每日午餐后去公園遛彎已經(jīng)成了日常作息的一部分。今天，幾位同事搭伴同游，閑談中一位同事提起，她家里剛剛更換了指紋鎖，現(xiàn)在出門再不用帶鑰匙，感覺(jué)實(shí)在是太輕松了！

“指紋鎖真的安全嗎？”有人追問(wèn)�！安蝗缭陂T外再安裝一個(gè)攝像頭，豈不是更安全？”有人如此建議。關(guān)于安全的熱烈討論就此展開……

主動(dòng)式防御成大勢(shì)所趨

別看只是一把小小的門鎖，卻引發(fā)了關(guān)于安全的深入思考。無(wú)論是社會(huì)安全、生活安全，還是企業(yè)安全、網(wǎng)絡(luò)安全，都由于安全形勢(shì)和需求的快速變化，以及技術(shù)的迭代與演進(jìn)，發(fā)生了顛覆性的變化。傳統(tǒng)的機(jī)械式門鎖只是被動(dòng)地防護(hù)，而攝像頭則是一種主動(dòng)式的安全措施，可以提前一步發(fā)現(xiàn)隱患，及早發(fā)出報(bào)警或提前處置，防患于未然。

在企業(yè)中，由被動(dòng)式防御轉(zhuǎn)為主動(dòng)式防護(hù)已經(jīng)是大勢(shì)所趨，由于大數(shù)據(jù)、人工智能等技術(shù)的加持，快速的檢測(cè)和響應(yīng)變得越來(lái)越普遍。云計(jì)算應(yīng)用的普及、疫情催化作用下遠(yuǎn)程辦公的流行，導(dǎo)致安全邊界變得更加模糊，任意終端都可能成為黑客攻擊的標(biāo)靶。這也是具備安全檢測(cè)、威脅預(yù)警、病毒溯源、快速響應(yīng)能力的終端威脅檢測(cè)與響應(yīng)（Endpoint Detection ＆ Response，EDR）引起廣泛關(guān)注的重要原因。

早在2013年，Gartner便首次提出了EDR的概念，認(rèn)為它是一種面向未來(lái)的終端安全解決方案。此后連續(xù)多年，EDR都被Gartner列為十大技術(shù)之一。作為終端安全領(lǐng)域的風(fēng)向標(biāo)之一，EDR能否不負(fù)重望呢？2022年初，希臘比雷埃夫斯大學(xué)公布了一項(xiàng)針對(duì)國(guó)外26家頂級(jí)網(wǎng)絡(luò)安全廠商EDR產(chǎn)品的評(píng)測(cè)報(bào)告，其結(jié)果讓人大跌眼鏡，許多廠商未能檢測(cè)到高級(jí)持續(xù)威脅參與者使用的一些最常見(jiàn)的攻擊技術(shù)和勒索軟件團(tuán)伙。即使最先進(jìn)的EDR也無(wú)法預(yù)防和記錄測(cè)試中使用的大部分攻擊。我們不禁要問(wèn)：?jiǎn)栴}到底出在哪兒？

真正的EDR產(chǎn)品必備能力是什么？

結(jié)合Gartner給出的定義，EDR其實(shí)是從預(yù)測(cè)、防護(hù)、檢測(cè)和響應(yīng)四個(gè)維度，實(shí)現(xiàn)持續(xù)性安全防護(hù)，并且貫穿安全威脅事件的整個(gè)生命周期。拋開那些稍顯晦澀的技術(shù)細(xì)節(jié)描述，EDR只談了三件重要的事：大數(shù)據(jù)存儲(chǔ)及處理能力、安全分析能力，還有人的因素。

EDR標(biāo)準(zhǔn)架構(gòu)設(shè)計(jì)

具體來(lái)看，若想實(shí)現(xiàn)快速的檢測(cè)和響應(yīng)，數(shù)據(jù)的支撐是不可或缺的。在這里我們強(qiáng)調(diào)的大數(shù)據(jù)的存儲(chǔ)及處理能力，其核心目標(biāo)是不丟失與終端安全相關(guān)的重要數(shù)據(jù)，并能通過(guò)分析原始終端安全數(shù)據(jù)而形成全局的、縝密的、連貫的攻擊視圖。在EDR中，端點(diǎn)采集的各類安全行為數(shù)據(jù)是終端安全防御、檢測(cè)和響應(yīng)的核心依據(jù)，也是應(yīng)對(duì)APT攻擊的重要手段，通過(guò)對(duì)多維度、高質(zhì)量的大數(shù)據(jù)進(jìn)行自動(dòng)化、智能化地關(guān)聯(lián)分析和運(yùn)營(yíng)，才能有效追溯攻擊過(guò)程，尋找漏洞源和攻擊源。

