近幾年網(wǎng)絡(luò)攻擊愈演愈烈，諸如數(shù)據(jù)泄漏、勒索軟件、黑客攻擊等層出不窮，攻擊類型和策略也變得復(fù)雜多變，尤其APT（高級持續(xù)性威脅）成為了人們心中揮之不去的隱憂。

就在兩個月前，美國NSA下屬的特定入侵行動辦公室（TAO）發(fā)起的針對我國國防高校西北工業(yè)大學(xué)的特定高持續(xù)性威脅攻擊活動被曝光，引爆了全球輿論。

據(jù)統(tǒng)計，全球發(fā)現(xiàn)的APT組織超過150個，分布在美國、以色列等國。過去幾年，有50個其他背景的黑客組織，對中國的國家級網(wǎng)絡(luò)進行了數(shù)千次攻擊。他們攻擊領(lǐng)域廣泛、規(guī)模龐大，攻擊目標(biāo)多樣，全域覆蓋，攻擊技術(shù)先進，手法復(fù)雜。被動的病毒對抗、保密對抗、惡意代碼對抗、安全風(fēng)險對抗，已無法遏制和威懾APT組織的攻擊態(tài)勢。

在這樣的背景下，或許下一個WannaCry隨時會出現(xiàn)，對于大多數(shù)企業(yè)來說，依靠現(xiàn)有的安全體系可能真的防不住APT攻擊，不少企業(yè)面對入侵攻擊、勒索病毒毫無招架之力。

一、傳統(tǒng)的終端安全策略“防不住”

2014年，賽門鐵克高級副總裁布萊恩·戴伊（Brian Dye）提出了“殺毒軟件已死”這一觀點。這一觀點是否嚴謹，我們先不討論，但是可以說明一點問題，那就是終端安全光靠“殺毒”防不住了。

在當(dāng)今互聯(lián)網(wǎng)時代以及全球疫情影響之下，接入互聯(lián)網(wǎng)的終端越來越多，筆記本電腦、手機、平板、移動設(shè)備、服務(wù)器等，任何連接到網(wǎng)絡(luò)的終端都暴露在風(fēng)險之下。

正所謂“千里之堤潰于蟻穴”，看似不起眼的終端安全儼然就是整個企業(yè)安全“千里大堤”上的蟻穴。

傳統(tǒng)的被動病毒檢測技術(shù)依賴于特征庫的方式進行防御，將文件與已知的“惡意”文件數(shù)據(jù)庫進行比較，當(dāng)找到匹配項時，該文件則被識別為威脅。

但隨著互聯(lián)網(wǎng)和云計算等技術(shù)廣泛應(yīng)用于企業(yè)中，企業(yè)終端管理的復(fù)雜程度也隨之上升；而多云時代的來臨進一步加劇了企業(yè)終端的混亂度。毫無疑問，這給企業(yè)安全防御帶來了巨大的挑戰(zhàn)。

這時，EPP的出現(xiàn)一定程度上解決了傳統(tǒng)殺毒軟件的弱項。不止通過特征庫的方式，還通過云端的協(xié)同分析，以及威脅情報能力，EPP能夠抵御更多的已知威脅。但是，對于高級威脅，比如0day漏洞、無文件攻擊，或者有預(yù)謀、有計劃、有目標(biāo)地APT攻擊，這種針對整個IT環(huán)境下多個端點一環(huán)接一環(huán)的攻擊，EPP關(guān)聯(lián)防護能力顯然不足。

因此，要想降低病毒的“造訪”，我們不僅要時刻“巡邏”端點，預(yù)防威脅隱患藏匿其中，還要在威脅來臨之前做出快速響應(yīng)，立即預(yù)警，甚至找到攻擊源頭，通過安全閉環(huán)把病毒扼殺在搖籃之中，從根本上保護我們的終端安全。EDR也就應(yīng)運而生。

EDR，即端點檢測和響應(yīng)，是一種主動式端點安全解決方案，被稱為終端安全界新晉網(wǎng)紅。為什么EDR能夠如此火？

一方面，相比以前傳統(tǒng)被動的終端安全防護策略，EDR不僅僅通過“特征”進行“預(yù)防”，更依靠“行為”進行“檢測”，并且進行“響應(yīng)”。同時，EDR不再只是著眼于單個終端的防御，而是能夠?qū)Ω鱾€終端上事件的關(guān)聯(lián)分析，還原整個攻擊的流程，描繪出攻擊事件的全貌，這在當(dāng)下愈演愈烈的APT攻擊中，尤為重要。

