侵權(quán)投訴
訂閱
糾錯
加入自媒體

EDR“向未來” | 360 EDR實(shí)現(xiàn)SaaS化、智能化雙輪驅(qū)動

每日午餐后去公園遛彎已經(jīng)成了日常作息的一部分。今天,幾位同事搭伴同游,閑談中一位同事提起,她家里剛剛更換了指紋鎖,現(xiàn)在出門再不用帶鑰匙,感覺實(shí)在是太輕松了!

“指紋鎖真的安全嗎?”有人追問!安蝗缭陂T外再安裝一個(gè)攝像頭,豈不是更安全?”有人如此建議。關(guān)于安全的熱烈討論就此展開……

EDR“向未來” | 360 EDR實(shí)現(xiàn)SaaS化、智能化雙輪驅(qū)動

主動式防御成大勢所趨

別看只是一把小小的門鎖,卻引發(fā)了關(guān)于安全的深入思考。無論是社會安全、生活安全,還是企業(yè)安全、網(wǎng)絡(luò)安全,都由于安全形勢和需求的快速變化,以及技術(shù)的迭代與演進(jìn),發(fā)生了顛覆性的變化。傳統(tǒng)的機(jī)械式門鎖只是被動地防護(hù),而攝像頭則是一種主動式的安全措施,可以提前一步發(fā)現(xiàn)隱患,及早發(fā)出報(bào)警或提前處置,防患于未然。

在企業(yè)中,由被動式防御轉(zhuǎn)為主動式防護(hù)已經(jīng)是大勢所趨,由于大數(shù)據(jù)、人工智能等技術(shù)的加持,快速的檢測和響應(yīng)變得越來越普遍。云計(jì)算應(yīng)用的普及、疫情催化作用下遠(yuǎn)程辦公的流行,導(dǎo)致安全邊界變得更加模糊,任意終端都可能成為黑客攻擊的標(biāo)靶。這也是具備安全檢測、威脅預(yù)警、病毒溯源、快速響應(yīng)能力的終端威脅檢測與響應(yīng)(Endpoint Detection & Response,EDR)引起廣泛關(guān)注的重要原因。

早在2013年,Gartner便首次提出了EDR的概念,認(rèn)為它是一種面向未來的終端安全解決方案。此后連續(xù)多年,EDR都被Gartner列為十大技術(shù)之一。作為終端安全領(lǐng)域的風(fēng)向標(biāo)之一,EDR能否不負(fù)重望呢?2022年初,希臘比雷埃夫斯大學(xué)公布了一項(xiàng)針對國外26家頂級網(wǎng)絡(luò)安全廠商EDR產(chǎn)品的評測報(bào)告,其結(jié)果讓人大跌眼鏡,許多廠商未能檢測到高級持續(xù)威脅參與者使用的一些最常見的攻擊技術(shù)和勒索軟件團(tuán)伙。即使最先進(jìn)的EDR也無法預(yù)防和記錄測試中使用的大部分攻擊。我們不禁要問:問題到底出在哪兒?

真正的EDR產(chǎn)品必備能力是什么?

結(jié)合Gartner給出的定義,EDR其實(shí)是從預(yù)測、防護(hù)、檢測和響應(yīng)四個(gè)維度,實(shí)現(xiàn)持續(xù)性安全防護(hù),并且貫穿安全威脅事件的整個(gè)生命周期。拋開那些稍顯晦澀的技術(shù)細(xì)節(jié)描述,EDR只談了三件重要的事:大數(shù)據(jù)存儲及處理能力、安全分析能力,還有人的因素。

EDR“向未來” | 360 EDR實(shí)現(xiàn)SaaS化、智能化雙輪驅(qū)動

EDR標(biāo)準(zhǔn)架構(gòu)設(shè)計(jì)

具體來看,若想實(shí)現(xiàn)快速的檢測和響應(yīng),數(shù)據(jù)的支撐是不可或缺的。在這里我們強(qiáng)調(diào)的大數(shù)據(jù)的存儲及處理能力,其核心目標(biāo)是不丟失與終端安全相關(guān)的重要數(shù)據(jù),并能通過分析原始終端安全數(shù)據(jù)而形成全局的、縝密的、連貫的攻擊視圖。在EDR中,端點(diǎn)采集的各類安全行為數(shù)據(jù)是終端安全防御、檢測和響應(yīng)的核心依據(jù),也是應(yīng)對APT攻擊的重要手段,通過對多維度、高質(zhì)量的大數(shù)據(jù)進(jìn)行自動化、智能化地關(guān)聯(lián)分析和運(yùn)營,才能有效追溯攻擊過程,尋找漏洞源和攻擊源。

