装了EDR，被领导质疑不会用…

最近两年，越来越多人开始讨论EDR和终端安全运营了。因为大家发现：

办公网入侵，普遍占比达50%以上；

靠杀软，最多只能干掉20%免杀不行的；

靠流量封堵，约60%是域前置加密，没法封。

而攻防演练期间，终端防守难度更是指数级上升。于是蓝队出身的大黄找到了老板，说…...

而大黄也拍了胸脯：“一年之内，把日常和攻防演练期间的EDR运营策略都摸个清楚。”

严格的EDR运营策略

经过近一年的探索，EDR运营效果还真不错。从银狐到勒索，通通斩落马下。

趁着阶段性建设成果总结，大黄决定在今年攻防演练期间，继续对EDR加温。

精细防护

• 攻防演练期间，内存扫描等检测功能均需“满血运行”，保障检测的及时性和全面性；

• 平时则根据性能消耗情况进行灵活调整；

• 此外，对于安全意识较弱、需频繁对外沟通以及拥有高权限的同事，例如人力、销售、IT、客服等，进行重点监测。

远控优先

• 攻防演练期间优先处置远控类攻击，重点防范红队定向入侵；

• 平时在攻击不密集情况下，则各类安全事件一视同仁，发现一起处置一起。

快速响应

• 攻防演练期间的事件处置，需在15分钟内隔离失陷机器；2小时内完成溯源，清理文件、进程和驻留项；半天堵住安全短板，防止同类事件再次发生。

• 平时则可分别放宽到1小时、1天和3天。

主动狩猎

• 攻防演练期间需增加威胁狩猎频次，主动发现日志中是否有攻击痕迹；

• 平时可在有余力的情况下，酌情进行威胁狩猎。

7x24小时MDR

综合成本、服务质量等因素，考虑使用MDR取代部分线下驻场。

• 攻防演练期间配置7x24小时服务，重点盯防红队各类远控；

• 平时则以5x8小时为主，主要盯防银狐、勒索、挖矿等各类黑灰产。

发现攻击后，云端可一键下发任务，快速完成事件处置。

此外，行业视角的威胁情报和攻击事件总结，也能够为防守策略调整和威胁狩猎提供依据。

管控手段也需更加严格

“非常好。”领导听完连连点头，

“但有一点，不能只把EDR作为唯一的防线，在终端安全上，怎么建立纵深防御手段？”

大黄似乎早就知道领导会有此一问，因此成竹在胸。

攻击面收敛

对常用的IM应用，在平时禁止接收可执行文件的基础上，追加压缩文件，进一步收敛工队钓鱼攻击面。这部分动作一般依靠桌管实现，但一部分EDR也有类似能力。

软件管控

• 针对攻防演练期间新出现的特定漏洞，禁止运行相关软件，防止被用于钓鱼；

• 在攻防演练期间禁止安装、使用远控软件，防止红队滥用合法远控工具。

除此之外，还需要更新一下现有的网络安全制度：攻防演练期间，下班后必须关机或断网，防止电脑被红队用“零交互”攻击手段持续控制。

这一套组合拳下来，红队休想再欺负办公网是软柿子。