作者：李揚霞

編輯：林覺民

一直以來，海灣戰(zhàn)爭被認為是信息化戰(zhàn)爭開始的標志，美軍曾在分析總結海灣戰(zhàn)爭獲勝原因時認為“戰(zhàn)爭中最致命的武器不是導彈和戰(zhàn)斗機，也不是戰(zhàn)艦和坦克，而是部署在整個戰(zhàn)場龐大的偵察預警系統(tǒng)?！?/p>

而在如今頻繁發(fā)生的數(shù)字空間網(wǎng)絡戰(zhàn)中，同樣“看見”是防御的首要能力，要知道風險在哪里，是什么樣的風險，什么時候的風險，才能進一步處置和應對。

作為攻防雙方較量的主戰(zhàn)場，終端承擔了“看見”的關鍵。攻擊方企圖通過對終端的入侵滲透，撕破防御體系，近年來利用0day漏洞、未知惡意軟件進行攻擊的安全事件層出不窮，給涉事企業(yè)帶來嚴重的經(jīng)濟損失。而防守方筑牢內(nèi)網(wǎng)防線，力爭發(fā)現(xiàn)并反制攻擊行為。

對于安全行業(yè)來講，對已知安全威脅的防御已經(jīng)相當成熟，但對于未知威脅的防范卻成了很多企業(yè)的一大心病，傳統(tǒng)的安全防護手段\工具，已經(jīng)難以和全新的網(wǎng)絡安全威脅進行正面對抗。想要實現(xiàn)“看見”威脅主動防御，EDR成為了破局之道。

近日，360推出了新一代的終端防護利器——360EDR。在第十屆互聯(lián)網(wǎng)安全大會（簡稱ISC 2022）上，雷峰網(wǎng)采訪到了360集團副總裁、首席科學家潘劍鋒，他表示：“EDR的核心思想就是主動式防御，以前的端點安全產(chǎn)品只能應對已知威脅，EDR產(chǎn)品對于未知的攻擊能夠通過系統(tǒng)和人的配合，捕捉異常行為、分析攻擊、及時響應、自動化攔截形成閉環(huán)。”EDR 的出現(xiàn)代表了安全理念的一個重要轉變：從見我“所見”，到見我“未見”。

安全沒有 “銀色子彈”，我們無法攔截所有攻擊，一味的嚴防死守、高筑城墻的理念已經(jīng)不適合當下數(shù)字經(jīng)濟時代，只有及時發(fā)現(xiàn)異常并且進行處理，將損害限制在可控范圍內(nèi)，才是端點預防攻擊最佳理念。

（360集團副總裁、首席科學家潘劍鋒）

我們需要什么樣的EDR？

EDR最早由Gartner在2013年提出，并連續(xù)多年被Gartner列為十大技術之一。最初提出EDR概念是為了彌補傳統(tǒng)終端管理系統(tǒng)（EPP）的不足，而現(xiàn)在EDR與EPP相互補充融合，逐漸已成為各大安全廠商主流的終端防護部署方式。

在過去十多年里，終端安全僅僅指的是殺毒軟件，后來才升級到EPP。EPP也被稱為第三代殺毒軟件，擁有殺毒、防火墻以及外設管控等功能，是綜合性的終端保護軟件。但是對于復雜和有針對性的攻擊，例如APT攻擊、0day攻擊等，EPP也束手無策，而攻擊者可以通過定制化的惡意軟件成功繞過防御。另外，EPP各個防御工具的告警也相互獨立，缺乏對終端的持續(xù)監(jiān)控，安全人員很難定位威脅的來源以及威脅造成的影響。

EDR技術應運而生，EDR是一種主動式的防御。面對更加隱蔽和高級的持續(xù)攻擊，EDR的原理是把威脅放進來，研究其路徑，進行分析和判斷，再進行阻斷，更側重于“檢測”和“反應”，如果經(jīng)判斷有危害，那么下次再出現(xiàn)類似的攻擊就可以直接阻斷，從而形成一整個閉環(huán)。它保護的并不局限于端點本身，而是以端點為基礎，收集更多信息，結合大數(shù)據(jù)和機器學習的技術，發(fā)現(xiàn)潛在的未知威脅，并作出響應。

