360 EDR正式發(fā)布,多重優(yōu)勢(shì)解決終端安全威脅

發(fā)布時(shí)間:2022-04-25 16:29:22  |  來(lái)源:通信世界全媒體  

(CWW)隨著數(shù)字化發(fā)展,網(wǎng)絡(luò)安全威脅不斷演進(jìn),EDR產(chǎn)品也被期望能夠真正解決終端面臨的APT0day、勒索病毒等高級(jí)威脅。然而實(shí)戰(zhàn)證明:傳統(tǒng)的EDR產(chǎn)品面臨很多痛點(diǎn),無(wú)法解決多場(chǎng)景安全性問(wèn)題,例如傳統(tǒng)EDR產(chǎn)品對(duì)海量大數(shù)據(jù)的存儲(chǔ)和處理能力不足,讓EDR整體威脅識(shí)別成為空談;又如不具備從實(shí)戰(zhàn)中總結(jié)出知識(shí)庫(kù)和安全分析能力,使得有價(jià)值的數(shù)據(jù)在客戶側(cè)難以被有效利用;再如缺少靈活的性能調(diào)優(yōu)和自適應(yīng)機(jī)制,采集大量的端點(diǎn)信息導(dǎo)致消耗終端和服務(wù)器的大量寶貴資源。

為了彌補(bǔ)傳統(tǒng)EDR的不足,三六零(601360.SH,下稱“360”)旗下政企安全集團(tuán)依托360云端安全大腦提供的安全大數(shù)據(jù)、威脅情報(bào)和攻防知識(shí)庫(kù)等強(qiáng)大能力打造了面向未來(lái)的EDR解決方案——360終端檢測(cè)響應(yīng)系統(tǒng)(以下簡(jiǎn)稱“360EDR”)。360 EDR同時(shí)具備SaaS化和智能化的特點(diǎn),可以通過(guò)持續(xù)監(jiān)測(cè)端點(diǎn)活動(dòng)行為,對(duì)威脅風(fēng)險(xiǎn)進(jìn)行深度檢測(cè)、智能化分析和專業(yè)化處理,大幅降低用戶成本,提升部署效率,聯(lián)動(dòng)全網(wǎng)大數(shù)據(jù),全方位解決用戶的終端安全問(wèn)題。

17年終端安全產(chǎn)品領(lǐng)導(dǎo)者

打磨EDR必要能力與關(guān)鍵能力

在終端安全產(chǎn)品層面,360擁有17年的終端安全攻防對(duì)抗經(jīng)驗(yàn),積累了海量的全網(wǎng)安全大數(shù)據(jù),歷經(jīng)十余年與各種木馬、APT家族、0day漏洞的攻防實(shí)戰(zhàn),持續(xù)打磨終端的惡意行為檢測(cè)和響應(yīng)能力,積累了全面細(xì)致的終端行為檢測(cè)技術(shù),在終端安全產(chǎn)品效果上打造了行業(yè)標(biāo)桿。作為終端安全產(chǎn)品的引領(lǐng)者,360從實(shí)戰(zhàn)層面提出了面向未來(lái)的EDR產(chǎn)品應(yīng)該具備的關(guān)鍵能力,具體包括:

EDR產(chǎn)品必須具備海量大數(shù)據(jù)存儲(chǔ)及處理能力。安全大數(shù)據(jù)是支撐構(gòu)建覆蓋面足夠廣、精確度足夠高的檢測(cè)防御模型,以及發(fā)現(xiàn)攻擊者痕跡的必要基礎(chǔ)。在EDR中,端點(diǎn)采集的各類安全行為數(shù)據(jù)是終端安全防御、檢測(cè)和響應(yīng)的核心依據(jù),是應(yīng)對(duì)APT攻擊的重要手段,通過(guò)對(duì)多維度高質(zhì)量的海量大數(shù)據(jù)進(jìn)行自動(dòng)化的、智能化的關(guān)聯(lián)分析和運(yùn)營(yíng),可以追溯攻擊過(guò)程,尋找漏洞源和攻擊源,是有效防御和確保終端安全的有效途徑和方法。

還應(yīng)具備全面專業(yè)的安全分析能力。EDR產(chǎn)品需要有各種安全檢測(cè)分析技術(shù),能對(duì)海量多異構(gòu)數(shù)據(jù)進(jìn)行分析,同時(shí)結(jié)合全網(wǎng)APT情報(bào),確保各類威脅全面可視。由于高級(jí)威脅攻擊的蛛絲馬跡往往隱蔽在常規(guī)軟件運(yùn)行的類似行為當(dāng)中,因此檢測(cè)需要對(duì)終端海量數(shù)據(jù)進(jìn)行安全分析,需要具備對(duì)歷史數(shù)據(jù)的反復(fù)檢測(cè)能力,這些都要求產(chǎn)品具備極強(qiáng)的大數(shù)據(jù)運(yùn)算分析能力。

此外還應(yīng)具備實(shí)戰(zhàn)攻防對(duì)抗的能力?;谧钚侣┒?、APT等各種攻擊方式,機(jī)器學(xué)習(xí)和大數(shù)據(jù)自動(dòng)化關(guān)聯(lián)分析固然必不可少,但對(duì)收集到的數(shù)據(jù)集進(jìn)行人工分析和解釋也十分重要,安全專家會(huì)通過(guò)安全知識(shí)與專業(yè)技能,以及基于多年實(shí)戰(zhàn)總結(jié)的威脅檢測(cè)防御模型,進(jìn)行實(shí)時(shí)和持續(xù)的追蹤分析,并提供特定場(chǎng)景的安全解決方案。

