每日午餐后去公園遛彎已經(jīng)成了日常作息的一部分。今天，幾位同事搭伴同游，閑談中一位同事提起，她家里剛剛更換了指紋鎖，現(xiàn)在出門再不用帶鑰匙，感覺實在是太輕松了！

“指紋鎖真的安全嗎？”有人追問�！安蝗缭陂T外再安裝一個攝像頭，豈不是更安全？”有人如此建議。關于安全的熱烈討論就此展開……

主動式防御成大勢所趨

別看只是一把小小的門鎖，卻引發(fā)了關于安全的深入思考。無論是社會安全、生活安全，還是企業(yè)安全、網(wǎng)絡安全，都由于安全形勢和需求的快速變化，以及技術的迭代與演進，發(fā)生了顛覆性的變化。傳統(tǒng)的機械式門鎖只是被動地防護，而攝像頭則是一種主動式的安全措施，可以提前一步發(fā)現(xiàn)隱患，及早發(fā)出報警或提前處置，防患于未然。

在企業(yè)中，由被動式防御轉為主動式防護已經(jīng)是大勢所趨，由于大數(shù)據(jù)、人工智能等技術的加持，快速的檢測和響應變得越來越普遍。云計算應用的普及、疫情催化作用下遠程辦公的流行，導致安全邊界變得更加模糊，任意終端都可能成為黑客攻擊的標靶。這也是具備安全檢測、威脅預警、病毒溯源、快速響應能力的終端威脅檢測與響應（Endpoint Detection ＆ Response，EDR）引起廣泛關注的重要原因。

早在2013年，Gartner便首次提出了EDR的概念，認為它是一種面向未來的終端安全解決方案。此后連續(xù)多年，EDR都被Gartner列為十大技術之一。作為終端安全領域的風向標之一，EDR能否不負重望呢？2022年初，希臘比雷埃夫斯大學公布了一項針對國外26家頂級網(wǎng)絡安全廠商EDR產(chǎn)品的評測報告，其結果讓人大跌眼鏡，許多廠商未能檢測到高級持續(xù)威脅參與者使用的一些最常見的攻擊技術和勒索軟件團伙。即使最先進的EDR也無法預防和記錄測試中使用的大部分攻擊。我們不禁要問：問題到底出在哪兒？

真正的EDR產(chǎn)品必備能力是什么？

結合Gartner給出的定義，EDR其實是從預測、防護、檢測和響應四個維度，實現(xiàn)持續(xù)性安全防護，并且貫穿安全威脅事件的整個生命周期。拋開那些稍顯晦澀的技術細節(jié)描述，EDR只談了三件重要的事：大數(shù)據(jù)存儲及處理能力、安全分析能力，還有人的因素。

EDR標準架構設計

具體來看，若想實現(xiàn)快速的檢測和響應，數(shù)據(jù)的支撐是不可或缺的。在這里我們強調(diào)的大數(shù)據(jù)的存儲及處理能力，其核心目標是不丟失與終端安全相關的重要數(shù)據(jù)，并能通過分析原始終端安全數(shù)據(jù)而形成全局的、縝密的、連貫的攻擊視圖。在EDR中，端點采集的各類安全行為數(shù)據(jù)是終端安全防御、檢測和響應的核心依據(jù)，也是應對APT攻擊的重要手段，通過對多維度、高質(zhì)量的大數(shù)據(jù)進行自動化、智能化地關聯(lián)分析和運營，才能有效追溯攻擊過程，尋找漏洞源和攻擊源。

如今，安全威脅之所以越來越難以防范，一個非常重要的原因是，越來越多的高級威脅攻擊都學會了“隱身術”，能夠很好地隱蔽在常規(guī)軟件類似的行為中。因此，在檢測時，不僅需要對終端海量數(shù)據(jù)進行安全分析，而且要具備對歷史數(shù)據(jù)的反復檢測能力。針對APT攻擊的極強持續(xù)性和階段性特點，在關聯(lián)分析過程中應盡量收集各層面、各階段的全方位數(shù)據(jù)，同時適量將時間窗口拉大，通過寬時間域數(shù)據(jù)分析提取具有內(nèi)在關聯(lián)的若干屬性，從而更準確地識別出攻擊發(fā)生的時間、地點、攻擊類型等信息。只有具備強大的安全分析能力，才能確保各類威脅全面可視，讓任何安全隱患都無處遁形。

具備能夠部署及使用產(chǎn)品的專業(yè)人士，這是EDR充分發(fā)揮其作用的必要前提。如果沒有專業(yè)人才的支持，EDR的安全分析能力將大打折扣�；�于最新漏洞、APT等各種攻擊方案，機器學習和大數(shù)據(jù)自動化關聯(lián)分析固然不可或缺，但將收集到的數(shù)據(jù)集進行分析和解釋還是要依靠人。

