每日午餐后去公園遛彎已經(jīng)成了日常作息的一部分。今天，幾位同事搭伴同游，閑談中一位同事提起，她家里剛剛更換了指紋鎖，現(xiàn)在出門再不用帶鑰匙，感覺實(shí)在是太輕松了！

“指紋鎖真的安全嗎？”有人追問�！安蝗缭陂T外再安裝一個(gè)攝像頭，豈不是更安全？”有人如此建議。關(guān)于安全的熱烈討論就此展開……

主動式防御成大勢所趨

別看只是一把小小的門鎖，卻引發(fā)了關(guān)于安全的深入思考。無論是社會安全、生活安全，還是企業(yè)安全、網(wǎng)絡(luò)安全，都由于安全形勢和需求的快速變化，以及技術(shù)的迭代與演進(jìn)，發(fā)生了顛覆性的變化。傳統(tǒng)的機(jī)械式門鎖只是被動地防護(hù)，而攝像頭則是一種主動式的安全措施，可以提前一步發(fā)現(xiàn)隱患，及早發(fā)出報(bào)警或提前處置，防患于未然。

在企業(yè)中，由被動式防御轉(zhuǎn)為主動式防護(hù)已經(jīng)是大勢所趨，由于大數(shù)據(jù)、人工智能等技術(shù)的加持，快速的檢測和響應(yīng)變得越來越普遍。云計(jì)算應(yīng)用的普及、疫情催化作用下遠(yuǎn)程辦公的流行，導(dǎo)致安全邊界變得更加模糊，任意終端都可能成為黑客攻擊的標(biāo)靶。這也是具備安全檢測、威脅預(yù)警、病毒溯源、快速響應(yīng)能力的終端威脅檢測與響應(yīng)（Endpoint Detection ＆ Response，EDR）引起廣泛關(guān)注的重要原因。

早在2013年，Gartner便首次提出了EDR的概念，認(rèn)為它是一種面向未來的終端安全解決方案。此后連續(xù)多年，EDR都被Gartner列為十大技術(shù)之一。作為終端安全領(lǐng)域的風(fēng)向標(biāo)之一，EDR能否不負(fù)重望呢？2022年初，希臘比雷埃夫斯大學(xué)公布了一項(xiàng)針對國外26家頂級網(wǎng)絡(luò)安全廠商EDR產(chǎn)品的評測報(bào)告，其結(jié)果讓人大跌眼鏡，許多廠商未能檢測到高級持續(xù)威脅參與者使用的一些最常見的攻擊技術(shù)和勒索軟件團(tuán)伙。即使最先進(jìn)的EDR也無法預(yù)防和記錄測試中使用的大部分攻擊。我們不禁要問：問題到底出在哪兒？

真正的EDR產(chǎn)品必備能力是什么？

結(jié)合Gartner給出的定義，EDR其實(shí)是從預(yù)測、防護(hù)、檢測和響應(yīng)四個(gè)維度，實(shí)現(xiàn)持續(xù)性安全防護(hù)，并且貫穿安全威脅事件的整個(gè)生命周期。拋開那些稍顯晦澀的技術(shù)細(xì)節(jié)描述，EDR只談了三件重要的事：大數(shù)據(jù)存儲及處理能力、安全分析能力，還有人的因素。

EDR標(biāo)準(zhǔn)架構(gòu)設(shè)計(jì)

具體來看，若想實(shí)現(xiàn)快速的檢測和響應(yīng)，數(shù)據(jù)的支撐是不可或缺的。在這里我們強(qiáng)調(diào)的大數(shù)據(jù)的存儲及處理能力，其核心目標(biāo)是不丟失與終端安全相關(guān)的重要數(shù)據(jù)，并能通過分析原始終端安全數(shù)據(jù)而形成全局的、縝密的、連貫的攻擊視圖。在EDR中，端點(diǎn)采集的各類安全行為數(shù)據(jù)是終端安全防御、檢測和響應(yīng)的核心依據(jù)，也是應(yīng)對APT攻擊的重要手段，通過對多維度、高質(zhì)量的大數(shù)據(jù)進(jìn)行自動化、智能化地關(guān)聯(lián)分析和運(yùn)營，才能有效追溯攻擊過程，尋找漏洞源和攻擊源。

