今天的专栏作家，来自 Cato Networks 的 Etay Maor 撰写了关于不良行为者如何绕过 EDR 工具以及安全团队为何需要纵深防御方法

的文章。

端点检测和响应 (EDR) 代表了一种更新、更强大的方法来检测端点上的恶意活动，例如笔记本电脑、手机和物联网

设备。然而，即使与传统防病毒软件相比具有所有优势，最近的网络攻击也证明EDR产品无法阻止老练而坚定的网

络犯罪分子。

最近的一项研究发现，所评估的 26 种 EDR 解决方案中几乎没有一种能够阻止所有旁路技术。以下是网络罪犯如何

设法绕过当今市场上大多数可用的 EDR：

规避技术：在获得初始访问权限后，威胁行为者自然会搜索安装在受感染设备上的安全工具和进程，以避免被

抓住。然后他们可以使用几种不同的方法来逃避检测。例如，他们经常将恶意代码注入合法应用程序或使用代

码混淆来避免触发 EDR。臭名昭著的Carbanak Group (FIN7) 利用这些逃避技术成功实施了历史上最大的银

行抢劫案之一。这种规避技术也是几个开源框架的重要组成部分，主要用于攻击性安全操作。不幸的是，网络

犯罪分子和高级持续威胁 (APT) 组织可以像网络安全团队一样轻松访问它们。最近，黑字节，一个臭名昭著

的勒索软件威胁组织，使用了开源 EDRSandblast 工具箱中的规避技术，并使多个 EDR 产品无法使用。暗网

使情况恶化，因为威胁行为者彼此共享信息和规避技术。研究人员通过自定义 EDR 规避技术的相似性发现了

Carbanak 和 Black Basta 勒索软件组之间的联系。漏洞利用工具包也可在地下网络犯罪中购买，为业余犯罪

分子提供使用复杂的 EDR 绕过技术的途径。

权限升级：在本地权限升级攻击中，攻击者利用系统或应用程序中的漏洞获取设备的管理权限。通过提升权

限，攻击者可以简单地禁用端点安全解决方案、安装后门并执行恶意活动，而不会触发 EDR 警报。与任何软

件一样，EDR 也不是防漏洞的。由于 EDR 需要管理员权限才能操作和保护设备，因此 APT 可以利用这些漏

洞来提升权限并获得对设备的控制权。从这个意义上说，EDR 还增加了组织本已庞大的攻击面。具有讽刺意

味的是，研究人员在 Windows Defender 的“防篡改”功能中发现了一个这样的漏洞。它可能会授予攻击者在受

感染系统上的系统级特权，从而允许他们随意篡改设备的安全设置。该漏洞已被修补，但这并不能保证未来不

会出现更多漏洞。

供应链攻击：攻击者还通过破坏受信任的软件供应商并使用其软件访问目标系统来绕过 EDR。由于该软件来

自可信来源，它可能会逃避 EDR 等安全解决方案。这被称为供应链攻击。APT 经常将其与其他规避技术结合

使用以躲避攻击。Sunburst攻击是迄今为止最引人注目的供应链攻击之一，涉及对 SolarWinds Orion 软件的

破坏。数月来，攻击者设法在数以千计的 SolarWinds 客户站点（包括美国政府机构的站点）避开复杂的 EDR

解决方案。最近，Codecov尽管影响了几家知名公司，但攻击利用相同的技术在数周内未被发现。

盲点和警报疲劳： EDR 产品通常仅限于安装它们的端点。缺乏网络范围的可见性和上下文感知会产生盲点。

EDR 工具需要来自其他安全控制的额外信息（例如威胁情报源和网络流量分析），以全面了解操作情况。在

倦怠方面，EDR 生成大量数据，包括许多误报。筛选所有这些需要付出相当大的努力，这使得安全团队很难

及时识别和响应威胁。

采用多层纵深防御方法

EDR 的缺点并不意味着它们不再有效。现代网络攻击非常复杂且多管齐下。组织也需要多层防御机制。他们需要

采用深度防御方法，确保所有安全层以协调的方式运行，以提供最大的覆盖范围。通过实施多层安全基础架构，其

中还包括身份和访问管理 (IAM)、安全 Web 网关 (SWG)、云访问安全代理 (CASB)、防火墙即服务 (FWaaS) 和零

信任网络访问(ZTNA) – 所有本地安全访问服务边缘 (SASE) 组件 – 组织可以创建强大的防御，可以识别和响应 IT

堆栈不同级别的威胁。

组织还需要关联网络和安全数据，以在现代安全工具中创建上下文和态势感知。然而，这需要打破孤岛并集成网络

和安全功能，就像在 SASE 架构中一样。此外，组织必须及时了解最新的威胁和规避策略，并不断重新评估其安全

态势以保持领先地位。通过采取这些主动措施，组织可以更好地保护其宝贵资产并在面对不断变化的威胁形势时维

护其声誉。

Cato Networks 安全战略高级总监 Etay Maor