如今,安全威脅之所以越來越難以防范,一個(gè)非常重要的原因是,越來越多的高級威脅攻擊都學(xué)會了“隱身術(shù)”,能夠很好地隱蔽在常規(guī)軟件類似的行為中。因此,在檢測時(shí),不僅需要對終端海量數(shù)據(jù)進(jìn)行安全分析,而且要具備對歷史數(shù)據(jù)的反復(fù)檢測能力。針對APT攻擊的極強(qiáng)持續(xù)性和階段性特點(diǎn),在關(guān)聯(lián)分析過程中應(yīng)盡量收集各層面、各階段的全方位數(shù)據(jù),同時(shí)適量將時(shí)間窗口拉大,通過寬時(shí)間域數(shù)據(jù)分析提取具有內(nèi)在關(guān)聯(lián)的若干屬性,從而更準(zhǔn)確地識別出攻擊發(fā)生的時(shí)間、地點(diǎn)、攻擊類型等信息。只有具備強(qiáng)大的安全分析能力,才能確保各類威脅全面可視,讓任何安全隱患都無處遁形。

具備能夠部署及使用產(chǎn)品的專業(yè)人士,這是EDR充分發(fā)揮其作用的必要前提。如果沒有專業(yè)人才的支持,EDR的安全分析能力將大打折扣;谧钚侣┒础PT等各種攻擊方案,機(jī)器學(xué)習(xí)和大數(shù)據(jù)自動化關(guān)聯(lián)分析固然不可或缺,但將收集到的數(shù)據(jù)集進(jìn)行分析和解釋還是要依靠人。

毋庸置疑,EDR是一個(gè)市場“風(fēng)口”,引得眾多廠商蜂擁而至。有些廠商使用入侵檢測、漏洞防御等產(chǎn)品來充當(dāng)EDR,但這些產(chǎn)品在檢測能力上屬于傳統(tǒng)的本地特征匹配,并沒有終端行為采集和大數(shù)據(jù)分析能力;還有的廠商只是在其反病毒防護(hù)產(chǎn)品的基礎(chǔ)上新增了設(shè)備間聯(lián)動,但也打上了EDR的標(biāo)簽。近日,360政企安全集團(tuán)聯(lián)合Gartner發(fā)布的EDR白皮書《數(shù)字時(shí)代EDR技術(shù)發(fā)展趨勢》明確提出,面向數(shù)字時(shí)代的EDR技術(shù)應(yīng)該致力于真正解決終端所面臨的各類高級威脅問題,以云端能力為核心,以安全大數(shù)據(jù)、威脅情報(bào)、高精度異常數(shù)據(jù)采集等核心技術(shù)為支撐,有效規(guī)避傳統(tǒng)終端安全產(chǎn)品(EPP)檢測技術(shù)的弊端,打造高維度的威脅檢測對抗能力,做到事前預(yù)防、事中檢測和事后修復(fù)。

以實(shí)戰(zhàn)為基礎(chǔ),面向未來的EDR產(chǎn)品應(yīng)該是什么樣的?應(yīng)該具備怎樣的關(guān)鍵能力呢?

“特級標(biāo)準(zhǔn)”的EDR強(qiáng)在哪?

360基于Gartner對EDR定義的必要能力,并結(jié)合實(shí)戰(zhàn)將EDR的能力成熟度模型劃分為4個(gè)等級——初級是EPP、中級是具備有限的EDR、高級是滿足Gartner定義的標(biāo)準(zhǔn)化EDR、特級是SaaS化和智能化的EDR。近日正式發(fā)布的360 EDR正是超越了Gartner定義的標(biāo)準(zhǔn)化EDR,以SaaS化和智能化為核心特征的面向未來的EDR。

360 EDR依托360云端安全大腦提供的安全大數(shù)據(jù)、威脅情報(bào)和攻防知識庫等強(qiáng)大能力,以及核心安全大腦“運(yùn)營商”級的分析算力支撐,構(gòu)建了“云地一體化”架構(gòu),以低成本、高效率、易部署的優(yōu)勢滿足互聯(lián)網(wǎng)和隔離網(wǎng)場景下的安全防護(hù)需求,通過持續(xù)監(jiān)測端點(diǎn)活動行為,對威脅風(fēng)險(xiǎn)進(jìn)行深度檢測、智能化分析和專業(yè)化處理,在大幅降低用戶成本的同時(shí),提升部署效率,聯(lián)動全網(wǎng)大數(shù)據(jù),全方位解決用戶的終端安全問題。