另一方面，國家相關(guān)的合規(guī)政策中也對終端安全提出了更加細致的需求，例如“等保2.0”中對企業(yè)各類終端的風(fēng)險進行預(yù)警和防范的要求，以及對分散在各處的終端設(shè)備進行集中管理和審計的要求。

不論是針對合規(guī)的需求，還是市場的需求，都讓EDR成為現(xiàn)階段企業(yè)抵御復(fù)雜的惡意軟件和防不勝防的零日威脅以及APT攻擊的第一道防線。

因此，國內(nèi)很多安全廠商通過EDR等新產(chǎn)品切入終端安全市場，原有終端安全廠商還有其他綜合性的數(shù)字安全公司不斷利用自身固有優(yōu)勢推出新的EDR產(chǎn)品。面對市場上繁多的EDR產(chǎn)品，企業(yè)選擇合適的端點保護方案并不容易。

二、17年打磨，EDR 的“先行者”

究竟具備什么樣能力的EDR產(chǎn)品方案，才能為用戶所需要呢？這也是360一直以來思考的問題。

積攢了17年的技術(shù)和能力，360終于打開了潘多拉的魔盒。

我們可以先看一組數(shù)據(jù)，前不久，業(yè)內(nèi)知名調(diào)研機構(gòu)賽迪顧問發(fā)布了《中國終端安全檢測與響應(yīng)產(chǎn)品市場研究報告（2022）》（以下簡稱“報告”），從市場份額上來看，360數(shù)字安全以10.8%的市占率，排名第一位。

360能夠在這個“卷生卷死”的數(shù)字安全市場突出重圍，其實并不意外。在安全行業(yè)兩個能力最重要，一個就是技術(shù)積累，另一個人才。而這兩個能力，360都具備。

熟悉360的人都知道，殺毒算是360的“看家本領(lǐng)”。2005年奇虎360公司成立，瞄準殺毒市場，次年推出360安全衛(wèi)士，2008年又推出360殺毒，并宣布永久免費，一時間聲名鵲起，用戶過億，打破殺軟市場格局。

可以說，在終端安全的市場，360是一個有著17年終端安全攻防對抗經(jīng)驗的老兵。所以，提到EDR恐怕鮮少有企業(yè)比360更早了。而360做EDR的契機還要追溯到2009年開發(fā)“360云主防”那段日子。360云主防全稱叫做奇虎360基于云計算的智能行為主動防御系統(tǒng)，也就是在360安全衛(wèi)士右下角托盤右鍵中可以點出的“木馬防火墻”功能，而360殺毒中也整合了360云主防功能。

據(jù)360集團副總裁、首席科學(xué)家潘劍鋒回憶，以前個人端用戶去做殺毒掃描，用的是落后的特征庫，這種檢測是滯后的也是被動的。可能早期也有一些廠家為用戶提供主動防御能力，但是效果甚微。當(dāng)時的技術(shù)水平不足以判斷一個事件是否是惡意的，所以對于用戶來說，早期的主動防御就是彈彈彈......無盡的、難以理解的彈窗。

它的原理是所有終端代理會收集到所有的事件，這些事件向云端進行相應(yīng)的查詢和分析，傳統(tǒng)的主防這一步就過了，分析后返回結(jié)果，進行一些判定。但360當(dāng)時多做了一步，把這些脫敏的安全大數(shù)據(jù)存儲下來，又進行了相應(yīng)的分析，得益于360一套強大的自動化流程和相當(dāng)數(shù)量的安全專家，后期面對B端產(chǎn)品上，在提升產(chǎn)品能力上得到了不小的助力。

360是最早實踐“主動防御”這一理念的，這正是360EDR的雛形。這種主動防御利用安全大數(shù)據(jù)主動去威脅狩獵、追蹤溯源的理念，是一種革命性的變化，不過當(dāng)時還沒有EDR這一概念。