毋庸置疑，EDR是一個市場“風口”，引得眾多廠商蜂擁而至。有些廠商使用入侵檢測、漏洞防御等產(chǎn)品來充當EDR，但這些產(chǎn)品在檢測能力上屬于傳統(tǒng)的本地特征匹配，并沒有終端行為采集和大數(shù)據(jù)分析能力；還有的廠商只是在其反病毒防護產(chǎn)品的基礎上新增了設備間聯(lián)動，但也打上了EDR的標簽。近日，360政企安全集團聯(lián)合Gartner發(fā)布的EDR白皮書《數(shù)字時代EDR技術發(fā)展趨勢》明確提出，面向數(shù)字時代的EDR技術應該致力于真正解決終端所面臨的各類高級威脅問題，以云端能力為核心，以安全大數(shù)據(jù)、威脅情報、高精度異常數(shù)據(jù)采集等核心技術為支撐，有效規(guī)避傳統(tǒng)終端安全產(chǎn)品（EPP）檢測技術的弊端，打造高維度的威脅檢測對抗能力，做到事前預防、事中檢測和事后修復。

以實戰(zhàn)為基礎，面向未來的EDR產(chǎn)品應該是什么樣的？應該具備怎樣的關鍵能力呢？

“特級標準”的EDR強在哪？

360基于Gartner對EDR定義的必要能力，并結合實戰(zhàn)將EDR的能力成熟度模型劃分為4個等級——初級是EPP、中級是具備有限的EDR、高級是滿足Gartner定義的標準化EDR、特級是SaaS化和智能化的EDR。近日正式發(fā)布的360 EDR正是超越了Gartner定義的標準化EDR，以SaaS化和智能化為核心特征的面向未來的EDR。

360 EDR依托360云端安全大腦提供的安全大數(shù)據(jù)、威脅情報和攻防知識庫等強大能力，以及核心安全大腦“運營商”級的分析算力支撐，構建了“云地一體化”架構，以低成本、高效率、易部署的優(yōu)勢滿足互聯(lián)網(wǎng)和隔離網(wǎng)場景下的安全防護需求，通過持續(xù)監(jiān)測端點活動行為，對威脅風險進行深度檢測、智能化分析和專業(yè)化處理，在大幅降低用戶成本的同時，提升部署效率，聯(lián)動全網(wǎng)大數(shù)據(jù)，全方位解決用戶的終端安全問題。

360 EDR的差異化可以用“3＋1”來概括。所謂“3”，是指360 EDR具備EDR最核心的三項基礎能力——全網(wǎng)視角、安全分析能力／智能檢測能力，以及專業(yè)團隊的支撐；“1”是獲取高質(zhì)量數(shù)據(jù)的能力，即終端數(shù)據(jù)質(zhì)量。

先來看三大基礎能力。從數(shù)據(jù)維度看，安全大數(shù)據(jù)作為360 EDR的持續(xù)驅動力，能夠實時同步全球威脅，持續(xù)增強對APT攻擊的檢測、感知能力。在17年實戰(zhàn)經(jīng)驗的基礎之上，360云端安全大腦匯集了超過300億惡意樣本、22萬億安全日志、80億域名信息及2EB以上的安全大數(shù)據(jù)，可幫助政企用戶透析全網(wǎng)威脅態(tài)勢。360在多維度、高質(zhì)量安全大數(shù)據(jù)方面長期累積的優(yōu)勢，在EDR產(chǎn)品上實現(xiàn)了厚積薄發(fā)，充分展示了其大數(shù)據(jù)能力這一長板。

從技術維度看，360核心安全大腦為360 EDR提供了“運營商”級別的分析能力。由于高級威脅攻擊的蛛絲馬跡往往隱蔽在常規(guī)軟件類似的行為當中，因此需要有對海量歷史數(shù)據(jù)的反復檢測能力。這些都要求產(chǎn)品具備強大的大數(shù)據(jù)運算能力。作為360 EDR的關鍵支撐部分，360核心安全大腦為其提供“運營商級別”的分析算力，可瞬間調(diào)用超過百萬顆CPU參與計算、檢索與關聯(lián)，快速幫助客戶畫出完整攻擊鏈圖譜。

從人的維度看，在終端安全對抗過程中，專業(yè)團隊的支撐能力尤為重要。360擁有具備頂級漏洞挖掘能力的東半球最強白帽軍團；360專家專家已挖掘谷歌、微軟、蘋果等主流廠商CVE漏洞近2000個，成功追蹤溯源海蓮花、摩訶草、美人魚、蔓靈花、藍寶菇等針對中國的境外APT組織50個……正是17年來360安全專家團隊持續(xù)與各國網(wǎng)軍、高級別黑客較量，以此淬煉出了一套業(yè)界獨有的“360實戰(zhàn)兵法”，實時賦能指導360 EDR實現(xiàn)對高階威脅的溯源分析。