如今，安全威脅之所以越來(lái)越難以防范，一個(gè)非常重要的原因是，越來(lái)越多的高級(jí)威脅攻擊都學(xué)會(huì)了“隱身術(shù)”，能夠很好地隱蔽在常規(guī)軟件類似的行為中。因此，在檢測(cè)時(shí)，不僅需要對(duì)終端海量數(shù)據(jù)進(jìn)行安全分析，而且要具備對(duì)歷史數(shù)據(jù)的反復(fù)檢測(cè)能力。針對(duì)APT攻擊的極強(qiáng)持續(xù)性和階段性特點(diǎn)，在關(guān)聯(lián)分析過(guò)程中應(yīng)盡量收集各層面、各階段的全方位數(shù)據(jù)，同時(shí)適量將時(shí)間窗口拉大，通過(guò)寬時(shí)間域數(shù)據(jù)分析提取具有內(nèi)在關(guān)聯(lián)的若干屬性，從而更準(zhǔn)確地識(shí)別出攻擊發(fā)生的時(shí)間、地點(diǎn)、攻擊類型等信息。只有具備強(qiáng)大的安全分析能力，才能確保各類威脅全面可視，讓任何安全隱患都無(wú)處遁形。

具備能夠部署及使用產(chǎn)品的專業(yè)人士，這是EDR充分發(fā)揮其作用的必要前提。如果沒(méi)有專業(yè)人才的支持，EDR的安全分析能力將大打折扣�；�于最新漏洞、APT等各種攻擊方案，機(jī)器學(xué)習(xí)和大數(shù)據(jù)自動(dòng)化關(guān)聯(lián)分析固然不可或缺，但將收集到的數(shù)據(jù)集進(jìn)行分析和解釋還是要依靠人。

毋庸置疑，EDR是一個(gè)市場(chǎng)“風(fēng)口”，引得眾多廠商蜂擁而至。有些廠商使用入侵檢測(cè)、漏洞防御等產(chǎn)品來(lái)充當(dāng)EDR，但這些產(chǎn)品在檢測(cè)能力上屬于傳統(tǒng)的本地特征匹配，并沒(méi)有終端行為采集和大數(shù)據(jù)分析能力；還有的廠商只是在其反病毒防護(hù)產(chǎn)品的基礎(chǔ)上新增了設(shè)備間聯(lián)動(dòng)，但也打上了EDR的標(biāo)簽。近日，360政企安全集團(tuán)聯(lián)合Gartner發(fā)布的EDR白皮書《數(shù)字時(shí)代EDR技術(shù)發(fā)展趨勢(shì)》明確提出，面向數(shù)字時(shí)代的EDR技術(shù)應(yīng)該致力于真正解決終端所面臨的各類高級(jí)威脅問(wèn)題，以云端能力為核心，以安全大數(shù)據(jù)、威脅情報(bào)、高精度異常數(shù)據(jù)采集等核心技術(shù)為支撐，有效規(guī)避傳統(tǒng)終端安全產(chǎn)品（EPP）檢測(cè)技術(shù)的弊端，打造高維度的威脅檢測(cè)對(duì)抗能力，做到事前預(yù)防、事中檢測(cè)和事后修復(fù)。

以實(shí)戰(zhàn)為基礎(chǔ)，面向未來(lái)的EDR產(chǎn)品應(yīng)該是什么樣的？應(yīng)該具備怎樣的關(guān)鍵能力呢？

“特級(jí)標(biāo)準(zhǔn)”的EDR強(qiáng)在哪？

360基于Gartner對(duì)EDR定義的必要能力，并結(jié)合實(shí)戰(zhàn)將EDR的能力成熟度模型劃分為4個(gè)等級(jí)——初級(jí)是EPP、中級(jí)是具備有限的EDR、高級(jí)是滿足Gartner定義的標(biāo)準(zhǔn)化EDR、特級(jí)是SaaS化和智能化的EDR。近日正式發(fā)布的360 EDR正是超越了Gartner定義的標(biāo)準(zhǔn)化EDR，以SaaS化和智能化為核心特征的面向未來(lái)的EDR。

360 EDR依托360云端安全大腦提供的安全大數(shù)據(jù)、威脅情報(bào)和攻防知識(shí)庫(kù)等強(qiáng)大能力，以及核心安全大腦“運(yùn)營(yíng)商”級(jí)的分析算力支撐，構(gòu)建了“云地一體化”架構(gòu)，以低成本、高效率、易部署的優(yōu)勢(shì)滿足互聯(lián)網(wǎng)和隔離網(wǎng)場(chǎng)景下的安全防護(hù)需求，通過(guò)持續(xù)監(jiān)測(cè)端點(diǎn)活動(dòng)行為，對(duì)威脅風(fēng)險(xiǎn)進(jìn)行深度檢測(cè)、智能化分析和專業(yè)化處理，在大幅降低用戶成本的同時(shí)，提升部署效率，聯(lián)動(dòng)全網(wǎng)大數(shù)據(jù)，全方位解決用戶的終端安全問(wèn)題。