基于以上積累的360云主防解決了彈窗干擾用戶難題，并能實現(xiàn)早期的主動防御功能要求。同時，還進一步發(fā)現(xiàn)了50個APT組織?！拔业墓ぷ鳈C器上也裝了360企業(yè)版，在正常情況下它一天幾乎沒有彈框，”潘劍鋒說。“我們是最早去執(zhí)行這套理念，但是，并沒有把它像Gartner那樣抽象出來、提煉出來?！?/p>

現(xiàn)在，360終端安全產(chǎn)品已經(jīng)從終端防病毒軟件到終端防護平臺（EPP），一直過渡到現(xiàn)在的終端安全檢測與響應(yīng)（EDR），360走的每一步可謂是“踏實”。

三、洞察用戶需求，成為“領(lǐng)導(dǎo)者”

隨著5G、云計算、大數(shù)據(jù)和人工智能等技術(shù)不斷發(fā)展，數(shù)字業(yè)務(wù)環(huán)境日趨復(fù)雜，數(shù)字安全技術(shù)挑戰(zhàn)也逐漸升級。

潘劍鋒告訴雷峰網(wǎng)(公眾號：雷峰網(wǎng))：“不同于過往對于已知安全風(fēng)險的預(yù)防和處置，目前客戶對于終端安全的需求更多集中于對未知風(fēng)險、高級威脅的監(jiān)測與防范，這對安全廠商的安全數(shù)據(jù)儲備、安全技術(shù)分析、安全人才建設(shè)等綜合能力提出了全新挑戰(zhàn)。”

而恰恰這是360的強項。其中賽迪顧問發(fā)布的《報告》中也提到，360擁有十多年終端安全的實戰(zhàn)經(jīng)驗，以核晶引擎、QVM引擎等創(chuàng)新安全技術(shù)為基礎(chǔ)，精準全面采集近百種安全行為事件以及相關(guān)文件安全屬性，不僅有效對抗APT繞過攻擊，同時提升數(shù)據(jù)檢測能力和安全運營分析效果。同時，360具備數(shù)萬終端和上億數(shù)據(jù)的實時分析能力，結(jié)合360發(fā)現(xiàn)過的多個APT組織情報和數(shù)億終端防護經(jīng)驗，可快速發(fā)現(xiàn)各種攻擊痕跡，包括內(nèi)存攻擊、網(wǎng)絡(luò)攻擊、系統(tǒng)攻擊、漏洞利用、橫向滲透等多個場景。在深厚技術(shù)積累的基礎(chǔ)之上，充分利用在數(shù)據(jù)、情報和專家團隊方面的優(yōu)勢，360EDR沒有墨守成規(guī)，而是在參考國際EDR標(biāo)準、完整覆蓋采集、檢測、響應(yīng)、預(yù)防四個階段。并依托360數(shù)據(jù)安全大腦的情報賦能以及云地一體化架構(gòu)，向SaaS化和智能化方向演進。

360儼然已經(jīng)成為終端安全產(chǎn)品的引領(lǐng)者，具體來看360EDR已經(jīng)具備了以下幾種能力：

首先，在安全數(shù)據(jù)存儲及處理能力上。360很早就建立了安全大數(shù)據(jù)平臺，并基于17年實戰(zhàn)經(jīng)驗，360已匯集了超300億程序文件樣本，22萬億安全日志、90億域名信息、2EB 以上的安全大數(shù)據(jù)，可瞬間調(diào)用超過百萬顆CPU參與計算、檢索和關(guān)聯(lián)多維度威脅數(shù)據(jù)。360的Netlab 專門對DNS類的情報進行生產(chǎn)因此360 EDR能夠?qū)崟r同步全球威脅，持續(xù)增強對APT攻擊的檢測和感知能力。

其次，具備全面專業(yè)的安全分析能力。“看見威脅”是終端防御的前提，而威脅檢測能力的高低，直接影響“看見”的能力。360 EDR通過各種檢測分析技術(shù)，對海量多異構(gòu)數(shù)據(jù)進行分析，同時結(jié)合全網(wǎng)APT情報，確保了各類威脅全面可視。這種威脅監(jiān)測的能力是通過服務(wù)全國上幾億用戶和百萬主機得來的，因此360擁有了“運營商”級別的分析能力。

