事件现场:一场被忽视的技术路线之争

安全圈最近有个争议被重新点燃。当端点检测响应(EDR)成为主流,有人开始质疑:传统的网络层检测是不是该进博物馆了?

打开网易新闻 查看精彩图片

但另一派观点针锋相对——他们认为放弃网络层等于自废武功。两种技术路线的拥护者,正在企业安全架构的预算表上正面交锋。

正方:EDR已经够用了

支持者的逻辑很直接。现代攻击大多从终端发起,钓鱼邮件、恶意软件落地执行,EDR能在进程层面精准拦截。网络流量加密率超过90%,传统深度包检测(DPI)能看懂的越来越少。

更现实的是成本。部署一套全网流量分析系统,硬件、存储、分析师人力都是无底洞。EDR按终端授权,算账清晰。

反方:没有网络层等于盲人摸象

反对派的核心论据是可见性盲区。EDR看不见的东西太多:非托管设备(IoT、访客笔记本)、影子IT、跨云流量。攻击者一旦拿到合法凭证横向移动,EDR很难区分正常登录和盗用。

网络层检测的价值恰恰在这里——它不关心终端装没装agent,只看"谁在和谁说话"。加密流量也有指纹:TLS握手特征、域名生成算法(DGA)、异常 beacon 行为,这些信号EDR拿不到。

我的判断:不是二选一,是重新分工

这场争论的本质是成本与可见性的权衡,但非此即彼的框架本身就有问题。EDR擅长深度、精准;网络层擅长广度、关联。真正的安全架构应该让两者互为校验——EDR告警用网络流量做上下文 enrichment,网络层异常用端点行为确认杀伤链阶段。

对于25-40岁的安全从业者,务实的建议是:先清点你的资产盲区。如果非托管设备占比超过20%,或正在做多云架构,网络层检测的ROI会快速回升。别被"EDR万能论"带偏,也别为怀旧情怀买单。