隨著數(shù)字化發(fā)展,網(wǎng)絡(luò)安全威脅不斷演進(jìn),EDR產(chǎn)品也被期望能夠真正解決終端面臨的APT、0day、勒索病毒等高級威脅。然而實戰(zhàn)證明:傳統(tǒng)的EDR產(chǎn)品面臨很多痛點,無法解決多場景安全性問題,例如傳統(tǒng)EDR產(chǎn)品對海量大數(shù)據(jù)的存儲和處理能力不足,讓EDR整體威脅識別成為空談;又如不具備從實戰(zhàn)中總結(jié)出知識庫和安全分析能力,使得有價值的數(shù)據(jù)在客戶側(cè)難以被有效利用;再如缺少靈活的性能調(diào)優(yōu)和自適應(yīng)機制,采集大量的端點信息導(dǎo)致消耗終端和服務(wù)器的大量寶貴資源。
為了彌補傳統(tǒng)EDR的不足,三六零(601360.SH,下稱“360”)旗下政企安全集團依托360云端安全大腦提供的安全大數(shù)據(jù)、威脅情報和攻防知識庫等強大能力打造了面向未來的EDR解決方案——360終端檢測響應(yīng)系統(tǒng)(以下簡稱“360 EDR”)。360 EDR同時具備SaaS化和智能化的特點,可以通過持續(xù)監(jiān)測端點活動行為,對威脅風(fēng)險進(jìn)行深度檢測、智能化分析和專業(yè)化處理,大幅降低用戶成本,提升部署效率,聯(lián)動全網(wǎng)大數(shù)據(jù),全方位解決用戶的終端安全問題。
17年終端安全產(chǎn)品領(lǐng)導(dǎo)者
打磨EDR必要能力與關(guān)鍵能力
在終端安全產(chǎn)品層面,360擁有17年的終端安全攻防對抗經(jīng)驗,積累了海量的全網(wǎng)安全大數(shù)據(jù),歷經(jīng)十余年與各種木馬、APT家族、0day漏洞的攻防實戰(zhàn),持續(xù)打磨終端的惡意行為檢測和響應(yīng)能力,積累了全面細(xì)致的終端行為檢測技術(shù),在終端安全產(chǎn)品效果上打造了行業(yè)標(biāo)桿。作為終端安全產(chǎn)品的引領(lǐng)者,360從實戰(zhàn)層面提出了面向未來的EDR產(chǎn)品應(yīng)該具備的關(guān)鍵能力,具體包括:
EDR產(chǎn)品必須具備海量大數(shù)據(jù)存儲及處理能力。安全大數(shù)據(jù)是支撐構(gòu)建覆蓋面足夠廣、精確度足夠高的檢測防御模型,以及發(fā)現(xiàn)攻擊者痕跡的必要基礎(chǔ)。在EDR中,端點采集的各類安全行為數(shù)據(jù)是終端安全防御、檢測和響應(yīng)的核心依據(jù),是應(yīng)對APT攻擊的重要手段,通過對多維度高質(zhì)量的海量大數(shù)據(jù)進(jìn)行自動化的、智能化的關(guān)聯(lián)分析和運營,可以追溯攻擊過程,尋找漏洞源和攻擊源,是有效防御和確保終端安全的有效途徑和方法。
還應(yīng)具備全面專業(yè)的安全分析能力。EDR產(chǎn)品需要有各種安全檢測分析技術(shù),能對海量多異構(gòu)數(shù)據(jù)進(jìn)行分析,同時結(jié)合全網(wǎng)APT情報,確保各類威脅全面可視。由于高級威脅攻擊的蛛絲馬跡往往隱蔽在常規(guī)軟件運行的類似行為當(dāng)中,因此檢測需要對終端海量數(shù)據(jù)進(jìn)行安全分析,需要具備對歷史數(shù)據(jù)的反復(fù)檢測能力,這些都要求產(chǎn)品具備極強的大數(shù)據(jù)運算分析能力。
此外還應(yīng)具備實戰(zhàn)攻防對抗的能力。基于最新漏洞、APT等各種攻擊方式,機器學(xué)習(xí)和大數(shù)據(jù)自動化關(guān)聯(lián)分析固然必不可少,但對收集到的數(shù)據(jù)集進(jìn)行人工分析和解釋也十分重要,安全專家會通過安全知識與專業(yè)技能,以及基于多年實戰(zhàn)總結(jié)的威脅檢測防御模型,進(jìn)行實時和持續(xù)的追蹤分析,并提供特定場景的安全解決方案。
隨著數(shù)字時代攻防對抗的不斷演化,以SaaS化和智能化EDR形式幫助企業(yè)用戶解決長期安全運營問題成為關(guān)鍵能力。通過整合云端能力和終端資源以SaaS化服務(wù)形式面向大中小客戶輸出,能增強內(nèi)網(wǎng)端點威脅防御以及威脅對抗能力,保障各類生產(chǎn)和辦公業(yè)務(wù)平穩(wěn)持續(xù)運行,已經(jīng)成為新一代EDR應(yīng)對高級攻擊可預(yù)見的趨勢。
360推出新一代EDR解決方案
多重優(yōu)勢解決終端安全威脅