如今，安全威脅之所以越來越難以防范，一個(gè)非常重要的原因是，越來越多的高級威脅攻擊都學(xué)會了“隱身術(shù)”，能夠很好地隱蔽在常規(guī)軟件類似的行為中。因此，在檢測時(shí)，不僅需要對終端海量數(shù)據(jù)進(jìn)行安全分析，而且要具備對歷史數(shù)據(jù)的反復(fù)檢測能力。針對APT攻擊的極強(qiáng)持續(xù)性和階段性特點(diǎn)，在關(guān)聯(lián)分析過程中應(yīng)盡量收集各層面、各階段的全方位數(shù)據(jù)，同時(shí)適量將時(shí)間窗口拉大，通過寬時(shí)間域數(shù)據(jù)分析提取具有內(nèi)在關(guān)聯(lián)的若干屬性，從而更準(zhǔn)確地識別出攻擊發(fā)生的時(shí)間、地點(diǎn)、攻擊類型等信息。只有具備強(qiáng)大的安全分析能力，才能確保各類威脅全面可視，讓任何安全隱患都無處遁形。

具備能夠部署及使用產(chǎn)品的專業(yè)人士，這是EDR充分發(fā)揮其作用的必要前提。如果沒有專業(yè)人才的支持，EDR的安全分析能力將大打折扣�；�于最新漏洞、APT等各種攻擊方案，機(jī)器學(xué)習(xí)和大數(shù)據(jù)自動化關(guān)聯(lián)分析固然不可或缺，但將收集到的數(shù)據(jù)集進(jìn)行分析和解釋還是要依靠人。

毋庸置疑，EDR是一個(gè)市場“風(fēng)口”，引得眾多廠商蜂擁而至。有些廠商使用入侵檢測、漏洞防御等產(chǎn)品來充當(dāng)EDR，但這些產(chǎn)品在檢測能力上屬于傳統(tǒng)的本地特征匹配，并沒有終端行為采集和大數(shù)據(jù)分析能力；還有的廠商只是在其反病毒防護(hù)產(chǎn)品的基礎(chǔ)上新增了設(shè)備間聯(lián)動，但也打上了EDR的標(biāo)簽。近日，360政企安全集團(tuán)聯(lián)合Gartner發(fā)布的EDR白皮書《數(shù)字時(shí)代EDR技術(shù)發(fā)展趨勢》明確提出，面向數(shù)字時(shí)代的EDR技術(shù)應(yīng)該致力于真正解決終端所面臨的各類高級威脅問題，以云端能力為核心，以安全大數(shù)據(jù)、威脅情報(bào)、高精度異常數(shù)據(jù)采集等核心技術(shù)為支撐，有效規(guī)避傳統(tǒng)終端安全產(chǎn)品（EPP）檢測技術(shù)的弊端，打造高維度的威脅檢測對抗能力，做到事前預(yù)防、事中檢測和事后修復(fù)。

以實(shí)戰(zhàn)為基礎(chǔ)，面向未來的EDR產(chǎn)品應(yīng)該是什么樣的？應(yīng)該具備怎樣的關(guān)鍵能力呢？

“特級標(biāo)準(zhǔn)”的EDR強(qiáng)在哪？

360基于Gartner對EDR定義的必要能力，并結(jié)合實(shí)戰(zhàn)將EDR的能力成熟度模型劃分為4個(gè)等級——初級是EPP、中級是具備有限的EDR、高級是滿足Gartner定義的標(biāo)準(zhǔn)化EDR、特級是SaaS化和智能化的EDR。近日正式發(fā)布的360 EDR正是超越了Gartner定義的標(biāo)準(zhǔn)化EDR，以SaaS化和智能化為核心特征的面向未來的EDR。

360 EDR依托360云端安全大腦提供的安全大數(shù)據(jù)、威脅情報(bào)和攻防知識庫等強(qiáng)大能力，以及核心安全大腦“運(yùn)營商”級的分析算力支撐，構(gòu)建了“云地一體化”架構(gòu)，以低成本、高效率、易部署的優(yōu)勢滿足互聯(lián)網(wǎng)和隔離網(wǎng)場景下的安全防護(hù)需求，通過持續(xù)監(jiān)測端點(diǎn)活動行為，對威脅風(fēng)險(xiǎn)進(jìn)行深度檢測、智能化分析和專業(yè)化處理，在大幅降低用戶成本的同時(shí)，提升部署效率，聯(lián)動全網(wǎng)大數(shù)據(jù)，全方位解決用戶的終端安全問題。

