当前,几乎每台电脑上都安装有安全软件,多年前360的免费杀毒模式颠覆了整个终端安全市场,让终端安全软件得到广泛普及。但时代在发展,环境在变化,对于个人,在笔记本或者台式机上安装有360安全卫士,再配合良好的上网习惯,基本上可以保护自己终端的安全。但对于组织,尤其是政企用户,则需要功能更为强大的终端安全软件。
终端安全进化到EDR
终端,或者称作端点,包括了台式电脑、笔记本电脑、移动设备、工作站、服务器和任何网络入口点,任何连接到组织网络的设备都可以被看做端点。2013年,知名咨询机构Gartner首次提出了终端威胁检测与响应(Endpoint Detection & Response,EDR)的概念。2014 年,Gartner正式发布 EDR 市场指南,2016-2019 年,EDR连续进入 Gartner 的十大技术之列。根据 Gartner 2021 年的 Hyper Cycle 报告,在终端安全和风险管理领域, EDR 是现阶段最成熟、采用范围最广泛的安全解决方案,能有效防止终端被攻击和突破,保证远程访问安全。
EDR被认为是一种面向未来的终端安全解决方案,和传统杀毒软件的签名检测或启发式技术主要区别是,EDR侧重于“行为”:通过实时监测端点上发生的各类行为,采集端点运行状态,在后端通过大数据安全分析、机器学习、沙箱分析、行为分析等技术,提供深度持续监控、威胁检测、高级威胁分析、调查取证、事件响应处置、追踪溯源等功能,及时检测并发现恶意活动,将检测技术提升到新的层次。
EDR从预测、防护、检测和响应四个维度,实现持续性安全防护,贯穿安全威胁事件的整个生命周期。其中需要具备的核心能力包括安全事件检测,安全事件调查,抑制终端利用,以及提供安全修复能力。
用360集团副总裁兼首席科学家潘剑锋的话说,EDR与传统终端安全软件最大的区别,是“变被动为主动”,这是一种安全防护理念的革新。
近日,360发布了面向未来的新一代EDR。为什么称其为“新一代”EDR?潘剑锋认为,传统的终端防护产品(EPP),随着时代的变化,其天然技术短板愈发明显,作为有着高防护需求的政企用户,需要既能弥补传统EPP不足,又能适应数字时代复杂网络环境的新一代终端防御利器。
弥补传统终端防护产品的不足
终端处在网络安全防御的第一线,终端安全决定了整个组织的防御有效性。而当前,随着IT环境的变化,边界的消失,攻击手段的进化,网络威胁日趋复杂。潘剑锋表示,传统EPP产品及端点防护产品面临以下主要问题。
首先,传统EPP产品应难以应对新型网络攻击。不断演进的新型攻击和高级攻击手段给当前EPP产品的检测防御能力造成了极大的压力。传统EPP产品容易被新型手法抹除绕过,无法有效监测到这类恶意攻击行为。
其次,传统EPP产品难以应对未知威胁事件。EPP的防病毒基于已知风险产出的文件特征库和规则库来做静态查杀,属于传统反病毒的技术范畴,所以EPP只能对传统已知威胁作出响应。但在当前复杂的网络环境下,威胁事件频繁且手段新颖,尤其是APT攻击,攻击者潜入到网络内部,长时间不发生动作,用户难以检测,更难以形成有效的攻击告警。
最后,传统EPP缺乏事后追踪溯源能力。应对APT高级威胁的关键能力之一,就是做好安全事件关联。然而传统EPP停留在常规检测,更别提数据积累分析,事后也无法修正弥补。
360EDR则真正弥补了上述问题,在遇到新型攻击手法时,360 EDR可做到事前检测与秒级响应,可以精准高效地施行狙击拦截;在应对未知威胁事件方面,360 EDR则通过实时记录攻击者行为和系统事件的方式,实时还原整个安全事件,从发生了什么、如何发生、到如何修复等环节都会被完整记录并以图形化方式展示出来。在事后追踪溯源方面,360 EDR可以通过实时监测端点上发生的各类行为,采集端点运行状态,在后端通过大数据安全分析、机器学习、AI算法、沙箱分析和行为分析等技术,提供深度持续监控、广度威胁检测勘探、调查取证、事件响应处置和追踪溯源等功能。
