了2款以上的產品線。以本土出身的國際資安廠商──趨勢科技為例，他們最初推出的解決方案，是名為Trend Micro Endpoint Sensor的獨立EDR。該公司去年底則進一步與現行的企業級防毒軟體整合，以長期發展的端點防護系統OfficeScan為基礎，結合EDR系統，更名為Apex One。

以前述的Trend Micro Endpoint Sensor而言，企業可延用現有的端點防毒軟體，與之搭配使用，至於Apex One，則是將EDR列為端點防護的選用功能，因此管理者能在同一個主控臺中，執行防毒軟體的管理，或是攻擊事件的調查。

EDR端點代理程式與主控臺相互合作，各自負責情蒐與分析

在奧義智慧的EDR系統中，端點的Xensor代理程式所執行的任務，主要包含遠端電腦掃描與事件的因應，而掃描結果送交後端主控臺後，則是CyCarrier進階分析平臺和CyberTotal情資中心兩者執行，經由人工智慧分析，最終企業的SOC團隊再次確認，分析結果是否為正確。圖片來源／奧義智慧

臺灣出現多款自主研發的EDR產品

在臺灣，我們相當仰賴國際上的資安廠商提供前述的解決方案，而臺灣本土業者所能著墨的面向，便是因為國內不斷面臨來自中國的威脅，發展找出威脅的經驗，結合機器學習分析，打造出的端點偵測與回應系統。

在防毒領域長期深耕的趨勢科技，最早推出EDR解決方案，到了2017年時，杜浦數位科技與奧義智慧科技等2家新創公司，先後於4月和11月成立，投入相關系統的研發。

最早提供相關系統的趨勢科技，他們起初推出了Deep Discovery Endpoint Sensor，並且在2016年發布的1.6版，更名為Trend Micro Endpoint Sensor。

直到去年，該公司更強調EDR與端點防毒軟體之間的整合，於企業端點防護產品OfficeScan XG的後繼版本Apex One上，將Endpoint Sensor的功能，與防毒軟體兩者之間，從端點代理程式到管理平臺，進一步整合，以便管理者不只能在主控臺得知防毒軟體的狀態，也可同時進行攻擊事件的調查。

另一家提供EDR的臺灣資安廠商，則是TeamT5杜浦數位安全，該公司是蔡松廷（TT）於2017年4月成立，前身是以資安研究為業務，提供客戶威脅情資服務的Team T5團隊。後來，他們將評估企業受害程度的工具ThreatSonar，進行產品化，並成立了公司，也就是杜浦數位安全（Doppler Digital Security）。

而今年初該公司重新調整了對外的名稱，在中文名稱加上TeamT5，英文的公司名稱則改為TeamT5 Inc.。而在採用該公司端點威脅鑑識系統的案例上，目前有臺北市政府與公路總局等單位。

接著，也能提供EDR解決方案的臺灣資安廠商，是晚近成立的奧義智慧科技，由邱銘彰（Birdman）、吳明蔚（Benson）、叢培侃（PK）等3人共同創辦，他們的解決方案於2018年6月正式推出1.0版，由EDR系統Xensor、威脅情資整合平臺CyberTotal，以及人工智慧分析平臺CyCarrier等組成。該公司的解決方案已有不少採用案例，包含了聯發科技、電信技術中心、金融聯合徵信中心、臺灣銀行、富邦銀行，而在公部門的部分，也有國防部、外交部，以及警政署等。

將威脅彙整為易於判讀的資訊

EDR系統所能呈現的攻擊事件樣貌，不僅資訊要詳盡，更要能夠易於讓IT人員快速判讀。以ThreatSonar的主控臺為例，便以多種顏色的字串標籤，列出疑似攻擊行為的特徵，包含了識別出這是APT攻擊者所使用的惡意軟體，並發現異常的記憶體存取行為等。圖片來源／TeamT5杜浦數位安全

透過自行開發或與其他業者合作，其他臺灣資安廠商也能推出EDR

國內已有上述3家端點防護廠商與新創公司，投入EDR領域，然而就全球市場而言，原本許多其他類型的IT業者，也將產品線擴及到端點偵測上，最為顯著的情形，就是網路防護設備業者跨足推出這種型態的解決方案。

例如，WatchGuard提供了Threat Detection and Response，將UTM設備與端點電腦代理程式的情資統整，進而訴求在現有的端點防護架構下，增強企業防範進階持續性威脅的能力。

而次世代防火牆業者Palo Alto於2016年首度提供次世代端點防護軟體Traps，2018年則再度買下Secdo，強化端點偵測與回應領域的產品線。因此，國內提供網路防護設備的品牌，甚至是網路設備廠商，都很有機會依循這樣的模式，踏入這塊市場。

像是合勤科技近年來，便主打網路流量進階分析平臺CNM SecuReporter、威脅情資平臺Zyxel Security Cloud，今年初，在臺灣推出次世代防火牆設備ZyWall ATP系列，強調與上述防護系統緊密結合，未來，若要進軍端點防護領域，也不會太讓人意外。

再者，國內品牌的次世代防火牆設備業者，還有眾至資訊，以及從上網監控起家的利基網路等。以利基的次世代防火牆InstantArray為例，便強調結合雲端存取安全代理程式（CASB）功能，若是為了能更精確追蹤端點的資料流向與安全性，便相當有機會向端點延伸，發展出可搭配的EDR系統。

除了企業的IT環境，若要廣義定義端點設備，近年來興起的物聯網（IoT）裝置，也是需要相關防護的範圍。

隨著這類設備的廣泛應用，國內推出這類設備的廠商，也出現與資安業者合作的情形，在裝置中內建端點防護措施。例如華碩和晶睿通訊（Vivotek），分別推出內建趨勢科技防護功能的產品，若能基於已經在裝置內的防毒元件，延伸納入相關的偵測與回應機制，也有助於了解攻擊事件的全貌。

提供調查事件受影響範圍

在事件調查的做法上，趨勢科技Apex One提供了兩種處理方式，首先是能從根源分析的關連圖中，檢視可能有問題的地方，再者則是可透過快速搜尋的機制，找出存在相同威脅特徵的電腦，然後進一步處理。圖片來源／趨勢科技

臺灣EDR系統功能比較表

3款國產EDR平臺最為明顯不同的地方，在於產品型態組成，趨勢Apex One以端點防護為重心，延伸提供相關的功能，而奧義Xensor結合了次世代端點防毒的特性，至於杜浦ThreatSonar，則是偏重偵測能力，若要攔截或是清理威脅，可透過該公司的應變團隊協助，進行處置。

圖示：紅色打勾代表具備相關功能；╳代表無此功能

註1：需搭配奧義智慧CyberTotal雲端沙箱服務

註2：由杜浦處理應變團隊協助客戶因應

註3：需搭配趨勢Deep Discovery Analyzer或雲端沙箱服務 註4：需搭配趨勢MDR服務

註5：需搭配趨勢Deep Security

資料來源：奧義智慧、TeamT5杜浦數位安全、趨勢科技，iThome整理，2019年3月