作者：李揚(yáng)霞

編輯：林覺民

一直以來，海灣戰(zhàn)爭(zhēng)被認(rèn)為是信息化戰(zhàn)爭(zhēng)開始的標(biāo)志，美軍曾在分析總結(jié)海灣戰(zhàn)爭(zhēng)獲勝原因時(shí)認(rèn)為“戰(zhàn)爭(zhēng)中最致命的武器不是導(dǎo)彈和戰(zhàn)斗機(jī)，也不是戰(zhàn)艦和坦克，而是部署在整個(gè)戰(zhàn)場(chǎng)龐大的偵察預(yù)警系統(tǒng)?！?/p>

而在如今頻繁發(fā)生的數(shù)字空間網(wǎng)絡(luò)戰(zhàn)中，同樣“看見”是防御的首要能力，要知道風(fēng)險(xiǎn)在哪里，是什么樣的風(fēng)險(xiǎn)，什么時(shí)候的風(fēng)險(xiǎn)，才能進(jìn)一步處置和應(yīng)對(duì)。

作為攻防雙方較量的主戰(zhàn)場(chǎng)，終端承擔(dān)了“看見”的關(guān)鍵。攻擊方企圖通過對(duì)終端的入侵滲透，撕破防御體系，近年來利用0day漏洞、未知惡意軟件進(jìn)行攻擊的安全事件層出不窮，給涉事企業(yè)帶來嚴(yán)重的經(jīng)濟(jì)損失。而防守方筑牢內(nèi)網(wǎng)防線，力爭(zhēng)發(fā)現(xiàn)并反制攻擊行為。

對(duì)于安全行業(yè)來講，對(duì)已知安全威脅的防御已經(jīng)相當(dāng)成熟，但對(duì)于未知威脅的防范卻成了很多企業(yè)的一大心病，傳統(tǒng)的安全防護(hù)手段\工具，已經(jīng)難以和全新的網(wǎng)絡(luò)安全威脅進(jìn)行正面對(duì)抗。想要實(shí)現(xiàn)“看見”威脅主動(dòng)防御，EDR成為了破局之道。

近日，360推出了新一代的終端防護(hù)利器——360EDR。在第十屆互聯(lián)網(wǎng)安全大會(huì)（簡稱ISC 2022）上，雷峰網(wǎng)采訪到了360集團(tuán)副總裁、首席科學(xué)家潘劍鋒，他表示：“EDR的核心思想就是主動(dòng)式防御，以前的端點(diǎn)安全產(chǎn)品只能應(yīng)對(duì)已知威脅，EDR產(chǎn)品對(duì)于未知的攻擊能夠通過系統(tǒng)和人的配合，捕捉異常行為、分析攻擊、及時(shí)響應(yīng)、自動(dòng)化攔截形成閉環(huán)。”EDR 的出現(xiàn)代表了安全理念的一個(gè)重要轉(zhuǎn)變：從見我“所見”，到見我“未見”。

安全沒有 “銀色子彈”，我們無法攔截所有攻擊，一味的嚴(yán)防死守、高筑城墻的理念已經(jīng)不適合當(dāng)下數(shù)字經(jīng)濟(jì)時(shí)代，只有及時(shí)發(fā)現(xiàn)異常并且進(jìn)行處理，將損害限制在可控范圍內(nèi)，才是端點(diǎn)預(yù)防攻擊最佳理念。

（360集團(tuán)副總裁、首席科學(xué)家潘劍鋒）

我們需要什么樣的EDR？

EDR最早由Gartner在2013年提出，并連續(xù)多年被Gartner列為十大技術(shù)之一。最初提出EDR概念是為了彌補(bǔ)傳統(tǒng)終端管理系統(tǒng)（EPP）的不足，而現(xiàn)在EDR與EPP相互補(bǔ)充融合，逐漸已成為各大安全廠商主流的終端防護(hù)部署方式。

