實際攻擊範圍 遠超過終端

許多終端攻擊，都涉及惡意檔案與惡意程序，使 EDR 成為了終端防護的完美解決方案。 但實際攻擊的範圍遠比終端更廣闊，企業所要保護的不只是終端，而是公司的資產。

正常的網路行為，通常不會出現非法存取資源與資料竊取。而攻擊者的動作必然會產生某種異常，這些異常就是安全產品或威脅分析師的基準點，用以識別正在發生的異常情況並封鎖之。這些異常主要可在三個地方看到：程序執行、網路流量、使用者行為。例如，勒索軟體會產生程序執行異常，因為會出現嘗試與大量檔案交流互動的程序。

EDR 產品的盲點

多種橫向移動行為包括網路流量異常，以伺服器訊息區塊 (SMB) 或稱網路檔案分享系統的流量形式呈現。當攻擊者以竊取的帳戶憑證登入關鍵伺服器時，唯一的異常存在於使用者行為中。在這兩種情況下，僅僅監視惡意程序的 EDR 產品是無法發現攻擊的。

EDR 可有效防禦那些透過程序異常加以識別的攻擊。該工具代理程式駐守終端，監視程序行為，形成對此類威脅的有效防護。但其他類型的威脅呢？有很多主流攻擊方法在網路流量和使用者行為層面操作，不會觸發程序異常，因此 EDR 對此異常行為完全失明。

從攻擊者的角度來看
攻擊者成功入侵一台終端設備，正在衡量如何進一步感染整個環境，存取並洩漏敏感性資料。要完成這一任務還有幾個必要的步驟要做。

高權限的憑證是存取環境中資源的基礎。攻擊者可能嘗試從已入侵終端的記憶體中轉錄出這些憑證。因為該舉動會引發程序異常，EDR 可以捕獲並響應到該入侵動作。然而，密碼 Hash 值也可以通過攔截內部網路流量（利用位址解析協定 (ARP) 中毒或網域名稱系統 (DNS) 回應器）獲取。這種攔截動作只有通過監視網路流量異常才能得知，而 EDR 會完全漏掉這一異常。

經驗老道的攻擊者透過網路偵察能快速摸清目標設置了哪些防禦措施，然後採取相應的規避和攻擊動作。如果發現設置了良好的 EDR，攻擊者會改用針對網路和使用者領域的技術，在 EDR 檢測不到的地方肆意操作。所以，如果想要的是安全技術中有個元件能夠防護基於程序的攻擊，比如惡意軟體、漏洞利用程式等，那麼 EDR 就能滿足使用者的需求。若是尋求防止資料外洩，那就得考慮更完善的防護機制。

Cynet 網路檢測與響應 (NDR) 防止資料外洩案例

攻擊者可以利用允許的協議，繞過現有的多種檢測工具 (FW / PS) 規則，被感染的主機與 C&C 伺服器之間使用 ICMP Tunnel 協定傳送並洩漏資料。如 Ping 使用 ICMP Echo 封包來測試網路中主機，正常情況下 Ping 封包的 Echo 請求 / Reply，Length 不超過100bytes。

Cynet 360 AutoXDR 持續監視程序、網路流量和使用者行為，全方位覆蓋進階攻擊所使用的各種攻擊方法，包含所有 EDR 功能，並擴展和整合使用者行為分析與網路流量分析，增加了欺敵誘捕的防護層，可使操作人員能夠植入誘餌資料檔案、密碼、網路共用等，誘騙攻擊者暴露自身。

Cynet360 AutoXDR 不僅防禦程序威脅+網路威脅+使用者威脅。高明的攻擊者擅長隱藏自身及其行為，因此許多攻擊只靠觀測程序、流量或使用者行為是無法察覺的。只有綜合這些信號形成上下文，才能夠看出惡意事件發生。Cynet 360 自動化該上下文建立過程，揭示其他方法發現不了的多種惡意威脅。

Cynet 360 AutoXDR 能夠補 EDR 資料外洩防禦的不足。整合了次世代防毒引擎、端點檢測與響應、網路檢測響應、使用者行為分析、以及欺敵誘捕數據於單一平台，可監控企業的威脅全貌。其中事件引擎可自動執行高危風險威脅的全面調查，以發現事件的根本原因和攻擊範圍，並自動響應操作所有警報類型的自動修復措施。

Cynet 360 AutoXDR 自主安全保護平台