【信息安全】EDR、HIDS、NDR、MDR、XDR 区别与联系

【前言】

随着安全态势的发展，为应对不同的安全防御场景需求，安全产品层出不穷，各大安全厂商也争先推出自家的安全产品/平台，这就导致产品种类繁多，信息量大而杂，本篇博文重点讲解EDR、HIDS、NDR、MDR和XDR的区别与联系，与各位共勉。

【EDR】

(Endpoint Detection & Response，EDR)，中文翻译为：端点检测与响应。

顾名思义，EDR主要使用场景为终端，不仅具备检测功能还具备处置能力，可以发现终端上的风险并自动处置。

说到终端防护，常见的杀毒引擎就不能不谈，市面上成熟的商业杀毒软件一般是基于文件签名来发现风险，重点在于对“落盘文件”的查杀，这种检测机制很容易被绕过，这也是早年间各种木马变种较多的原因，所以这种检测手段是不稳妥的，无法适用日益复杂的安全环境。

Gartner 于 2013 年定义了这一术语，被认为是一种面向未来的终端解决方案，以端点为基础，结合终端安全大数据对未知威胁和异常行为进行分析，并作出快速响应。为终端安全的未来发展指明了新的方向。

EDR与传统杀毒引擎的最本质区别在于，EDR是基于文件行为做分析并响应，而传统杀毒大部分还是停留在文件签名，如MD5 的检验上。

EDR可以做的事情很多，大型企业一般要求核心部门的终端100% EDR覆盖，其他部门逐步推动，实现全覆盖。

EDR可以提取终端的元数据，包括CPU、内存、网卡（IP、MAC）、操作系统、安装软件、硬件数据、Device数据等。还有一些网络信息，比如终端设备上的DNS和ARP表以及其它实时网络数据、开放的端口以及相关的进程数据、终端的网络连接数据、可访问终端的URL数据等。
用户操作的一些信息、包括用户登录注销数据、（IPC）数据、进程行为数据（例如数据读写）等。存储数据检测：文件（通常只包含特定的文件或者可执行文件）以及文件元数据（比如文件名/大小/类型、校验和等）、文件变更信息、syslog、主引导记录（MBR）信息等。

此外EDR还具备其他数据的检测，比如加载的DLL、激活的设备驱动程序、已加载的内核模块、CMD或者PowerShell历史命令等数据。

所以EDR的出现，很大程度提高了终端安全的“安全标准线”。

【HIDS】

（Host-based Intrusion Detection System，HIDS)，中文翻译为：主机型入侵检测系统。

HIDS实际是传统入侵检测系统，IDS的升级，从网络流量层面到主机流量层面检测的升级。

HIDS的优势在于使用用户基本无感，基于agent的安装方式以及逻辑旁路风险检测的机制，可以在不影响用户使用和保证业务稳定的同时，实现本地的安全监测。

在大型的攻防演练中，HIDS往往可以发挥奇效，在靶标网络边界区域部署HIDS，可以快速检测到异常行为，由于是基于本地agent的实时反馈，误报率较低，实战效果非常好。

【NDR】

NTA (Network Traffic Analysis) 网络流量分析这个概念在2013年被提出，NTA是一种网络威胁检测的技术，而NDR（Network Detection and Response）是在检测的基础上加入了流量响应能力，正因为可以对流量进行清洗，很多厂商也会将该解决方案应用于防DDOS 攻击。

【MDR】

（Managed Detection & Response，MDR），托管检测与响应服务。

MDR 是一整套解决方案，不是一类或者一套产品可以完成的。MDR是一套缓冲机制，企业安全从业人员不足的情况下，可以选择MDR的解决方案。这种安全即服务（SaaS）产品使公司可以访问外部分析师，这些分析师掌握所有XDR功能的专业知识，能够连续、有效地接收告警事件并确定事件的优先级，从而减轻了内部IT团队的分流负担，并在误报事件升级之前调查高风险事件，从而减少误报，同时为企业提供最新的情报。

【XDR】

（Extended Detection and Response，XDR），可拓展威胁检测与响应。

更像是组合拳，集合多种安全能力，进行功能拓展和场景定制化，XDR与更传统的安全行业主打产品，安全信息和事件管理产品（Security,Information, and EventManagement,SIEM）相似，为具有多个不同分析人员和控制台的企业提供了方案。通过SIEM，企业期望通过汇总所有控制台并将所有内容（包括入侵信息）放在一个地方来消除这些低效率的问题。因此，SIEM和XDR从本质上讲是相同的，并且受同一问题的困扰：即企业需要精通这些工具的人员，以从中获得收益。