在過去十多年里，終端安全僅僅指的是殺毒軟件，后來才升級(jí)到EPP。EPP也被稱為第三代殺毒軟件，擁有殺毒、防火墻以及外設(shè)管控等功能，是綜合性的終端保護(hù)軟件。但是對(duì)于復(fù)雜和有針對(duì)性的攻擊，例如APT攻擊、0day攻擊等，EPP也束手無策，而攻擊者可以通過定制化的惡意軟件成功繞過防御。另外，EPP各個(gè)防御工具的告警也相互獨(dú)立，缺乏對(duì)終端的持續(xù)監(jiān)控，安全人員很難定位威脅的來源以及威脅造成的影響。

EDR技術(shù)應(yīng)運(yùn)而生，EDR是一種主動(dòng)式的防御。面對(duì)更加隱蔽和高級(jí)的持續(xù)攻擊，EDR的原理是把威脅放進(jìn)來，研究其路徑，進(jìn)行分析和判斷，再進(jìn)行阻斷，更側(cè)重于“檢測(cè)”和“反應(yīng)”，如果經(jīng)判斷有危害，那么下次再出現(xiàn)類似的攻擊就可以直接阻斷，從而形成一整個(gè)閉環(huán)。它保護(hù)的并不局限于端點(diǎn)本身，而是以端點(diǎn)為基礎(chǔ)，收集更多信息，結(jié)合大數(shù)據(jù)和機(jī)器學(xué)習(xí)的技術(shù)，發(fā)現(xiàn)潛在的未知威脅，并作出響應(yīng)。

由于，各廠商對(duì)EDR理解不同，其產(chǎn)品也有所差異。因此也有人認(rèn)為“國內(nèi)某些“EDR”都不是真正的EDR，是EPP甚至是AV（反病毒軟件）換了皮膚，是假的EDR?！蹦敲次覀兊降仔枰裁礃拥腅DR？

首先，大多數(shù)企業(yè)想要EDR功能確實(shí)不假，但是一些客戶部署了一堆威脅檢測(cè)盒子，告警量一天達(dá)到千萬級(jí)以上，無法有效的識(shí)別有價(jià)值的告警；而且，告警量的增加勢(shì)必需要投入更多的人員進(jìn)行安全運(yùn)營，無形中增加了安全的成本。其次，大多數(shù)EDR，其實(shí)都是一個(gè)個(gè)孤島，沒有數(shù)據(jù)積累，采什么樣的數(shù)據(jù)？怎么采？其實(shí)是很難的一件事情。

那么問題來了，到底具備什么樣的能力才是‘真EDR’？

具體來說，EDR的核心能力應(yīng)該包括大數(shù)據(jù)存儲(chǔ)、安全事件采集、后臺(tái)分析追蹤溯源能力以及響應(yīng)能力等。潘劍鋒認(rèn)為：“判斷EDR是否具備真能力，最重要的是看實(shí)際效果?！彼蕴箍伺e例，評(píng)判一輛坦克的性能好壞，主要是在戰(zhàn)場(chǎng)上真實(shí)有效的。如果只是按照概念包裝出來，則毫無意義，真正要看到底采集了什么數(shù)據(jù)？分析能力到底怎樣？炮筒是125毫米還是50毫米，威力是完全不一樣的。

這里，以360EDR為例，把增強(qiáng)“看見”能力作為核心，包括看見自己、看見自己的資產(chǎn)、看見敵人的攻擊和威脅，而最核心的是“看見威脅”，看見威脅之后基本就解決了80%的問題，只有看得見才能意識(shí)到威脅的發(fā)生并進(jìn)行預(yù)防。如果你都沒有看見威脅，這才是最危險(xiǎn)的，因?yàn)槭裁炊甲霾涣恕?/p>

360EDR如何“看見”威脅

“能夠看見威脅就解決了80%的問題，‘真EDR’是看見威脅的眼睛，能真正看見包括APT等各類威脅，它具備全球視野+AI+實(shí)戰(zhàn)能力+云端分析能力+高級(jí)端點(diǎn)能力，”潘劍鋒如是說。