360 EDR的差異化可以用“3＋1”來概括。所謂“3”，是指360 EDR具備EDR最核心的三項(xiàng)基礎(chǔ)能力——全網(wǎng)視角、安全分析能力／智能檢測能力，以及專業(yè)團(tuán)隊(duì)的支撐；“1”是獲取高質(zhì)量數(shù)據(jù)的能力，即終端數(shù)據(jù)質(zhì)量。

先來看三大基礎(chǔ)能力。從數(shù)據(jù)維度看，安全大數(shù)據(jù)作為360 EDR的持續(xù)驅(qū)動力，能夠?qū)崟r(shí)同步全球威脅，持續(xù)增強(qiáng)對APT攻擊的檢測、感知能力。在17年實(shí)戰(zhàn)經(jīng)驗(yàn)的基礎(chǔ)之上，360云端安全大腦匯集了超過300億惡意樣本、22萬億安全日志、80億域名信息及2EB以上的安全大數(shù)據(jù)，可幫助政企用戶透析全網(wǎng)威脅態(tài)勢。360在多維度、高質(zhì)量安全大數(shù)據(jù)方面長期累積的優(yōu)勢，在EDR產(chǎn)品上實(shí)現(xiàn)了厚積薄發(fā)，充分展示了其大數(shù)據(jù)能力這一長板。

從技術(shù)維度看，360核心安全大腦為360 EDR提供了“運(yùn)營商”級別的分析能力。由于高級威脅攻擊的蛛絲馬跡往往隱蔽在常規(guī)軟件類似的行為當(dāng)中，因此需要有對海量歷史數(shù)據(jù)的反復(fù)檢測能力。這些都要求產(chǎn)品具備強(qiáng)大的大數(shù)據(jù)運(yùn)算能力。作為360 EDR的關(guān)鍵支撐部分，360核心安全大腦為其提供“運(yùn)營商級別”的分析算力，可瞬間調(diào)用超過百萬顆CPU參與計(jì)算、檢索與關(guān)聯(lián)，快速幫助客戶畫出完整攻擊鏈圖譜。

從人的維度看，在終端安全對抗過程中，專業(yè)團(tuán)隊(duì)的支撐能力尤為重要。360擁有具備頂級漏洞挖掘能力的東半球最強(qiáng)白帽軍團(tuán)；360專家專家已挖掘谷歌、微軟、蘋果等主流廠商CVE漏洞近2000個(gè)，成功追蹤溯源海蓮花、摩訶草、美人魚、蔓靈花、藍(lán)寶菇等針對中國的境外APT組織50個(gè)……正是17年來360安全專家團(tuán)隊(duì)持續(xù)與各國網(wǎng)軍、高級別黑客較量，以此淬煉出了一套業(yè)界獨(dú)有的“360實(shí)戰(zhàn)兵法”，實(shí)時(shí)賦能指導(dǎo)360 EDR實(shí)現(xiàn)對高階威脅的溯源分析。

威脅信息不是采集上來就萬事大吉了，實(shí)際上采集高質(zhì)量的安全信息是保證終端安全的高門檻之一。

要想獲得高質(zhì)量的威脅信息，首先要保證“全”，即從多維度采集威脅信息，包括攻擊前、攻擊中、攻擊后的時(shí)間維度，標(biāo)準(zhǔn)行為、差異行為、破壞行為的行為維度，以及感染前、感染中、感染后的階段維度等，在此基礎(chǔ)上進(jìn)行安全分析，才能提升準(zhǔn)確度。信息一定要盡可能完整，不能斷章取義或瞎子摸象。今天你不認(rèn)為是威脅的信息，可能明天就是IOA（indicator of attack），之所以今天會遺漏或未被查覺，很可能是因?yàn)槟愕哪芰Σ蛔阋詫⑺�“挖”出來�?/p>