由于，各廠商對EDR理解不同，其產(chǎn)品也有所差異。因此也有人認為“國內(nèi)某些“EDR”都不是真正的EDR，是EPP甚至是AV（反病毒軟件）換了皮膚，是假的EDR。”那么我們到底需要什么樣的EDR？

首先，大多數(shù)企業(yè)想要EDR功能確實不假，但是一些客戶部署了一堆威脅檢測盒子，告警量一天達到千萬級以上，無法有效的識別有價值的告警；而且，告警量的增加勢必需要投入更多的人員進行安全運營，無形中增加了安全的成本。其次，大多數(shù)EDR，其實都是一個個孤島，沒有數(shù)據(jù)積累，采什么樣的數(shù)據(jù)？怎么采？其實是很難的一件事情。

那么問題來了，到底具備什么樣的能力才是‘真EDR’？

具體來說，EDR的核心能力應該包括大數(shù)據(jù)存儲、安全事件采集、后臺分析追蹤溯源能力以及響應能力等。潘劍鋒認為：“判斷EDR是否具備真能力，最重要的是看實際效果?！彼蕴箍伺e例，評判一輛坦克的性能好壞，主要是在戰(zhàn)場上真實有效的。如果只是按照概念包裝出來，則毫無意義，真正要看到底采集了什么數(shù)據(jù)？分析能力到底怎樣？炮筒是125毫米還是50毫米，威力是完全不一樣的。

這里，以360EDR為例，把增強“看見”能力作為核心，包括看見自己、看見自己的資產(chǎn)、看見敵人的攻擊和威脅，而最核心的是“看見威脅”，看見威脅之后基本就解決了80%的問題，只有看得見才能意識到威脅的發(fā)生并進行預防。如果你都沒有看見威脅，這才是最危險的，因為什么都做不了。

360EDR如何“看見”威脅

“能夠看見威脅就解決了80%的問題，‘真EDR’是看見威脅的眼睛，能真正看見包括APT等各類威脅，它具備全球視野+AI+實戰(zhàn)能力+云端分析能力+高級端點能力，”潘劍鋒如是說。

那么，想要實現(xiàn)“看見”威脅，這背后又需要哪些核心能力？潘劍鋒指出想要“看見”威脅實現(xiàn)掛圖作戰(zhàn)，需要具備“云+端+數(shù)+人+AI”五方面的能力。

云：云端大數(shù)據(jù)處理能力、分析的能力和存儲能力。EDR核心是要能夠存儲真正的安全事件，事件匯集起來是非常龐大的數(shù)據(jù)，因此一定要具備存儲能力。其次，能夠對數(shù)據(jù)進行有效分析，要處理來自全球十幾億終端的安全事件，需要具備EB極大數(shù)據(jù)分析能力、能調(diào)用百萬顆以上CPU參與運算。360覆蓋了全球15億終端，能夠實時感知全球全網(wǎng)安全事件，將安全數(shù)據(jù)匯聚至云端分析處理，真正實現(xiàn)了數(shù)據(jù)云端打通和協(xié)作。

端：終端上高質(zhì)量事件的捕獲能力。終端上的數(shù)據(jù)采集和與分析能力，很大程度上直接決定了EDR的檢測溯源效果，是EDR看得見能力成敗的關鍵保障。一定要保證事件的精度要高，如果采集的都是低質(zhì)量的信息，會消耗寶貴的存儲和分析資源。另一方面，EDR事件探針的維度，站在高于攻擊者的維度。業(yè)內(nèi)部分廠商，可能僅僅是利用微軟標準接口來進行威脅信息收集，但標準接口廠商知道自然攻擊者也知道，他們站在同一個起跑線上，廠商能做到的，攻擊者一樣可以。因此，攝像頭必須要裝在攻擊者摸不到的地方，要不然別人進來第一件事就是把攝像頭蓋住。360 EDR基于冰刃虛擬機的探針可以從高于內(nèi)核的維度來采集安全事件，是國內(nèi)唯一默認為上億用戶開啟的虛擬機探針，確保了事件的高可信度，”潘劍鋒表示。