那么，想要實(shí)現(xiàn)“看見”威脅，這背后又需要哪些核心能力？潘劍鋒指出想要“看見”威脅實(shí)現(xiàn)掛圖作戰(zhàn)，需要具備“云+端+數(shù)+人+AI”五方面的能力。

云：云端大數(shù)據(jù)處理能力、分析的能力和存儲(chǔ)能力。EDR核心是要能夠存儲(chǔ)真正的安全事件，事件匯集起來是非常龐大的數(shù)據(jù)，因此一定要具備存儲(chǔ)能力。其次，能夠?qū)?shù)據(jù)進(jìn)行有效分析，要處理來自全球十幾億終端的安全事件，需要具備EB極大數(shù)據(jù)分析能力、能調(diào)用百萬顆以上CPU參與運(yùn)算。360覆蓋了全球15億終端，能夠?qū)崟r(shí)感知全球全網(wǎng)安全事件，將安全數(shù)據(jù)匯聚至云端分析處理，真正實(shí)現(xiàn)了數(shù)據(jù)云端打通和協(xié)作。

端：終端上高質(zhì)量事件的捕獲能力。終端上的數(shù)據(jù)采集和與分析能力，很大程度上直接決定了EDR的檢測(cè)溯源效果，是EDR看得見能力成敗的關(guān)鍵保障。一定要保證事件的精度要高，如果采集的都是低質(zhì)量的信息，會(huì)消耗寶貴的存儲(chǔ)和分析資源。另一方面，EDR事件探針的維度，站在高于攻擊者的維度。業(yè)內(nèi)部分廠商，可能僅僅是利用微軟標(biāo)準(zhǔn)接口來進(jìn)行威脅信息收集，但標(biāo)準(zhǔn)接口廠商知道自然攻擊者也知道，他們站在同一個(gè)起跑線上，廠商能做到的，攻擊者一樣可以。因此，攝像頭必須要裝在攻擊者摸不到的地方，要不然別人進(jìn)來第一件事就是把攝像頭蓋住。360 EDR基于冰刃虛擬機(jī)的探針可以從高于內(nèi)核的維度來采集安全事件，是國內(nèi)唯一默認(rèn)為上億用戶開啟的虛擬機(jī)探針，確保了事件的高可信度，”潘劍鋒表示。

數(shù)：大數(shù)據(jù)。360有十幾億終端，數(shù)據(jù)量是最大的，所以見到攻擊是最多的。在大數(shù)據(jù)的賦能下，360可以將個(gè)人用戶和很多能聯(lián)網(wǎng)的企業(yè)用戶打通，將他們的安全事件在后臺(tái)統(tǒng)一分析，相當(dāng)于在A廠發(fā)現(xiàn)威脅就可以應(yīng)用到全部客戶，打破了終端之間的孤島。

人：人是實(shí)戰(zhàn)專家，要看見威脅，需要有豐富的實(shí)戰(zhàn)能力。目前，360擁有具備頂級(jí)漏洞挖掘能力的東半球最強(qiáng)白帽軍團(tuán)。至今為止，360專家已成功挖掘谷歌、微軟、蘋果等主流廠商CVE漏洞近2000個(gè)，包攬三巨頭史上最高漏洞獎(jiǎng)勵(lì)，并已成功追蹤溯源海蓮花、摩訶草、美人魚、蔓靈花、藍(lán)寶菇等針對(duì)中國的境外APT組織累計(jì)多達(dá)50個(gè)。在持續(xù)與各國高級(jí)別黑客較量過程中，淬煉出了一套業(yè)界獨(dú)有的“實(shí)戰(zhàn)兵法”，并以此賦能指導(dǎo)360EDR實(shí)現(xiàn)對(duì)各種威脅進(jìn)行溯源分析及提供相應(yīng)的解決方案。

