从见我“所见”,到见我“未见”,360EDR「一种可能解」科技2022-08-04 01:08 安全没有「银色子弹」,但需要EDR。”作者 | 李扬霞编辑 | 林觉民一直以来,海湾战争被认为是信息化战争开始的标志,美军曾在分析总结海湾战争获胜原因时认为“战争中最致命的武器不是导弹和战斗机,也不是战舰和坦克,而是部署在整个战场庞大的侦察预警系统。”在如今频繁发生的数字空间网络战中,同样“看见”是防御的首要能力,要知道风险在哪里,是什么样的风险,什么时候的风险,才能进一步处置和应对。作为攻防双方较量的主战场,终端承担了“看见”的关键。攻击方企图通过对终端的入侵渗透,撕破防御体系,近年来利用0day漏洞、未知恶意软件进行攻击的安全事件层出不穷,给涉事企业带来严重的经济损失。而防守方筑牢内网防线,力争发现并反制攻击行为。对于安全行业来讲,对已知安全威胁的防御已经相当成熟,但对于未知威胁的防范却成了很多企业的一大心病,传统的安全防护手段\工具,已经难以和全新的网络安全威胁进行正面对抗。想要实现“看见”威胁主动防御,EDR成为了破局之道。近日,360推出了新一代的终端防护利器——360EDR。在第十届互联网安全大会(简称ISC 2022)上,雷峰网采访到了360集团副总裁、首席科学家潘剑锋,他表示:“EDR的核心思想就是主动式防御,以前的端点安全产品只能应对已知威胁,EDR产品对于未知的攻击能够通过系统和人的配合,捕捉异常行为、分析攻击、及时响应、自动化拦截形成闭环。”EDR 的出现代表了安全理念的一个重要转变:从见我“所见”,到见我“未见”。安全没有 “银色子弹”,我们无法拦截所有攻击,一味的严防死守、高筑城墙的理念已经不适合当下数字经济时代,只有及时发现异常并且进行处理,将损害限制在可控范围内,才是端点预防攻击最佳理念。(360集团副总裁、首席科学家潘剑锋)1我们需要什么样的EDR?EDR最早由Gartner在2013年提出,并连续多年被Gartner列为十大技术之一。最初提出EDR概念是为了弥补传统终端管理系统(EPP)的不足,而现在EDR与EPP相互补充融合,逐渐已成为各大安全厂商主流的终端防护部署方式。在过去十多年里,终端安全仅仅指的是杀毒软件,后来才升级到EPP。EPP也被称为第三代杀毒软件,拥有杀毒、防火墙以及外设管控等功能,是综合性的终端保护软件。但是对于复杂和有针对性的攻击,例如APT攻击、0day攻击等,EPP也束手无策,而攻击者可以通过定制化的恶意软件成功绕过防御。另外,EPP各个防御工具的告警也相互独立,缺乏对终端的持续监控,安全人员很难定位威胁的来源以及威胁造成的影响。EDR技术应运而生,EDR是一种主动式的防御。面对更加隐蔽和高级的持续攻击,EDR的原理是把威胁放进来,研究其路径,进行分析和判断,再进行阻断,更侧重于“检测”和“反应”,如果经判断有危害,那么下次再出现类似的攻击就可以直接阻断,从而形成一整个闭环。它保护的并不局限于端点本身,而是以端点为基础,收集更多信息,结合大数据和机器学习的技术,发现潜在的未知威胁,并作出响应。由于,各厂商对EDR理解不同,其产品也有所差异。因此也有人认为“国内某EDR都不是真正的EDR,是EPP甚至是AV(反病毒软件)换了皮肤,是假的EDR。”那么我们到底需要什么样的EDR?首先,大多数企业想要EDR功能确实不假,但是一些客户部署了一堆威胁检测盒子,告警量一天达到千万级以上,无法有效的识别有价值的告警;而且,告警量的增加势必需要投入更多的人员进行安全运营,无形中增加了安全的成本。其次,大多数EDR,其实都是一个个孤岛,没有数据积累,采什么样的数据?怎么采?其实是很难的一件事情。那么问题来了,到底具备什么样的能力才是“真EDR”?具体来说,EDR的核心能力应该包括大数据存储、安全事件采集、后台分析追踪溯源能力以及响应能力等。潘剑锋认为:“判断EDR是否具备真能力,最重要的是看实际效果。”