360 EDR的差異化可以用“3＋1”來(lái)概括。所謂“3”，是指360 EDR具備EDR最核心的三項(xiàng)基礎(chǔ)能力——全網(wǎng)視角、安全分析能力／智能檢測(cè)能力，以及專業(yè)團(tuán)隊(duì)的支撐；“1”是獲取高質(zhì)量數(shù)據(jù)的能力，即終端數(shù)據(jù)質(zhì)量。

先來(lái)看三大基礎(chǔ)能力。從數(shù)據(jù)維度看，安全大數(shù)據(jù)作為360 EDR的持續(xù)驅(qū)動(dòng)力，能夠?qū)崟r(shí)同步全球威脅，持續(xù)增強(qiáng)對(duì)APT攻擊的檢測(cè)、感知能力。在17年實(shí)戰(zhàn)經(jīng)驗(yàn)的基礎(chǔ)之上，360云端安全大腦匯集了超過(guò)300億惡意樣本、22萬(wàn)億安全日志、80億域名信息及2EB以上的安全大數(shù)據(jù)，可幫助政企用戶透析全網(wǎng)威脅態(tài)勢(shì)。360在多維度、高質(zhì)量安全大數(shù)據(jù)方面長(zhǎng)期累積的優(yōu)勢(shì)，在EDR產(chǎn)品上實(shí)現(xiàn)了厚積薄發(fā)，充分展示了其大數(shù)據(jù)能力這一長(zhǎng)板。

從技術(shù)維度看，360核心安全大腦為360 EDR提供了“運(yùn)營(yíng)商”級(jí)別的分析能力。由于高級(jí)威脅攻擊的蛛絲馬跡往往隱蔽在常規(guī)軟件類似的行為當(dāng)中，因此需要有對(duì)海量歷史數(shù)據(jù)的反復(fù)檢測(cè)能力。這些都要求產(chǎn)品具備強(qiáng)大的大數(shù)據(jù)運(yùn)算能力。作為360 EDR的關(guān)鍵支撐部分，360核心安全大腦為其提供“運(yùn)營(yíng)商級(jí)別”的分析算力，可瞬間調(diào)用超過(guò)百萬(wàn)顆CPU參與計(jì)算、檢索與關(guān)聯(lián)，快速幫助客戶畫出完整攻擊鏈圖譜。

從人的維度看，在終端安全對(duì)抗過(guò)程中，專業(yè)團(tuán)隊(duì)的支撐能力尤為重要。360擁有具備頂級(jí)漏洞挖掘能力的東半球最強(qiáng)白帽軍團(tuán)；360專家專家已挖掘谷歌、微軟、蘋果等主流廠商CVE漏洞近2000個(gè)，成功追蹤溯源海蓮花、摩訶草、美人魚、蔓靈花、藍(lán)寶菇等針對(duì)中國(guó)的境外APT組織50個(gè)……正是17年來(lái)360安全專家團(tuán)隊(duì)持續(xù)與各國(guó)網(wǎng)軍、高級(jí)別黑客較量，以此淬煉出了一套業(yè)界獨(dú)有的“360實(shí)戰(zhàn)兵法”，實(shí)時(shí)賦能指導(dǎo)360 EDR實(shí)現(xiàn)對(duì)高階威脅的溯源分析。

威脅信息不是采集上來(lái)就萬(wàn)事大吉了，實(shí)際上采集高質(zhì)量的安全信息是保證終端安全的高門檻之一。

要想獲得高質(zhì)量的威脅信息，首先要保證“全”，即從多維度采集威脅信息，包括攻擊前、攻擊中、攻擊后的時(shí)間維度，標(biāo)準(zhǔn)行為、差異行為、破壞行為的行為維度，以及感染前、感染中、感染后的階段維度等，在此基礎(chǔ)上進(jìn)行安全分析，才能提升準(zhǔn)確度。信息一定要盡可能完整，不能斷章取義或瞎子摸象。今天你不認(rèn)為是威脅的信息，可能明天就是IOA（indicator of attack），之所以今天會(huì)遺漏或未被查覺(jué)，很可能是因?yàn)槟愕哪芰Σ蛔阋詫⑺�“挖”出�?lái)。