AI：AI有一個(gè)很重要的點(diǎn)，數(shù)據(jù)越大，訓(xùn)練結(jié)果就越好，而360的數(shù)據(jù)就足夠大。海量的大數(shù)據(jù)都需要人工智能進(jìn)行處理分析，能節(jié)省絕大部分人工時(shí)間。360擁有靜態(tài)樣本檢測(cè)的QVM，從使用早期支持向量機(jī)、隨機(jī)森林等算法，到使用AI研究院自研算法，是成熟的下一代人工智能反病毒引擎；雷鳥引擎則是針對(duì)EDR所采集的時(shí)序事件進(jìn)行分析，既包含經(jīng)驗(yàn)規(guī)則匹配，又利用長短期記憶網(wǎng)絡(luò)等深度學(xué)習(xí)方法訓(xùn)練與檢測(cè)。

歸根結(jié)底，EDR考驗(yàn)的是前端數(shù)據(jù)采集能力，后端的安全大數(shù)據(jù)支撐及分析和策略控制能力，而這正是360 EDR的獨(dú)特優(yōu)勢(shì)所在。360 EDR上述“云、端、數(shù)、人、AI”能力，能幫助政企用戶消除視覺盲點(diǎn)、認(rèn)清風(fēng)險(xiǎn)的同時(shí)，自動(dòng)化處置藏匿其中的惡意行為，深度追蹤溯源取證攻擊源頭。

云地雙棧，SaaS化部署

隨著數(shù)字化的深入發(fā)展，大量的設(shè)備入網(wǎng)、業(yè)務(wù)和數(shù)據(jù)上云，對(duì)于安全也提出了更高的要求。SaaS化服務(wù)模式也掀起一股熱潮，譬如國外的EDR廠商CrowdStrike，作為當(dāng)紅炸子雞市值一度接近500億美元。

反觀國內(nèi)，其實(shí)SaaS化的需求也在逐漸增加。中小企業(yè)很多時(shí)候沒有部署成熟EDR產(chǎn)品的能力或者沒有相關(guān)的人才技術(shù)。潘劍鋒指出：對(duì)于大型央國企，他們有能力自建隊(duì)伍培養(yǎng)人才；而對(duì)于中小企業(yè)來說，SaaS化服務(wù)可以很好解決該問題。

事實(shí)上，360EDR的SaaS模式遠(yuǎn)比CrowdStrike更早。

這背后的邏輯是，十幾年來，360幫助幾億個(gè)人用戶、大中小企業(yè)、國家解決安全問題，完整存儲(chǔ)記錄下了360看見的全量安全大數(shù)據(jù)，在此過程中把最新攻擊樣本第一時(shí)間收集到云端，積累形成總數(shù)超300億的安全樣本庫，能夠解決發(fā)現(xiàn)已知攻擊問題。為識(shí)別未知攻擊，360基于上述樣本建立了大規(guī)模的APT基因庫和攻防知識(shí)庫，包含所有近千種技戰(zhàn)術(shù)種類，數(shù)千種殺傷鏈模型，數(shù)萬種漏洞利用和典型攻擊的實(shí)例，百萬攻防知識(shí)圖譜和百億實(shí)戰(zhàn)分析圖譜，相當(dāng)一部云端百科全書。

SaaS化、智能化是360 EDR的未來演進(jìn)方向。

一方面，360 EDR可以在云端采用SaaS的部署模式，為用戶提供安全大數(shù)據(jù)的存儲(chǔ)、數(shù)據(jù)實(shí)時(shí)處理、關(guān)聯(lián)分析、并行查詢以及秒級(jí)響應(yīng)能力，支撐安全專家隨時(shí)進(jìn)行主動(dòng)的威脅狩獵。另一方面，基于知識(shí)圖譜和AI技術(shù)帶來的技術(shù)提升，360 EDR也越來越智能化，包括實(shí)現(xiàn)對(duì)海量安全事件的自動(dòng)分類、自動(dòng)分優(yōu)先級(jí)和對(duì)攻擊行為采取自動(dòng)響應(yīng)等。