威脅信息不是采集上來就萬事大吉了，實際上采集高質(zhì)量的安全信息是保證終端安全的高門檻之一。

要想獲得高質(zhì)量的威脅信息，首先要保證“全”，即從多維度采集威脅信息，包括攻擊前、攻擊中、攻擊后的時間維度，標準行為、差異行為、破壞行為的行為維度，以及感染前、感染中、感染后的階段維度等，在此基礎上進行安全分析，才能提升準確度。信息一定要盡可能完整，不能斷章取義或瞎子摸象。今天你不認為是威脅的信息，可能明天就是IOA（indicator of attack），之所以今天會遺漏或未被查覺，很可能是因為你的能力不足以將它“挖”出來。

其次要“精”，以360 EDR為例，它依靠360十幾年積累的內(nèi)核分析技術、獨特的核晶硬件虛擬化引擎等多種引擎，收集安全數(shù)據(jù)，確保了高精度數(shù)據(jù)的采集。

最后是“可靠”。從360的成功經(jīng)驗來看，確保信息的可靠在采集層面要盡可能地“下沉一層”。舉例來說，比如Malware運行在guest os中，那么采集就應該下沉到host層。如果你和攻擊者在同一個層次，那么可靠的信息采集只能是一廂情愿。所以，安全的攝像頭應該裝在壞人摸不到的地方。

360 EDR是符合“特級標準”的終端安全產(chǎn)品，它在云端采用SaaS部署模式，提供安全大數(shù)據(jù)的存儲、數(shù)據(jù)實時處理、關聯(lián)分析、并行查詢以及秒級響應能力，支撐安全專家隨時進行主動的威脅狩獵；同時基于查殺引擎、知識圖譜和AI技術實現(xiàn)技術提升，使得EDR越來越智能化，包括對海量安全事件的自動分類、自動分優(yōu)先級和對攻擊行為采取自動響應等，充分體現(xiàn)了下一代EDR的智能化特點。

“兩化”融合的EDR

毋庸置疑，SaaS化、智能化“兩化”融合的EDR將是未來發(fā)展的方向。

SaaS化的作用集中體現(xiàn)在，打通數(shù)據(jù)，利用云的優(yōu)勢增強安全大數(shù)據(jù)支撐能力，將威脅情報能力、檢測分析能力等以SaaS化形式賦能企業(yè)；SaaS化服務形式能更好地平衡安全能力與資源占用問題，確保安全的同時減少端點性能資源的消耗，提升服務器資源利用率；SaaS化EDR已經(jīng)經(jīng)過了大規(guī)模場景實踐驗證和優(yōu)化，很多“坑”不需要企業(yè)自己去踩，也不需要企業(yè)花費很多精力去做應用的優(yōu)化適配，在提升系統(tǒng)穩(wěn)定性的同時，節(jié)省了大量人力成本；SaaS化還有助于提升服務的穩(wěn)定性、持續(xù)性，比如SaaS化的360 EDR整合了360云端大腦的多種能力，建立了一套動態(tài)可持續(xù)演進的高級威脅能力體系，檢測能力、情報能力持續(xù)更新，通過源源不斷的安全賦能，實現(xiàn)對APT攻擊的有效對抗。

EDR的智能化可以有效降低人力操作成本，賦予產(chǎn)品安全有效的檢測處置能力，能相對智能地給出處理結果，并將防御和清除威脅及溯源結果及時反饋給用戶。360 EDR將政企用戶的風險處置能力指數(shù)級提升，實現(xiàn)了安全事件零損失。它還提供了安全風險綜合評估、SOAR自動化響應處置能力，可以實現(xiàn)自動化安全事件閉環(huán)處置流程，提高安全事件處置效率和效果。利用360核心安全大腦提供的威脅情報自動關聯(lián)分析能力，360 EDR讓高級威脅不再隱匿，攻擊過程中所有關鍵環(huán)節(jié)全部可視，從而實現(xiàn)了防護指標全部量化，讓用戶業(yè)務運行的更安全、更穩(wěn)定、更高效。

以SaaS化和智能化為基礎的EDR，可以幫助企業(yè)用戶有效解決長期安全運營的問題�！皟苫�”融合的360 EDR又一次走在了業(yè)界前列。

       原文標題 : EDR“向未來” | 360 EDR實現(xiàn)SaaS化、智能化雙輪驅動