其次要“精”，以360 EDR為例，它依靠360十幾年積累的內(nèi)核分析技術(shù)、獨(dú)特的核晶硬件虛擬化引擎等多種引擎，收集安全數(shù)據(jù)，確保了高精度數(shù)據(jù)的采集。

最后是“可靠”。從360的成功經(jīng)驗(yàn)來(lái)看，確保信息的可靠在采集層面要盡可能地“下沉一層”。舉例來(lái)說(shuō)，比如Malware運(yùn)行在guest os中，那么采集就應(yīng)該下沉到host層。如果你和攻擊者在同一個(gè)層次，那么可靠的信息采集只能是一廂情愿。所以，安全的攝像頭應(yīng)該裝在壞人摸不到的地方。

360 EDR是符合“特級(jí)標(biāo)準(zhǔn)”的終端安全產(chǎn)品，它在云端采用SaaS部署模式，提供安全大數(shù)據(jù)的存儲(chǔ)、數(shù)據(jù)實(shí)時(shí)處理、關(guān)聯(lián)分析、并行查詢以及秒級(jí)響應(yīng)能力，支撐安全專家隨時(shí)進(jìn)行主動(dòng)的威脅狩獵；同時(shí)基于查殺引擎、知識(shí)圖譜和AI技術(shù)實(shí)現(xiàn)技術(shù)提升，使得EDR越來(lái)越智能化，包括對(duì)海量安全事件的自動(dòng)分類、自動(dòng)分優(yōu)先級(jí)和對(duì)攻擊行為采取自動(dòng)響應(yīng)等，充分體現(xiàn)了下一代EDR的智能化特點(diǎn)。

“兩化”融合的EDR

毋庸置疑，SaaS化、智能化“兩化”融合的EDR將是未來(lái)發(fā)展的方向。

SaaS化的作用集中體現(xiàn)在，打通數(shù)據(jù)，利用云的優(yōu)勢(shì)增強(qiáng)安全大數(shù)據(jù)支撐能力，將威脅情報(bào)能力、檢測(cè)分析能力等以SaaS化形式賦能企業(yè)；SaaS化服務(wù)形式能更好地平衡安全能力與資源占用問(wèn)題，確保安全的同時(shí)減少端點(diǎn)性能資源的消耗，提升服務(wù)器資源利用率；SaaS化EDR已經(jīng)經(jīng)過(guò)了大規(guī)模場(chǎng)景實(shí)踐驗(yàn)證和優(yōu)化，很多“坑”不需要企業(yè)自己去踩，也不需要企業(yè)花費(fèi)很多精力去做應(yīng)用的優(yōu)化適配，在提升系統(tǒng)穩(wěn)定性的同時(shí)，節(jié)省了大量人力成本；SaaS化還有助于提升服務(wù)的穩(wěn)定性、持續(xù)性，比如SaaS化的360 EDR整合了360云端大腦的多種能力，建立了一套動(dòng)態(tài)可持續(xù)演進(jìn)的高級(jí)威脅能力體系，檢測(cè)能力、情報(bào)能力持續(xù)更新，通過(guò)源源不斷的安全賦能，實(shí)現(xiàn)對(duì)APT攻擊的有效對(duì)抗。

EDR的智能化可以有效降低人力操作成本，賦予產(chǎn)品安全有效的檢測(cè)處置能力，能相對(duì)智能地給出處理結(jié)果，并將防御和清除威脅及溯源結(jié)果及時(shí)反饋給用戶。360 EDR將政企用戶的風(fēng)險(xiǎn)處置能力指數(shù)級(jí)提升，實(shí)現(xiàn)了安全事件零損失。它還提供了安全風(fēng)險(xiǎn)綜合評(píng)估、SOAR自動(dòng)化響應(yīng)處置能力，可以實(shí)現(xiàn)自動(dòng)化安全事件閉環(huán)處置流程，提高安全事件處置效率和效果。利用360核心安全大腦提供的威脅情報(bào)自動(dòng)關(guān)聯(lián)分析能力，360 EDR讓高級(jí)威脅不再隱匿，攻擊過(guò)程中所有關(guān)鍵環(huán)節(jié)全部可視，從而實(shí)現(xiàn)了防護(hù)指標(biāo)全部量化，讓用戶業(yè)務(wù)運(yùn)行的更安全、更穩(wěn)定、更高效。

以SaaS化和智能化為基礎(chǔ)的EDR，可以幫助企業(yè)用戶有效解決長(zhǎng)期安全運(yùn)營(yíng)的問(wèn)題。“兩化”融合的360 EDR又一次走在了業(yè)界前列。

       原文標(biāo)題 : EDR“向未來(lái)” | 360 EDR實(shí)現(xiàn)SaaS化、智能化雙輪驅(qū)動(dòng)