數(shù)：大數(shù)據(jù)。360有十幾億終端，數(shù)據(jù)量是最大的，所以見到攻擊是最多的。在大數(shù)據(jù)的賦能下，360可以將個人用戶和很多能聯(lián)網(wǎng)的企業(yè)用戶打通，將他們的安全事件在后臺統(tǒng)一分析，相當于在A廠發(fā)現(xiàn)威脅就可以應用到全部客戶，打破了終端之間的孤島。

人：人是實戰(zhàn)專家，要看見威脅，需要有豐富的實戰(zhàn)能力。目前，360擁有具備頂級漏洞挖掘能力的東半球最強白帽軍團。至今為止，360專家已成功挖掘谷歌、微軟、蘋果等主流廠商CVE漏洞近2000個，包攬三巨頭史上最高漏洞獎勵，并已成功追蹤溯源海蓮花、摩訶草、美人魚、蔓靈花、藍寶菇等針對中國的境外APT組織累計多達50個。在持續(xù)與各國高級別黑客較量過程中，淬煉出了一套業(yè)界獨有的“實戰(zhàn)兵法”，并以此賦能指導360EDR實現(xiàn)對各種威脅進行溯源分析及提供相應的解決方案。

AI：AI有一個很重要的點，數(shù)據(jù)越大，訓練結果就越好，而360的數(shù)據(jù)就足夠大。海量的大數(shù)據(jù)都需要人工智能進行處理分析，能節(jié)省絕大部分人工時間。360擁有靜態(tài)樣本檢測的QVM，從使用早期支持向量機、隨機森林等算法，到使用AI研究院自研算法，是成熟的下一代人工智能反病毒引擎；雷鳥引擎則是針對EDR所采集的時序事件進行分析，既包含經(jīng)驗規(guī)則匹配，又利用長短期記憶網(wǎng)絡等深度學習方法訓練與檢測。

歸根結底，EDR考驗的是前端數(shù)據(jù)采集能力，后端的安全大數(shù)據(jù)支撐及分析和策略控制能力，而這正是360 EDR的獨特優(yōu)勢所在。360 EDR上述“云、端、數(shù)、人、AI”能力，能幫助政企用戶消除視覺盲點、認清風險的同時，自動化處置藏匿其中的惡意行為，深度追蹤溯源取證攻擊源頭。

云地雙棧，SaaS化部署

隨著數(shù)字化的深入發(fā)展，大量的設備入網(wǎng)、業(yè)務和數(shù)據(jù)上云，對于安全也提出了更高的要求。SaaS化服務模式也掀起一股熱潮，譬如國外的EDR廠商CrowdStrike，作為當紅炸子雞市值一度接近500億美元。

反觀國內(nèi)，其實SaaS化的需求也在逐漸增加。中小企業(yè)很多時候沒有部署成熟EDR產(chǎn)品的能力或者沒有相關的人才技術。潘劍鋒指出：對于大型央國企，他們有能力自建隊伍培養(yǎng)人才；而對于中小企業(yè)來說，SaaS化服務可以很好解決該問題。

事實上，360EDR的SaaS模式遠比CrowdStrike更早。

這背后的邏輯是，十幾年來，360幫助幾億個人用戶、大中小企業(yè)、國家解決安全問題，完整存儲記錄下了360看見的全量安全大數(shù)據(jù)，在此過程中把最新攻擊樣本第一時間收集到云端，積累形成總數(shù)超300億的安全樣本庫，能夠解決發(fā)現(xiàn)已知攻擊問題。為識別未知攻擊，360基于上述樣本建立了大規(guī)模的APT基因庫和攻防知識庫，包含所有近千種技戰(zhàn)術種類，數(shù)千種殺傷鏈模型，數(shù)萬種漏洞利用和典型攻擊的實例，百萬攻防知識圖譜和百億實戰(zhàn)分析圖譜，相當一部云端百科全書。