他以坦克举例,评判一辆坦克的性能好坏,主要是在战场上真实有效的。如果只是按照概念包装出来,则毫无意义,真正要看到底采集了什么数据?分析能力到底怎样?炮筒是125毫米还是50毫米,威力是完全不一样的。这里,以360EDR为例,把增强“看见”能力作为核心,包括看见自己、看见自己的资产、看见敌人的攻击和威胁,而最核心的是“看见威胁”,看见威胁之后基本就解决了80%的问题,只有看得见才能意识到威胁的发生并进行预防。如果你都没有看见威胁,这才是最危险的,因为什么都做不了。2360EDR如何“看见”威胁“能够看见威胁就解决了80%的问题,‘真EDR’是看见威胁的眼睛,能真正看见包括APT等各类威胁,它具备全球视野+AI+实战能力+云端分析能力+高级端点能力,”潘剑锋如是说。那么,想要实现“看见”威胁,这背后又需要哪些核心能力?潘剑锋指出想要“看见”威胁实现挂图作战,需要具备“云+端+数+人+AI”五方面的能力。云:云端大数据处理能力、分析的能力和存储能力。EDR核心是要能够存储真正的安全事件,事件汇集起来是非常庞大的数据,因此一定要具备存储能力。其次,能够对数据进行有效分析,要处理来自全球十几亿终端的安全事件,需要具备EB极大数据分析能力、能调用百万颗以上CPU参与运算。360覆盖了全球15亿终端,能够实时感知全球全网安全事件,将安全数据汇聚至云端分析处理,真正实现了数据云端打通和协作。端:终端上高质量事件的捕获能力。终端上的数据采集和与分析能力,很大程度上直接决定了EDR的检测溯源效果,是EDR看得见能力成败的关键保障。一定要保证事件的精度要高,如果采集的都是低质量的信息,会消耗宝贵的存储和分析资源。另一方面,EDR事件探针的维度,站在高于攻击者的维度。业内部分厂商,可能仅仅是利用微软标准接口来进行威胁信息收集,但标准接口厂商知道自然攻击者也知道,他们站在同一个起跑线上,厂商能做到的,攻击者一样可以。因此,摄像头必须要装在攻击者摸不到的地方,要不然别人进来第一件事就是把摄像头盖住。360 EDR基于冰刃虚拟机的探针可以从高于内核的维度来采集安全事件,是国内唯一默认为上亿用户开启的虚拟机探针,确保了事件的高可信度,”潘剑锋表示。数:大数据。360有十几亿终端,数据量是最大的,所以见到攻击是最多的。在大数据的赋能下,360可以将个人用户和很多能联网的企业用户打通,将他们的安全事件在后台统一分析,相当于在A厂发现威胁就可以应用到全部客户,打破了终端之间的孤岛。人:人是实战专家,要看见威胁,需要有丰富的实战能力。目前,360拥有具备顶级漏洞挖掘能力的东半球最强白帽军团。至今为止,360专家已成功挖掘谷歌、微软、苹果等主流厂商CVE漏洞近2000个,包揽三巨头史上最高漏洞奖励,并已成功追踪溯源海莲花、摩诃草、美人鱼、蔓灵花、蓝宝菇等针对中国的境外APT组织累计多达50个。在持续与各国高级别黑客较量过程中,淬炼出了一套业界独有的“实战兵法”,并以此赋能指导360EDR实现对各种威胁进行溯源分析及提供相应的解决方案。AI:AI有一个很重要的点,数据越大,训练结果就越好,而360的数据就足够大。海量的大数据都需要人工智能进行处理分析,能节省绝大部分人工时间。360拥有静态样本检测的QVM,从使用早期支持向量机、随机森林等算法,到使用AI研究院自研算法,是成熟的下一代人工智能反病毒引擎;雷鸟引擎则是针对EDR所采集的时序事件进行分析,既包含经验规则匹配,又利用长短期记忆网络等深度学习方法训练与检测。归根结底,EDR考验的是前端数据采集能力,后端的安全大数据支撑及分析和策略控制能力,而这正是360 EDR的独特优势所在。360 EDR上述“云、端、数、人、AI”能力,能帮助政企用户消除视觉盲点、认清风险的同时,自动化处置藏匿其中的恶意行为,深度追踪溯源取证攻击源头。