作為面向未來的終端安全產(chǎn)品,從構(gòu)成上360 EDR技術(shù)架構(gòu)分成三個部分:終端代理、EDR Server、360核心安全大腦。其中終端代理是360 EDR的核心組成部分,360 EDR依托于360云端核心安全大腦的持續(xù)賦能、360核心安全大腦的安全大數(shù)據(jù)平臺充分發(fā)揮終端代理的采集和處置能力,同時通過EDR Sever的高效數(shù)據(jù)分析引擎,最終實現(xiàn)對高級威脅的檢測和抑制。
360 EDR在產(chǎn)品化落地過程中具備了如下幾方面突出優(yōu)勢:基于獨一無二核晶引擎的高質(zhì)量數(shù)據(jù)采集能力優(yōu)勢、基于海量安全大數(shù)據(jù)的全網(wǎng)視角優(yōu)勢、完備安全分析能力和檢測能力優(yōu)勢,以及SaaS化和智能化能力優(yōu)勢。
優(yōu)勢1:高質(zhì)量數(shù)據(jù)采集能力——基于獨一無二的核晶引擎
數(shù)據(jù)采集質(zhì)量,決定了EDR真正的檢測效果。360 EDR使用360十幾年積累的內(nèi)核分析技術(shù)、獨一無二的核晶硬件虛擬化引擎等多種引擎來收集安全數(shù)據(jù),一方面實現(xiàn)了多維度的大數(shù)據(jù)采集,時間維度包括攻擊前、攻擊中、攻擊后,行為維度包括標(biāo)準(zhǔn)行為、差異行為、破壞行為,階段維度包括感染前、感染中,感染后等。另一方面,360 EDR提供超越內(nèi)核級監(jiān)控能力,利用CPU的硬件虛擬化機制增強64位系統(tǒng)的安全防護,對進(jìn)程創(chuàng)建、進(jìn)程注入、模塊加載、注冊表值寫入、文件寫入等行為進(jìn)行全面監(jiān)控,規(guī)避了傳統(tǒng)EDR大量依賴Ring3用戶層監(jiān)控技術(shù)的弊端,同時還能直接檢測內(nèi)核與應(yīng)用層0day漏洞利用行為,有效對抗APT繞過攻擊。
優(yōu)勢2:全局視野——海量安全大數(shù)據(jù)
海量大數(shù)據(jù)作為360 EDR的持續(xù)驅(qū)動力,能夠?qū)崟r同步全球威脅,持續(xù)增強對APT攻擊的檢測和感知能力。基于17年實戰(zhàn)經(jīng)驗,360已匯集了超300億程序文件樣本,22萬億安全日志、90億域名信息、2EB 以上的安全大數(shù)據(jù),可瞬間調(diào)用超過百萬顆CPU參與計算、檢索和關(guān)聯(lián)多維度威脅數(shù)據(jù)。這是360 EDR的核心優(yōu)勢——基于巨量終端、實戰(zhàn)所獲得的海量安全大數(shù)據(jù)構(gòu)造。
優(yōu)勢3:完備的安全分析能力和檢測能力
沒有“可視”這一前提,任何威脅的處理都是一句空話,而威脅的可視化就是360 EDR的“雷達(dá)”能力。這種針對各類攻擊的“雷達(dá)”能力,需要強大的安全分析能力支撐。360作為一家具有17年歷史的數(shù)字安全領(lǐng)導(dǎo)公司,實現(xiàn)了從ToC到ToB/G的安全能力積累,因此具備了國內(nèi)最強大的安全分析能力和技術(shù)。360 EDR通過各種檢測分析技術(shù),對海量多異構(gòu)數(shù)據(jù)進(jìn)行分析,同時結(jié)合全網(wǎng)APT情報,確保了各類威脅全面可視。
優(yōu)勢4:SaaS化和智能化
除此之外,360 EDR產(chǎn)品還具備實現(xiàn)SaaS化和智能化的能力。一方面,360 EDR可以在云端采用SaaS多租戶的部署模式,為用戶提供安全大數(shù)據(jù)的存儲、數(shù)據(jù)實時處理、關(guān)聯(lián)分析、并行查詢以及秒級響應(yīng)能力,支撐安全專家隨時進(jìn)行主動的威脅狩獵。另一方面,基于查殺引擎、知識圖譜和AI技術(shù)帶來的技術(shù)提升,360 EDR也越來越智能化,包括實現(xiàn)對海量安全事件的自動分類、自動分優(yōu)先級和對攻擊行為采取自動響應(yīng)等。
總體而言,360 EDR依靠360云端安全大腦在數(shù)據(jù)、情報、專家的賦能,以及云地一體的架構(gòu),能夠?qū)崿F(xiàn)SaaS化和智能化,為政企用戶提供最強大、最全面的安全分析能力、攻擊溯源能力、可視化展現(xiàn)能力、快速響應(yīng)能力、聯(lián)防聯(lián)動能力、定制化安全運營能力以及豐富的訂閱服務(wù),幫助用戶大幅度提升安全風(fēng)險的識別、保護、檢測、響應(yīng)、恢復(fù)等各項能力。
責(zé)任編輯:Rex_08
營業(yè)執(zhí)照公示信息