消除终端安全防护盲区，微步OneSEC的EDR进阶

终端安全历来都是企业网络安全防护的重点。随着混合办公需求的激增和网络攻击技术的演进，传统针对终端安全的防护手段难以有效应对，办公终端安全问题再次成为焦点。

微步在线基于七年威胁发现与响应的技术积淀，经过三年打磨，正式发布终端安全管理平台OneSEC。

终端是攻防“战场”的桥头堡。一方面，远程办公、企业上云等业务场景发生深刻变化，另一方面，以勒索软件攻击、无文件攻击、更为高级的各类木马病毒攻击等为代表的高级威胁，给终端安全带来严峻挑战。

然而，传统针对终端安全的防护在面对这些新变化、新威胁上，正变得越来越力不从心。例如在防病毒方面，传统杀毒软件只是做到病毒查杀，但威胁来源、行为意图等无法做出有效判断，存在巨大盲区；在流量检测方面，传统流量类检测产品解决了攻防和运营问题，看不到终端内部发生的行为；对于日志检测来说也同样如此，大部分日志产品收集的是IPS、防火墙等的日志，无法提供更多有价值的信息。

微步在线的CEO创始人薛锋表示，以上三类传统终端安全产品都存在巨大盲区，难以应对日益复杂的高级威胁。

针对高级威胁，快速检测与响应成为应对终端安全问题的关键抓手。终端检测与响应（EDR）自2013年由Gartner提出以来，在弥补传统终端防护产品的不足方面发挥了重要作用。EDR通过结合威胁情报、攻防对抗、机器学习等手段，提升对未知威胁的可见性，实现对高级威胁的快速检测与响应。近些年EDR产品功能已经越来越成熟，其市场也得到迅猛发展。

作为威胁情报起家的微步在线，在检测、发现方面有着天然优势，并且多年来在攻防演练方面积累了大量经验，因此在EDR产品打磨上更显得心应手。

薛锋认为，一个好的EDR产品应当是“轻、稳、准、全”。因此，如今推出的OneSEC结合EDR能力，将终端安全能力推向更远处。

OneSEC不仅具备反病毒、资产盘点、软件管控等常规终端安全能力，还具备标准意义上的EDR模块，从技术到场景全面对标国际头部厂商，有效应对僵木蠕常见网络威胁和钓鱼、勒索、挖矿与APT等新型威胁攻击，并提供了SaaS和本地化两种部署模式，实现政企办公网络从风险发现、事前预防、事中检测响应、事后溯源处置的一体化安全闭环。

• 精准EDR：有效应对新型高级威胁

OneSEC的EDR模块利用安装在终端上的轻量级Agent，实时收集终端上的全量行为日志数据并上传云端，利用云端强大的计算资源进行IOA行为特征检测。同时，EDR模块还集成了包括威胁情报IOC、攻击行为IOA、云端百亿级样本库与图关联检测等检测方式，从多个维度交叉检测，综合评判，可全面、精准发现各类威胁事件。经过VB100的评测，OneSEC的检出率可达99.94%。

EDR 1分钟内精准检出无文件攻击

“单点+事件”检测方式，能极大提升EDR的检测能力，尤其是针对一些未知、极具隐藏能力的新型威胁，复杂多变的攻击手法可能会绕过基于单点的检测技术，但只要EDR抓住其中一个或几个可疑行为，就能自动溯源出攻击全过程，并精准告警。并且，OneSEC可精准追溯威胁的进程源头和执行流，展示完整的进程上下文信息，让企业安全团队能够迅速掌握攻击详情，并将威胁事件各阶段攻击行为与ATT&CK攻击矩阵相关联。据权威机构实测证明，OneSEC可覆盖超过300项ATT&CK攻击技术及子技术，覆盖完整度高达91.3%。

在威胁处置方面，OneSEC也极大地简化了处置流程，通过自动化手段，安全团队可以一键将清理注册表项、删除文件/账号、隔离网络等处置策略下发到终端，秒级生效。针对一些高隐藏、高对抗的新型威胁，OneSEC还提供易于使用的专杀工具，一键推送，全网清理。

• 轻量化终端管理，云端赋能，开箱即用

OneSEC采用云端订阅模式交付，无需采购硬件，企业只需申请一个账号，即可将分散在全国的办公终端纳入统一管理，并可随企业终端数量增加而随需采购。云端交付的另一大优势还在于兼顾性能和效果。安装在终端上的轻量级Agent只收集终端数据，资源占用低于1%，稳定性强、兼容性好；所有涉及计算的重负载任务均在云端进行，充分利用云端海量计算资源进行多维分析，可更精准、更高效地发现威胁。针对有“数据不出网”等特殊需求的企业，OneSEC也支持本地化部署，通过将云端安全能力完整平移到企业办公网络，可帮助企业及时、高效地应对各类威胁事件，同时保证企业总部的安全合规。

• 端网联动，全方位覆盖终端威胁

在传统基于边界构建的办公安全防护体系中，分散在全国多地的分公司与分支机构的员工终端安全，通常是安全团队头疼的难题。OneSEC能从网络和终端两个维度保证办公终端安全。如OneDNS通过将云端威胁情报与DNS相结合，可从网络流量侧检测威胁，通过阻断恶意样本反连、阻止新样本下载、防止打开钓鱼链接等方式保护企业终端安全；EDR模块则利用IOA行为检测、图检测等技术对终端行为日志进行检测分析，提供包括隔离进程、文件、网络乃至终端等多种处置策略。通过将终端行为与网络流量相结合，OneSEC可以对终端威胁进行更全面威胁覆盖，处置策略更丰富、更灵活，随时随地为终端提供全面、精准、高效的安全防护能力。

随着安全形势的恶化、合规的驱动以及用户需求的增加，近年来我国终端安全市场呈现快速增长。赛迪顾问发布的《中国终端安全管理产品市场研究报告(2022)》显示，2021年中国终端安全管理产品增长率为9.1%，市场规模达到43.1亿元。到2024年，我国终端安全管理产品市场规模将达到60.8亿元，三年复合增长率将达12.2%。

终端安全市场高速增长的背后，是技术创新的驱动。微步在线推出的OneSEC终端安全管理平台在精准应对新威胁，守护办公终端安全上给用户带来新的希望。