最后是人，也就是安全專家團隊。攻防對抗的本質(zhì)就是人的對抗。至今為止，360專家已成功挖掘谷歌、微軟、蘋果等主流廠商CVE漏洞超3000個，獲得微軟、谷歌史上最高漏洞獎勵，斬獲中國首個“Pwnie Awards”黑客奧斯卡獎，并已成功追蹤溯源海蓮花、摩訶草、美人魚、蔓靈花、藍寶菇等針對中國的境外APT組織累計多達50個?；谧钚侣┒础PT等各種攻擊方式，機器學(xué)習(xí)和大數(shù)據(jù)自動化關(guān)聯(lián)分析固然必不可少，但對收集到的數(shù)據(jù)集進行人工分析和解釋也十分重要，通過安全專家的經(jīng)驗加持，進行實時和持續(xù)的追蹤分析，最大化360EDR產(chǎn)品價值。

具備了一系列技術(shù)積累和產(chǎn)品能力后，還要有一雙善于發(fā)現(xiàn)問題的眼睛。

比如，在某大型制造商的一個項目，360洞察到該企業(yè)內(nèi)部的業(yè)務(wù)服務(wù)器，所承載的數(shù)據(jù)及服務(wù)的非常重要，因此成為了網(wǎng)絡(luò)攻擊的核心目標(biāo)。該公司針對服務(wù)器主機的安全防護，采用的是傳統(tǒng)防御方式，整體防御效果不足，一方面缺乏安全大數(shù)據(jù)技術(shù)支撐，“看見威脅“的能力嚴重受限；另一方面無法掌握主機系統(tǒng)的實時安全狀態(tài)，無法實現(xiàn)完整的攻擊溯源；另外還缺少自動化的威脅聯(lián)動處置能力，難以最大化壓縮攻擊者的攻擊時間。

針對以上問題，360EDR客戶端程序分別部署在該企業(yè)的下屬分支機構(gòu)的服務(wù)器、生產(chǎn)服務(wù)器上及公有云服務(wù)器上，實時監(jiān)控主機側(cè)的惡意行為。對于APT攻擊在內(nèi)的高級網(wǎng)絡(luò)攻擊，安全分析人員可以基于360EDR所繪制的攻擊鏈路圖以及ATT&CK技戰(zhàn)術(shù)圖譜，結(jié)合EDR客戶端上報的完整事件日志，可以實現(xiàn)全面威脅狩獵，發(fā)現(xiàn)潛在攻擊行為。在響應(yīng)處置方面，360EDR與安全運營平臺的SOAR能力結(jié)合，基于預(yù)案編排實現(xiàn)威脅自動化處置，大大縮短MTTR時間，從而實現(xiàn)對全網(wǎng)主機事件的事前監(jiān)測、事中評估和事后處理，讓安全可見、可知、可控，成功構(gòu)建面向主機的檢測-分析-溯源-響應(yīng)閉環(huán)運營體系。

由此可見360數(shù)字安全集團能夠在EDR市場上突出重圍絕不是偶然，在產(chǎn)品和技術(shù)實力，360擁有較為深厚的基礎(chǔ)并經(jīng)過長年的實踐檢驗，能深刻洞察用戶需求，并已擁有豐富的成功經(jīng)驗，這是基礎(chǔ)。另一方面，基于360多年在安全行業(yè)的品牌積累，并多次參與國家級安全事件和分析和防御，還有安全大數(shù)據(jù)和技術(shù)積累，都提高了客戶和行業(yè)對于360以及旗下產(chǎn)品的認可。最后，在商業(yè)模式方面，360擁有相對完善的渠道建設(shè)、更多直客資源，對產(chǎn)品銷售、市場擴張更為有利，且目前360的輕量級EDR產(chǎn)品已經(jīng)開始以SaaS化服務(wù)形式面向全行業(yè)客戶輸出。

四、從EDR到XDR，360扮演什么角色

目前國內(nèi)EDR市場還處于起步階段，終端安全市場仍然以被動防御為主，正在向主動防御階段過渡。在這一階段到底什么是真正的EDR，眾說紛紜。就在EDR這個故事還沒講完的時候，Gartner在2020年提出了XDR擴展檢測響應(yīng)的概念，而業(yè)內(nèi)確實有不少人也開始做XDR產(chǎn)品。

