2020年8月17日，护网行动开始的第一天，但第一天还没结束就草草收场，网传是因为业内三家名字带“信”厂商的终端软件出了安全漏洞，以及红方攻击IP被共享到蓝方阵营，提前做了封堵，失去了攻防演练的意义。目前，还不知道再次启动护网行动的具体时间。

1、护网行动

护网行动从2016年开始，参加单位由最开始的公安部、民航部、国家电网逐步扩散开来。2017年增加重点政府部门，2018年增加重点企事业单位，2019年有政企、能源、金融、电信、广电、交通、民航、公共事业等单位，今年预计根据等保2.0新规范，还增加了公有云、物联网领域的相关企业单位。

护网行动是人员技术的比拼，也是软硬件资源的比拼。大家印象中的黑客就可以理解为护网行动中的红方，防守的企业就是蓝方。实际上，红方也没有电影中的黑客那么厉害，大部分都是用一些扫描工具、漏洞脚本等发起攻击，真正的大神不多；蓝方也没有电影中演的那么超神，兵来将挡、水来土掩、见招拆招，实际上都是依赖安全设备，比如网络层加防火墙、IPS，服务器区加WAF，还有其他的流量分析、态势感知等等一系列产品。一定程度上将，护网行动成了安全厂商推广产品、蓝方检验安全厂商产品的大好机会，带来的收益就是网络安全质量的整体提升。

2、安全漏洞

本来说的是今年的蓝军万众一心，信息共享，无懈可击，但是开局一个0Day攻击就把整个护网行动干趴了。我也是在18号早上搜到了X信X厂商EDR平台的RCE漏洞复现手段，简单几步操作让人大跌眼镜，也让我认识到了大神的强大技能。有兴趣的可以搜一下“EDR RCE漏洞”，我还按照复现方法操作了一遍，真实有效，不过因为没有接触过这方面，所以也不清楚具体怎么利用这个漏洞。

一天之内，这个漏洞也算是在圈子里面火了一把，各种POC都出来了。不过，这些只能说明EDR这个系统写的不好，竟然有段子说代码的BUG比代码都多，并不影响对这个系统的评判。

3、EDR

按照Forrester 2020年度市场趋势预测，未来几年，数据中心的业务会逐步向云数据中心及边缘计算场景进行迁移；同时因为数据量激增，会有更多的边缘计算来减轻网络压力，网络边缘和终端的安全防护显得日益重要。

这时候就要提到EDR（端点检测与响应平台）这个产品了，是终端防护的新型概念，前身包括AV防病毒和EPP（端点保护平台）。其产品定义为：记录和存储端点系统级行为，使用各种数据分析技术检测可疑系统行为，提供上下文信息，阻止恶意活动，并提供修复建议以恢复受影响的系统

核心功能

对终端的持续性监控

利用终端集成探针功能实现对终端的持续性监控，全面记录并保存终端上活动的进程、网络连接、注册表信息、文件操作行为、移动存储使用、用户操作信息等，为终端威胁可见性的提升提供基础数据支撑。

以威胁事件为起点实现自动根因分析

当一个威胁产生时，EDR解决方案不是直接提供一个告警，而是以这个威胁源为起点自动关联这个威胁的来源和方式，在终端上执行的操作以及操作带来的影响，并形成一个威胁告警，管理人员通过查看告警即可了解这个安全事件的全貌。

高级关联分析应对针对性和复杂攻击

利用关联分析技术，将终端上不同时间段、不同类别的活动信息进行关联分析，以洞悉其中存在的异常行为和可能存在的攻击，有效减少产生的威胁告警信息，避免漏报和误报对管理人员造成影响，让威胁事件变得更容易解读和处置。

以安全调查为抓手的全网威胁追踪

对终端的持续性监控，为管理人员带来了全网安全可视性的提升，进一步增强了针对网络内终端的安全公告能力，利用安全调查功能根据终端安全关注的不同维度实现全网快速检索，主动发现和追踪存在的威胁，以便在威胁产生影响之初做出响应和处置。

EDR和EPP产品功能对比

而EDR软件放人要先防己，打铁还要自身硬。EDR一般是系统进程级防护，管理员自己都卸载不掉，应用权限极高，如果漏洞被恶意利用，如向全网终端推送恶意程序，危害巨大，后果不堪设想。

所以应当考虑对关键业务系统增加多因子认证等安全手段，并且安全平台做到对恶意程序零容忍，限制关键敏感操作；最起码在网络层面，应规范关键业务系统的网络可见性，减小暴露面，把软肋藏起来吧！共勉！

一路走来，感谢有你。我就拉个微信群吧，方便和粉丝们一起交流网络、安全、云计算之类的问题，再有就是打发时间。