此外，360EDR還有一個(gè)特點(diǎn)：支持云地雙棧部署。面對(duì)大型企業(yè)隔離網(wǎng)環(huán)境， 360EDR可以靈活進(jìn)行本地化部署。如果想要連云，同時(shí)也可以享受更強(qiáng)的SaaS化服務(wù)。

總體而言，360 EDR依靠360在數(shù)據(jù)、情報(bào)、專家的賦能，以及云地一體的架構(gòu)，能夠?qū)崿F(xiàn)SaaS化或本地化部署，兼具智能化功能，為政企用戶提供最強(qiáng)大、最全面的安全分析能力、攻擊溯源能力、可視化展現(xiàn)能力、快速響應(yīng)能力、聯(lián)防聯(lián)動(dòng)能力、定制化安全運(yùn)營能力以及豐富的訂閱服務(wù)，幫助用戶大幅度提升安全風(fēng)險(xiǎn)的識(shí)別、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)等各項(xiàng)能力。

可以看出，SaaS化的服務(wù)模式，部署易，成本低，大大解放了用戶的勞動(dòng)力，實(shí)現(xiàn)了降本增效。

做安全需腳踏實(shí)地

在數(shù)字化轉(zhuǎn)型過程中，云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)等技術(shù)的業(yè)務(wù)應(yīng)用加速落地，原有的網(wǎng)絡(luò)邊界被打破，導(dǎo)致終端成為新的安全邊界，終端作為數(shù)字化基礎(chǔ)節(jié)點(diǎn)面臨對(duì)抗加劇、安全挑戰(zhàn)嚴(yán)峻。

傳統(tǒng)基于規(guī)則的被動(dòng)防御技術(shù)已經(jīng)無法適應(yīng)新的威脅環(huán)境，網(wǎng)絡(luò)安全已經(jīng)進(jìn)入檢測(cè)與響應(yīng)時(shí)代。因此，EDR（端點(diǎn)）、NDR（網(wǎng)絡(luò)））、TDR（威脅）等檢測(cè)與響應(yīng)技術(shù)紛紛出現(xiàn)。

尤其XDR（擴(kuò)展的威脅監(jiān)測(cè)響應(yīng)），Omdia預(yù)計(jì)：到2026年之前，XDR業(yè)務(wù)營收的復(fù)合年增長率將超過56%。業(yè)內(nèi)一部分人認(rèn)為XDR集合了NDR和EDR的優(yōu)勢(shì)是終端安全的未來，能做到流量端和終端更加全面的檢測(cè)。因此不論是安全廠商還是創(chuàng)業(yè)公司都紛紛加入XDR行列，XDR與EDR究竟是互補(bǔ)還是顛覆？

對(duì)于此，潘劍鋒拋出一個(gè)觀點(diǎn)：“安全這個(gè)事情實(shí)現(xiàn)不了彎道超車，比如以前沒做過EPP，現(xiàn)在就想用EDR的概念實(shí)現(xiàn)超車，以前沒有做過EDR現(xiàn)在就想打著XDR的概念實(shí)現(xiàn)彎道超車，這樣的理念是完全錯(cuò)誤的。”

這里有一個(gè)生動(dòng)比方：假設(shè)EDR是攝像頭、NDR是溫度傳感器，如若攝像頭不行看東西都是模糊的，溫度傳感器也感知不到38度和39度的細(xì)微差別，那么連在一起XDR就能夠抓到小偷了？這當(dāng)然不可能。

安全行業(yè)還需要一步一個(gè)腳印穩(wěn)扎穩(wěn)打。就終端安全來講，未來終端安全能力一定會(huì)實(shí)現(xiàn)一體化。

潘劍鋒表示：“360擁有十幾年實(shí)戰(zhàn)經(jīng)驗(yàn)，我們覺得未來安全發(fā)展趨勢(shì)一定向真實(shí)的安全能力，解決安全問題的角度，相信真正能夠解決用戶問題的安全產(chǎn)品才會(huì)受到市場(chǎng)歡迎?！?span style="color: #FFFFFF;">（雷峰網(wǎng)雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))）

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。