360 EDR的差異化可以用“3+1”來概括。所謂“3”,是指360 EDR具備EDR最核心的三項(xiàng)基礎(chǔ)能力——全網(wǎng)視角、安全分析能力/智能檢測能力,以及專業(yè)團(tuán)隊(duì)的支撐;“1”是獲取高質(zhì)量數(shù)據(jù)的能力,即終端數(shù)據(jù)質(zhì)量。

先來看三大基礎(chǔ)能力。從數(shù)據(jù)維度看,安全大數(shù)據(jù)作為360 EDR的持續(xù)驅(qū)動力,能夠?qū)崟r(shí)同步全球威脅,持續(xù)增強(qiáng)對APT攻擊的檢測、感知能力。在17年實(shí)戰(zhàn)經(jīng)驗(yàn)的基礎(chǔ)之上,360云端安全大腦匯集了超過300億惡意樣本、22萬億安全日志、80億域名信息及2EB以上的安全大數(shù)據(jù),可幫助政企用戶透析全網(wǎng)威脅態(tài)勢。360在多維度、高質(zhì)量安全大數(shù)據(jù)方面長期累積的優(yōu)勢,在EDR產(chǎn)品上實(shí)現(xiàn)了厚積薄發(fā),充分展示了其大數(shù)據(jù)能力這一長板。

從技術(shù)維度看,360核心安全大腦為360 EDR提供了“運(yùn)營商”級別的分析能力。由于高級威脅攻擊的蛛絲馬跡往往隱蔽在常規(guī)軟件類似的行為當(dāng)中,因此需要有對海量歷史數(shù)據(jù)的反復(fù)檢測能力。這些都要求產(chǎn)品具備強(qiáng)大的大數(shù)據(jù)運(yùn)算能力。作為360 EDR的關(guān)鍵支撐部分,360核心安全大腦為其提供“運(yùn)營商級別”的分析算力,可瞬間調(diào)用超過百萬顆CPU參與計(jì)算、檢索與關(guān)聯(lián),快速幫助客戶畫出完整攻擊鏈圖譜。

從人的維度看,在終端安全對抗過程中,專業(yè)團(tuán)隊(duì)的支撐能力尤為重要。360擁有具備頂級漏洞挖掘能力的東半球最強(qiáng)白帽軍團(tuán);360專家專家已挖掘谷歌、微軟、蘋果等主流廠商CVE漏洞近2000個(gè),成功追蹤溯源海蓮花、摩訶草、美人魚、蔓靈花、藍(lán)寶菇等針對中國的境外APT組織50個(gè)……正是17年來360安全專家團(tuán)隊(duì)持續(xù)與各國網(wǎng)軍、高級別黑客較量,以此淬煉出了一套業(yè)界獨(dú)有的“360實(shí)戰(zhàn)兵法”,實(shí)時(shí)賦能指導(dǎo)360 EDR實(shí)現(xiàn)對高階威脅的溯源分析。

EDR“向未來” | 360 EDR實(shí)現(xiàn)SaaS化、智能化雙輪驅(qū)動

威脅信息不是采集上來就萬事大吉了,實(shí)際上采集高質(zhì)量的安全信息是保證終端安全的高門檻之一。

要想獲得高質(zhì)量的威脅信息,首先要保證“全”,即從多維度采集威脅信息,包括攻擊前、攻擊中、攻擊后的時(shí)間維度,標(biāo)準(zhǔn)行為、差異行為、破壞行為的行為維度,以及感染前、感染中、感染后的階段維度等,在此基礎(chǔ)上進(jìn)行安全分析,才能提升準(zhǔn)確度。信息一定要盡可能完整,不能斷章取義或瞎子摸象。今天你不認(rèn)為是威脅的信息,可能明天就是IOA(indicator of attack),之所以今天會遺漏或未被查覺,很可能是因?yàn)槟愕哪芰Σ蛔阋詫⑺巴凇背鰜怼?/p>

其次要“精”,以360 EDR為例,它依靠360十幾年積累的內(nèi)核分析技術(shù)、獨(dú)特的核晶硬件虛擬化引擎等多種引擎,收集安全數(shù)據(jù),確保了高精度數(shù)據(jù)的采集。

最后是“可靠”。從360的成功經(jīng)驗(yàn)來看,確保信息的可靠在采集層面要盡可能地“下沉一層”。舉例來說,比如Malware運(yùn)行在guest os中,那么采集就應(yīng)該下沉到host層。如果你和攻擊者在同一個(gè)層次,那么可靠的信息采集只能是一廂情愿。所以,安全的攝像頭應(yīng)該裝在壞人摸不到的地方。