SaaS化、智能化是360 EDR的未來演進方向。

一方面，360 EDR可以在云端采用SaaS的部署模式，為用戶提供安全大數(shù)據(jù)的存儲、數(shù)據(jù)實時處理、關聯(lián)分析、并行查詢以及秒級響應能力，支撐安全專家隨時進行主動的威脅狩獵。另一方面，基于知識圖譜和AI技術帶來的技術提升，360 EDR也越來越智能化，包括實現(xiàn)對海量安全事件的自動分類、自動分優(yōu)先級和對攻擊行為采取自動響應等。

此外，360EDR還有一個特點：支持云地雙棧部署。面對大型企業(yè)隔離網(wǎng)環(huán)境， 360EDR可以靈活進行本地化部署。如果想要連云，同時也可以享受更強的SaaS化服務。

總體而言，360 EDR依靠360在數(shù)據(jù)、情報、專家的賦能，以及云地一體的架構，能夠實現(xiàn)SaaS化或本地化部署，兼具智能化功能，為政企用戶提供最強大、最全面的安全分析能力、攻擊溯源能力、可視化展現(xiàn)能力、快速響應能力、聯(lián)防聯(lián)動能力、定制化安全運營能力以及豐富的訂閱服務，幫助用戶大幅度提升安全風險的識別、保護、檢測、響應、恢復等各項能力。

可以看出，SaaS化的服務模式，部署易，成本低，大大解放了用戶的勞動力，實現(xiàn)了降本增效。

做安全需腳踏實地

在數(shù)字化轉型過程中，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)等技術的業(yè)務應用加速落地，原有的網(wǎng)絡邊界被打破，導致終端成為新的安全邊界，終端作為數(shù)字化基礎節(jié)點面臨對抗加劇、安全挑戰(zhàn)嚴峻。

傳統(tǒng)基于規(guī)則的被動防御技術已經(jīng)無法適應新的威脅環(huán)境，網(wǎng)絡安全已經(jīng)進入檢測與響應時代。因此，EDR（端點）、NDR（網(wǎng)絡））、TDR（威脅）等檢測與響應技術紛紛出現(xiàn)。

尤其XDR（擴展的威脅監(jiān)測響應），Omdia預計：到2026年之前，XDR業(yè)務營收的復合年增長率將超過56%。業(yè)內(nèi)一部分人認為XDR集合了NDR和EDR的優(yōu)勢是終端安全的未來，能做到流量端和終端更加全面的檢測。因此不論是安全廠商還是創(chuàng)業(yè)公司都紛紛加入XDR行列，XDR與EDR究竟是互補還是顛覆？

對于此，潘劍鋒拋出一個觀點：“安全這個事情實現(xiàn)不了彎道超車，比如以前沒做過EPP，現(xiàn)在就想用EDR的概念實現(xiàn)超車，以前沒有做過EDR現(xiàn)在就想打著XDR的概念實現(xiàn)彎道超車，這樣的理念是完全錯誤的?！?/p>

這里有一個生動比方：假設EDR是攝像頭、NDR是溫度傳感器，如若攝像頭不行看東西都是模糊的，溫度傳感器也感知不到38度和39度的細微差別，那么連在一起XDR就能夠抓到小偷了？這當然不可能。

安全行業(yè)還需要一步一個腳印穩(wěn)扎穩(wěn)打。就終端安全來講，未來終端安全能力一定會實現(xiàn)一體化。

潘劍鋒表示：“360擁有十幾年實戰(zhàn)經(jīng)驗，我們覺得未來安全發(fā)展趨勢一定向真實的安全能力，解決安全問題的角度，相信真正能夠解決用戶問題的安全產(chǎn)品才會受到市場歡迎?！?span style="color: #FFFFFF;">（雷峰網(wǎng)雷峰網(wǎng)(公眾號：雷峰網(wǎng))）

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。