其次要“精”，以360 EDR為例，它依靠360十幾年積累的內(nèi)核分析技術(shù)、獨(dú)特的核晶硬件虛擬化引擎等多種引擎，收集安全數(shù)據(jù)，確保了高精度數(shù)據(jù)的采集。

最后是“可靠”。從360的成功經(jīng)驗(yàn)來看，確保信息的可靠在采集層面要盡可能地“下沉一層”。舉例來說，比如Malware運(yùn)行在guest os中，那么采集就應(yīng)該下沉到host層。如果你和攻擊者在同一個(gè)層次，那么可靠的信息采集只能是一廂情愿。所以，安全的攝像頭應(yīng)該裝在壞人摸不到的地方。

360 EDR是符合“特級標(biāo)準(zhǔn)”的終端安全產(chǎn)品，它在云端采用SaaS部署模式，提供安全大數(shù)據(jù)的存儲、數(shù)據(jù)實(shí)時(shí)處理、關(guān)聯(lián)分析、并行查詢以及秒級響應(yīng)能力，支撐安全專家隨時(shí)進(jìn)行主動的威脅狩獵；同時(shí)基于查殺引擎、知識圖譜和AI技術(shù)實(shí)現(xiàn)技術(shù)提升，使得EDR越來越智能化，包括對海量安全事件的自動分類、自動分優(yōu)先級和對攻擊行為采取自動響應(yīng)等，充分體現(xiàn)了下一代EDR的智能化特點(diǎn)。

“兩化”融合的EDR

毋庸置疑，SaaS化、智能化“兩化”融合的EDR將是未來發(fā)展的方向。

SaaS化的作用集中體現(xiàn)在，打通數(shù)據(jù)，利用云的優(yōu)勢增強(qiáng)安全大數(shù)據(jù)支撐能力，將威脅情報(bào)能力、檢測分析能力等以SaaS化形式賦能企業(yè)；SaaS化服務(wù)形式能更好地平衡安全能力與資源占用問題，確保安全的同時(shí)減少端點(diǎn)性能資源的消耗，提升服務(wù)器資源利用率；SaaS化EDR已經(jīng)經(jīng)過了大規(guī)模場景實(shí)踐驗(yàn)證和優(yōu)化，很多“坑”不需要企業(yè)自己去踩，也不需要企業(yè)花費(fèi)很多精力去做應(yīng)用的優(yōu)化適配，在提升系統(tǒng)穩(wěn)定性的同時(shí)，節(jié)省了大量人力成本；SaaS化還有助于提升服務(wù)的穩(wěn)定性、持續(xù)性，比如SaaS化的360 EDR整合了360云端大腦的多種能力，建立了一套動態(tài)可持續(xù)演進(jìn)的高級威脅能力體系，檢測能力、情報(bào)能力持續(xù)更新，通過源源不斷的安全賦能，實(shí)現(xiàn)對APT攻擊的有效對抗。

EDR的智能化可以有效降低人力操作成本，賦予產(chǎn)品安全有效的檢測處置能力，能相對智能地給出處理結(jié)果，并將防御和清除威脅及溯源結(jié)果及時(shí)反饋給用戶。360 EDR將政企用戶的風(fēng)險(xiǎn)處置能力指數(shù)級提升，實(shí)現(xiàn)了安全事件零損失。它還提供了安全風(fēng)險(xiǎn)綜合評估、SOAR自動化響應(yīng)處置能力，可以實(shí)現(xiàn)自動化安全事件閉環(huán)處置流程，提高安全事件處置效率和效果。利用360核心安全大腦提供的威脅情報(bào)自動關(guān)聯(lián)分析能力，360 EDR讓高級威脅不再隱匿，攻擊過程中所有關(guān)鍵環(huán)節(jié)全部可視，從而實(shí)現(xiàn)了防護(hù)指標(biāo)全部量化，讓用戶業(yè)務(wù)運(yùn)行的更安全、更穩(wěn)定、更高效。

以SaaS化和智能化為基礎(chǔ)的EDR，可以幫助企業(yè)用戶有效解決長期安全運(yùn)營的問題�！皟苫�”融合的360 EDR又一次走在了業(yè)界前列。

       原文標(biāo)題 : EDR“向未來” | 360 EDR實(shí)現(xiàn)SaaS化、智能化雙輪驅(qū)動