面向未来的新一代EDR
潘剑锋强调,随着攻防对抗的不断演化,想要打造高维度的威胁检测对抗能力,必然要具备前端数据采集能力、后端的安全大数据支撑及分析和策略控制能力。而360 EDR正是具备了这些特性,才能补齐以上传统EPP的防御短板。同时,360 EDR致力于真正意义上的终端安全防护革新,在预防、防御、检测、响应四个阶段强化能力,闭环保护终端安全,打造面向未来的终端防御“超级”利器。
潘剑锋用一张图来展示360 EDR的主要功能和优势能力。
潘剑锋介绍,360 EDR具备了360云端安全大脑EB级数据情报赋能、360核心安全大脑“运营商”级分析算力、超内核级的精准威胁捕获技术、以及360安全团队17年威胁狩猎的实战攻防对抗知识,这些优势能力加上轻量化部署和智能化响应,让360 EDR真正成为面向未来的EDR解决方案。
首先,360云端安全大脑提供EB级大数据情报赋能,让EDR具备全局视野。海量的云端安全大数据,可构建出覆盖面足够广、精确度足够高的检测防御模型,是EDR产品发现攻击者痕迹的必要基础。基于17年实战经验,360已汇集了超300亿程序文件样本,22万亿安全日志、90亿域名信息、2EB 以上的安全大数据。基于360云端安全大脑来的大数据赋能,360 EDR可帮助政企用户实时同步全球威胁,持续增强对APT攻击的检测和感知能力。这是360 EDR的核心优势所在。
其次,高质量数据采集能力,精准捕获威胁。数据采集质量,决定了EDR的检测效果。如果终端安全产品信息采集和攻击者处于同一个层次,就无法有效监测恶意攻击行为。360 EDR使用360十几年积累的内核分析技术、核晶硬件虚拟化引擎等多种方法来收集安全数据,一方面实现了多维度的大数据采集,另一方面,360 EDR提供超越内核级监控能力,利用CPU的硬件虚拟化机制增强64位系统的安全防护,对进程创建、进程注入、模块加载、注册表值写入、文件写入等行为进行全面监控,同时还能直接检测内核与应用层0day漏洞利用行为,有效对抗APT绕过攻击。
第三,360核心安全大脑提供“运营商”级别的分析能力。由于高级威胁攻击的蛛丝马迹往往隐蔽在常规软件类似的行为当中,因此检测需要对海量历史数据的反复检测能力,实现威胁可视。这要求产品具备强大的数据运算能力和分析能力。作为360 EDR的关键支撑部分,360核心安全大脑为其提供“运营商级别”的分析算力,可瞬间调用超过百万颗CPU参与计算、检索与关联,对海量多异构数据进行分析,结合全网APT情报,快速画出完整攻击链图谱,确保各类威胁全面可视。
第四,专业安全团队,提供实战化的攻防对抗能力。人的参与,是EDR有别于传统安全终端软件的重要因素。没有过硬的专业人士的专业能力,EDR的安全分析能力将大打折扣。360安全专家团队长期在攻防一线历练,以此淬炼出了一套业界独有的“360实战兵法”,赋能360EDR实现对高阶威胁的溯源分析,充分发挥人在安全体系中的作用。
最后,SaaS化和智能化,更易部署和运营。适应当前各类用户的需求,360 EDR可提供云端SaaS轻量级部署模式,也可以在隔离网内实现相同功能的本地化部署。为用户提供安全大数据的存储、数据实时处理、关联分析、并行查询以及秒级响应能力。同时,基于查杀引擎、知识图谱和AI技术带来的技术提升,360 EDR也更为智能化,可实现对海量安全事件的自动分类、自动化分析与处置,有效降低了用户的运维成本,提升安全防御效率。
潘剑锋总结,SaaS化和智能化是EDR发展的两大关键词。当前,360 EDR依靠360云端安全大脑在数据、情报、专家的赋能,核心安全大脑“运营商”级的分析算力支撑,以及云地一体的架构,为政企用户提供最强大、最全面的安全分析能力、攻击溯源能力、可视化展现能力、快速响应能力以及丰富的订阅服务。未来,360将继续发挥其安全大数据和分析能力,以及攻防能力的优势,帮助政企用户持续构建好用、易用、智能的终端安全防线。
来源:中国信息安全
,