這里打個不恰當(dāng)?shù)谋扔?，比如一個導(dǎo)彈，假設(shè)EDR是它的發(fā)動機，NDR是它的導(dǎo)航模塊，如果發(fā)動機好，導(dǎo)航模塊好，導(dǎo)彈就能非常精準的集中目標(biāo)，這才是一個好的XDR。但如果發(fā)動機不行，或者是導(dǎo)航模塊不行，把它湊在一起，肯定也不行。潘劍鋒指出，“XDR需要在EDR的基礎(chǔ)上擴展”這種觀點我是很贊同的，我認為XDR和EDR不是矛盾或進階，它可以是EDR的豐富，這是并行進展的兩條線。EDR、NDR都發(fā)展了，合起來XDR才有更好的效果。

因此，360選擇了一條SaaS化和智能化的EDR之路，把EDR做到最好。360認為未來EDR發(fā)展的兩大關(guān)鍵詞是：SaaS化和智能化。通過SaaS化提供云EDR的能力，同時可以將云端強大的數(shù)據(jù)存儲、分析以及實時情報能力及時賦能到終端，實現(xiàn)終端和云端的實時交互。

在Gartner與360聯(lián)合發(fā)布的《數(shù)字時代EDR技術(shù)發(fā)展趨勢》白皮書中，也指出整合云端能力和終端資源以 SaaS 化的形式面向不同規(guī)模的客戶提供服務(wù)將成為未來EDR發(fā)展的重要方向。并把EDR能力成熟度模型定義為4個等級，初級是EPP、中級是具備有限的EDR、高級是滿足Gartner定義的標(biāo)準化EDR規(guī)范要求、特級是SaaS化和智能化的EDR。

潘劍鋒表示：“目前360EDR已經(jīng)進化到特級階段。”

這種“云端SaaS輕量級”EDR部署模式，天然具備的低成本、高效率、易部署等優(yōu)勢。其次，針對高級威脅的事件檢測和溯源能力也將被大幅提升，并且這種能力是持續(xù)的，還能進行自我快速修正和迭代。此外，云端能力還可下沉到本地網(wǎng)絡(luò)，實現(xiàn)自運營的EDR管理能力。因此，SaaS化的EDR也將成為未來終端最有效的防護方式之一。

另外，從國外市場來看，云化EDR逐漸成為主流的趨勢。以CrowdStrike為代表的EDR廠商在EDR SaaS上發(fā)現(xiàn)了大量的市場需求。EDR SaaS可以借助廠商在云端的能力，得到更多的計算分析能力，同時可以借助云端專家和威脅情報的能力，進一步提升安全分析能力。

這一次，SaaS 化智能化的360EDR走在了前面。360是國內(nèi)最先開始涉足這個方向的安全廠商，并打造了基于“云地雙棧EDR”的整體安全解決方案。

盡管說國內(nèi)不少企業(yè)和機關(guān)單位對公有云依然保持懷疑態(tài)度，但是行業(yè)云的發(fā)展可以彌補公有云在這些機構(gòu)中的乏力。因此，行業(yè)云、政務(wù)云是EDR SaaS未來的巨大市場。一旦相關(guān)的行業(yè)云、政務(wù)云的供應(yīng)商意識到了EDR SaaS能夠給行業(yè)內(nèi)企業(yè)帶來的巨大安全價值，EDR SaaS的落地也自然水到渠成。

據(jù)介紹，360EDR未來還會整合云端能力和終端資源以SaaS化服務(wù)形式面向大中小客戶輸出，增強內(nèi)網(wǎng)端點威脅防御以及威脅對抗能力，保障各類生產(chǎn)和辦公業(yè)務(wù)平穩(wěn)持續(xù)運行。

360作為EDR的先行者、領(lǐng)導(dǎo)者，一直踩在終端安全守護的脈搏上，面對當(dāng)前威脅形勢的不斷發(fā)展，勒索軟件和其他高級持續(xù)威脅攻擊，EDR也不是新瓶裝舊酒，只有能真正對抗APT攻擊的EDR才能抵御風(fēng)險，因此企業(yè)部署正確的EDR解決方案比以往任何時候都來得重要。（雷峰網(wǎng)）

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。