2020年8月17日，護網行動開始的第一天，但第一天還沒結束就草草收場，網傳是因為業內三家名字帶“信”廠商的終端軟件出了安全漏洞，以及紅方攻擊IP被共享到藍方陣營，提前做了封堵，失去了攻防演練的意義。目前，還不知道再次啟動護網行動的具體時間。

1、護網行動

護網行動從2016年開始，參加單位由最開始的公安部、民航部、國家電網逐步擴散開來。2017年增加重點政府部門，2018年增加重點企事業單位，2019年有政企、能源、金融、電信、廣電、交通、民航、公共事業等單位，今年預計根據等保2.0新規範，還增加了公有雲、物聯網領域的相關企業單位。

護網行動是人員技術的比拚，也是軟硬件資源的比拚。大家印象中的黑客就可以理解為護網行動中的紅方，防守的企業就是藍方。實際上，紅方也沒有電影中的黑客那麼厲害，大部分都是用一些掃描工具、漏洞腳本等發起攻擊，真正的大神不多；藍方也沒有電影中演的那麼超神，兵來將擋、水來土掩、見招拆招，實際上都是依賴安全設備，比如網絡層加防火牆、IPS，服務器區加WAF，還有其他的流量分析、態勢感知等等一係列產品。一定程度上將，護網行動成了安全廠商推廣產品、藍方檢驗安全廠商產品的大好機會，帶來的收益就是網絡安全質量的整體提升。

2、安全漏洞

本來說的是今年的藍軍萬眾一心，信息共享，無懈可擊，但是開局一個0Day攻擊就把整個護網行動幹趴了。我也是在18號早上搜到了X信X廠商EDR平台的RCE漏洞複現手段，簡單幾步操作讓人大跌眼鏡，也讓我認識到了大神的強大技能。有興趣的可以搜一下“EDR RCE漏洞”，我還按照複現方法操作了一遍，真實有效，不過因為沒有接觸過這方麵，所以也不清楚具體怎麼利用這個漏洞。

一天之內，這個漏洞也算是在圈子裏麵火了一把，各種POC都出來了。不過，這些隻能說明EDR這個係統寫的不好，竟然有段子說代碼的BUG比代碼都多，並不影響對這個係統的評判。

3、EDR

按照Forrester 2020年度市場趨勢預測，未來幾年，數據中心的業務會逐步向雲數據中心及邊緣計算場景進行遷移；同時因為數據量激增，會有更多的邊緣計算來減輕網絡壓力，網絡邊緣和終端的安全防護顯得日益重要。

這時候就要提到EDR（端點檢測與響應平台）這個產品了，是終端防護的新型概念，前身包括AV防病毒和EPP（端點保護平台）。其產品定義為：記錄和存儲端點係統級行為，使用各種數據分析技術檢測可疑係統行為，提供上下文信息，阻止惡意活動，並提供修複建議以恢複受影響的係統

核心功能

對終端的持續性監控

利用終端集成探針功能實現對終端的持續性監控，全麵記錄並保存終端上活動的進程、網絡連接、注冊表信息、文件操作行為、移動存儲使用、用戶操作信息等，為終端威脅可見性的提升提供基礎數據支撐。

以威脅事件為起點實現自動根因分析

當一個威脅產生時，EDR解決方案不是直接提供一個告警，而是以這個威脅源為起點自動關聯這個威脅的來源和方式，在終端上執行的操作以及操作帶來的影響，並形成一個威脅告警，管理人員通過查看告警即可了解這個安全事件的全貌。

高級關聯分析應對針對性和複雜攻擊

利用關聯分析技術，將終端上不同時間段、不同類別的活動信息進行關聯分析，以洞悉其中存在的異常行為和可能存在的攻擊，有效減少產生的威脅告警信息，避免漏報和誤報對管理人員造成影響，讓威脅事件變得更容易解讀和處置。

以安全調查為抓手的全網威脅追蹤

對終端的持續性監控，為管理人員帶來了全網安全可視性的提升，進一步增強了針對網絡內終端的安全公告能力，利用安全調查功能根據終端安全關注的不同維度實現全網快速檢索，主動發現和追蹤存在的威脅，以便在威脅產生影響之初做出響應和處置。

EDR和EPP產品功能對比

而EDR軟件放人要先防己，打鐵還要自身硬。EDR一般是係統進程級防護，管理員自己都卸載不掉，應用權限極高，如果漏洞被惡意利用，如向全網終端推送惡意程序，危害巨大，後果不堪設想。

所以應當考慮對關鍵業務係統增加多因子認證等安全手段，並且安全平台做到對惡意程序零容忍，限製關鍵敏感操作；最起碼在網絡層麵，應規範關鍵業務係統的網絡可見性，減小暴露麵，把軟肋藏起來吧！共勉！

一路走來，感謝有你。我就拉個微信群吧，方便和粉絲們一起交流網絡、安全、bobty下载软件 之類的問題，再有就是打發時間。