360 EDR是符合“特級標(biāo)準(zhǔn)”的終端安全產(chǎn)品,它在云端采用SaaS部署模式,提供安全大數(shù)據(jù)的存儲、數(shù)據(jù)實(shí)時(shí)處理、關(guān)聯(lián)分析、并行查詢以及秒級響應(yīng)能力,支撐安全專家隨時(shí)進(jìn)行主動的威脅狩獵;同時(shí)基于查殺引擎、知識圖譜和AI技術(shù)實(shí)現(xiàn)技術(shù)提升,使得EDR越來越智能化,包括對海量安全事件的自動分類、自動分優(yōu)先級和對攻擊行為采取自動響應(yīng)等,充分體現(xiàn)了下一代EDR的智能化特點(diǎn)。

“兩化”融合的EDR

毋庸置疑,SaaS化、智能化“兩化”融合的EDR將是未來發(fā)展的方向。

SaaS化的作用集中體現(xiàn)在,打通數(shù)據(jù),利用云的優(yōu)勢增強(qiáng)安全大數(shù)據(jù)支撐能力,將威脅情報(bào)能力、檢測分析能力等以SaaS化形式賦能企業(yè);SaaS化服務(wù)形式能更好地平衡安全能力與資源占用問題,確保安全的同時(shí)減少端點(diǎn)性能資源的消耗,提升服務(wù)器資源利用率;SaaS化EDR已經(jīng)經(jīng)過了大規(guī)模場景實(shí)踐驗(yàn)證和優(yōu)化,很多“坑”不需要企業(yè)自己去踩,也不需要企業(yè)花費(fèi)很多精力去做應(yīng)用的優(yōu)化適配,在提升系統(tǒng)穩(wěn)定性的同時(shí),節(jié)省了大量人力成本;SaaS化還有助于提升服務(wù)的穩(wěn)定性、持續(xù)性,比如SaaS化的360 EDR整合了360云端大腦的多種能力,建立了一套動態(tài)可持續(xù)演進(jìn)的高級威脅能力體系,檢測能力、情報(bào)能力持續(xù)更新,通過源源不斷的安全賦能,實(shí)現(xiàn)對APT攻擊的有效對抗。

EDR的智能化可以有效降低人力操作成本,賦予產(chǎn)品安全有效的檢測處置能力,能相對智能地給出處理結(jié)果,并將防御和清除威脅及溯源結(jié)果及時(shí)反饋給用戶。360 EDR將政企用戶的風(fēng)險(xiǎn)處置能力指數(shù)級提升,實(shí)現(xiàn)了安全事件零損失。它還提供了安全風(fēng)險(xiǎn)綜合評估、SOAR自動化響應(yīng)處置能力,可以實(shí)現(xiàn)自動化安全事件閉環(huán)處置流程,提高安全事件處置效率和效果。利用360核心安全大腦提供的威脅情報(bào)自動關(guān)聯(lián)分析能力,360 EDR讓高級威脅不再隱匿,攻擊過程中所有關(guān)鍵環(huán)節(jié)全部可視,從而實(shí)現(xiàn)了防護(hù)指標(biāo)全部量化,讓用戶業(yè)務(wù)運(yùn)行的更安全、更穩(wěn)定、更高效。

以SaaS化和智能化為基礎(chǔ)的EDR,可以幫助企業(yè)用戶有效解決長期安全運(yùn)營的問題!皟苫比诤系360 EDR又一次走在了業(yè)界前列。

       原文標(biāo)題 : EDR“向未來” | 360 EDR實(shí)現(xiàn)SaaS化、智能化雙輪驅(qū)動

聲明: 本文由入駐維科號的作者撰寫,觀點(diǎn)僅代表作者本人,不代表OFweek立場。如有侵權(quán)或其他問題,請聯(lián)系舉報(bào)。

發(fā)表評論

0條評論,0人參與

請輸入評論內(nèi)容...

請輸入評論/評論長度6~500個(gè)字

您提交的評論過于頻繁,請輸入驗(yàn)證碼繼續(xù)

  • 看不清,點(diǎn)擊換一張  刷新

暫無評論

暫無評論

安防 獵頭職位 更多
文章糾錯
x
*文字標(biāo)題:
*糾錯內(nèi)容:
聯(lián)系郵箱:
*驗(yàn) 證 碼:

粵公網(wǎng)安備 44030502002758號