2021年5月，美国总统拜登签署了《改善国家网络安全行政令》，其中特别提出了部署EDR的计划，以加强美国联邦政府的网络安全能力。

2021年10月8日，拜登发布了第14028号行政令，要求联邦政府通过部署EDR来改进系统中网络安全漏洞和事件的检测能力。

图1 《14028号行政令》

EDR为何成为“网红”，并如此受到国外政府青睐？其实早在2013年，Gartner就提出了终端威胁检测与响应的概念，即现在的EDR产品。经过多年的市场积累，EDR产品也越来越成熟。而网络安全从业者也逐渐发现了EDR具有较高综合能力的优势，将其列为解决网络安全问题的重要利器。

EDR“攻守兼备”应对未知威胁

终端是EDR的主战场，与传统安全产品被动检测、以管代防的思路不同，EDR并不依赖已知攻击特征，而是主动采集数据，通过情报碰撞、威胁模型分析等方式综合研判，发现未知威胁。并且EDR能够主动寻找攻击痕迹进行威胁溯源，通过全量信息关联，为发现高级威胁提供更有力的数据支撑。

EDR可构建网络联防体系

传统的安全防御思路，更多关注“单兵作战”的能力，只强调单个产品功能的全面性。但单一的防护产品势必有一定的局限性，EDR则以全新的思路构建生态，注重协防联控，与其他安全产品协同作战。威胁情报、态势感知、威胁分析均可赋能EDR实现全量信息溯源，而EDR亦可快速处置，与其形成正向反馈，提升整网安全联动能力。

图2 协防联控

EDR是零信任体系重要组成

打破原有的边界防御思路，重构零信任体系势在必行，而EDR更是其中不可或缺的重要组件。EDR具备连续、实时的数据采集能力，为应对高级威胁提供了更强的可见性；同时，零信任要求的环境感知更是依赖EDR的持续评估能力，EDR对终端的全量信息采集，提供了更准确判定终端安全状况和可信任程度的数据，为零信任的构建奠定基础。

图3 持续评估

EDR解决虚拟化/云场景下的防护

随着智慧服务的不断建设，云端运行业务成为常态化，而虚拟机也成了安全的重灾区。EDR全面适配KVM、Xen、VMware、Hyper-V等主流虚拟化架构，不受复杂的虚拟化环境限制；同时EDR具备微隔离功能，能够解决云端特有的东西流量访问控制问题，凭借EDR对云主机连入/连出数据的采集、分析和展示，可实现云主机流量的可视化，阻断非法访问、隔离失陷云主机。

网御星云终端高级威胁检测与响应系统（网御EDR），继承了公司多年终端安全领域的实践积累，有着快速部署、实时防御、全网响应等优势。将主动防御理念融入产品，以攻击者视角看待安全事件，通过全量信息采集，完整记录终端运行过程，可在重保等高频攻防对抗场景中起到至关重要的作用。该产品同时融合了持续运营的理念，重视数据的可视化呈现，提高了人机交互体验，可为运营人员提供资产态势、威胁态势等多维度分析展示与集中处置。作为新生代的终端安全产品，随着EDR产品的广泛使用，必将为终端安全带来深化的变革。