3云地双栈,SaaS化部署随着数字化的深入发展,大量的设备入网、业务和数据上云,对于安全也提出了更高的要求。SaaS化服务模式也掀起一股热潮,譬如国外的EDR厂商CrowdStrike,作为当红炸子鸡市值一度接近500亿美元。反观国内,其实SaaS化的需求也在逐渐增加。中小企业很多时候没有部署成熟EDR产品的能力或者没有相关的人才技术。潘剑锋指出:对于大型央国企,他们有能力自建队伍培养人才;而对于中小企业来说,SaaS化服务可以很好解决该问题。事实上,360EDR的SaaS模式远比CrowdStrike更早。这背后的逻辑是,十几年来,360帮助几亿个人用户、大中小企业、国家解决安全问题,完整存储记录下了360看见的全量安全大数据,在此过程中把最新攻击样本第一时间收集到云端,积累形成总数超300亿的安全样本库,能够解决发现已知攻击问题。为识别未知攻击,360基于上述样本建立了大规模的APT基因库和攻防知识库,包含所有近千种技战术种类,数千种杀伤链模型,数万种漏洞利用和典型攻击的实例,百万攻防知识图谱和百亿实战分析图谱,相当一部云端百科全书。SaaS化、智能化是360 EDR的未来演进方向。一方面,360 EDR可以在云端采用SaaS的部署模式,为用户提供安全大数据的存储、数据实时处理、关联分析、并行查询以及秒级响应能力,支撑安全专家随时进行主动的威胁狩猎。另一方面,基于知识图谱和AI技术带来的技术提升,360 EDR也越来越智能化,包括实现对海量安全事件的自动分类、自动分优先级和对攻击行为采取自动响应等。此外,360EDR还有一个特点:支持云地双栈部署。面对大型企业隔离网环境, 360EDR可以灵活进行本地化部署。如果想要连云,同时也可以享受更强的SaaS化服务。总体而言,360 EDR依靠360在数据、情报、专家的赋能,以及云地一体的架构,能够实现SaaS化或本地化部署,兼具智能化功能,为政企用户提供最强大、最全面的安全分析能力、攻击溯源能力、可视化展现能力、快速响应能力、联防联动能力、定制化安全运营能力以及丰富的订阅服务,帮助用户大幅度提升安全风险的识别、保护、检测、响应、恢复等各项能力。可以看出,SaaS化的服务模式,部署易,成本低,大大解放了用户的劳动力,实现了降本增效。4做安全需脚踏实地在数字化转型过程中,云计算、大数据、物联网、移动互联等技术的业务应用加速落地,原有的网络边界被打破,导致终端成为新的安全边界,终端作为数字化基础节点面临对抗加剧、安全挑战严峻。传统基于规则的被动防御技术已经无法适应新的威胁环境,网络安全已经进入检测与响应时代。因此,EDR(端点)、NDR(网络))、TDR(威胁)等检测与响应技术纷纷出现。尤其XDR(扩展的威胁监测响应),Omdia预计:到2026年之前,XDR业务营收的复合年增长率将超过56%。业内一部分人认为XDR集合了NDR和EDR的优势是终端安全的未来,能做到流量端和终端更加全面的检测。因此不论是安全厂商还是创业公司都纷纷加入XDR行列,XDR与EDR究竟是互补还是颠覆?对于此,潘剑锋抛出一个观点:“安全这个事情实现不了弯道超车,比如以前没做过EPP,现在就想用EDR的概念实现超车,以前没有做过EDR现在就想打着XDR的概念实现弯道超车,这样的理念是完全错误的。”这里有一个生动比方:假设EDR是摄像头、NDR是温度传感器,如若摄像头不行看东西都是模糊的,温度传感器也感知不到38度和39度的细微差别,那么连在一起XDR就能够抓到小偷了?这当然不可能。安全行业还需要一步一个脚印稳扎稳打。就终端安全来讲,未来终端安全能力一定会实现一体化。潘剑锋表示:“360拥有十几年实战经验,我们觉得未来安全发展趋势一定向真实的安全能力,解决安全问题的角度,相信真正能够解决用户问题的安全产品才会受到市场欢迎。”END推荐阅读 微信扫码关注该文公众号作者戳这里提交新闻线索和高质量文章给我们。来源: qq点击查看作者最近其他文章