隨著數(shù)字時(shí)代攻防對(duì)抗的不斷演化,以SaaS化和智能化EDR形式幫助企業(yè)用戶解決長(zhǎng)期安全運(yùn)營(yíng)問(wèn)題成為關(guān)鍵能力。通過(guò)整合云端能力和終端資源以SaaS化服務(wù)形式面向大中小客戶輸出,能增強(qiáng)內(nèi)網(wǎng)端點(diǎn)威脅防御以及威脅對(duì)抗能力,保障各類生產(chǎn)和辦公業(yè)務(wù)平穩(wěn)持續(xù)運(yùn)行,已經(jīng)成為新一代EDR應(yīng)對(duì)高級(jí)攻擊可預(yù)見(jiàn)的趨勢(shì)。

360推出新一代EDR解決方案

多重優(yōu)勢(shì)解決終端安全威脅

作為面向未來(lái)的終端安全產(chǎn)品,從構(gòu)成上360 EDR技術(shù)架構(gòu)分成三個(gè)部分:終端代理、EDR Server、360核心安全大腦。其中終端代理是360 EDR的核心組成部分,360 EDR依托于360云端核心安全大腦的持續(xù)賦能、360核心安全大腦的安全大數(shù)據(jù)平臺(tái)充分發(fā)揮終端代理的采集和處置能力,同時(shí)通過(guò)EDR Sever的高效數(shù)據(jù)分析引擎,最終實(shí)現(xiàn)對(duì)高級(jí)威脅的檢測(cè)和抑制。

360 EDR在產(chǎn)品化落地過(guò)程中具備了如下幾方面突出優(yōu)勢(shì):基于獨(dú)一無(wú)二核晶引擎的高質(zhì)量數(shù)據(jù)采集能力優(yōu)勢(shì)、基于海量安全大數(shù)據(jù)的全網(wǎng)視角優(yōu)勢(shì)、完備安全分析能力和檢測(cè)能力優(yōu)勢(shì),以及SaaS化和智能化能力優(yōu)勢(shì)。

優(yōu)勢(shì)1:高質(zhì)量數(shù)據(jù)采集能力——基于獨(dú)一無(wú)二的核晶引擎

數(shù)據(jù)采集質(zhì)量,決定了EDR真正的檢測(cè)效果。360 EDR使用360十幾年積累的內(nèi)核分析技術(shù)、獨(dú)一無(wú)二的核晶硬件虛擬化引擎等多種引擎來(lái)收集安全數(shù)據(jù),一方面實(shí)現(xiàn)了多維度的大數(shù)據(jù)采集,時(shí)間維度包括攻擊前、攻擊中、攻擊后,行為維度包括標(biāo)準(zhǔn)行為、差異行為、破壞行為,階段維度包括感染前、感染中,感染后等。另一方面,360 EDR提供超越內(nèi)核級(jí)監(jiān)控能力,利用CPU的硬件虛擬化機(jī)制增強(qiáng)64位系統(tǒng)的安全防護(hù),對(duì)進(jìn)程創(chuàng)建、進(jìn)程注入、模塊加載、注冊(cè)表值寫(xiě)入、文件寫(xiě)入等行為進(jìn)行全面監(jiān)控,規(guī)避了傳統(tǒng)EDR大量依賴Ring3用戶層監(jiān)控技術(shù)的弊端,同時(shí)還能直接檢測(cè)內(nèi)核與應(yīng)用層0day漏洞利用行為,有效對(duì)抗APT繞過(guò)攻擊。

優(yōu)勢(shì)2:全局視野——海量安全大數(shù)據(jù)

海量大數(shù)據(jù)作為360EDR的持續(xù)驅(qū)動(dòng)力,能夠?qū)崟r(shí)同步全球威脅,持續(xù)增強(qiáng)對(duì)APT攻擊的檢測(cè)和感知能力。基于17年實(shí)戰(zhàn)經(jīng)驗(yàn),360已匯集了超300億程序文件樣本,22萬(wàn)億安全日志、90億域名信息、2EB 以上的安全大數(shù)據(jù),可瞬間調(diào)用超過(guò)百萬(wàn)顆CPU參與計(jì)算、檢索和關(guān)聯(lián)多維度威脅數(shù)據(jù)。這是360EDR的核心優(yōu)勢(shì)——基于巨量終端、實(shí)戰(zhàn)所獲得的海量安全大數(shù)據(jù)構(gòu)造。

優(yōu)勢(shì)3:完備的安全分析能力和檢測(cè)能力

沒(méi)有“可視”這一前提,任何威脅的處理都是一句空話,而威脅的可視化就是360 EDR的“雷達(dá)”能力。這種針對(duì)各類攻擊的“雷達(dá)”能力,需要強(qiáng)大的安全分析能力支撐。360作為一家具有17年歷史的數(shù)字安全領(lǐng)導(dǎo)公司,實(shí)現(xiàn)了從ToC到ToB/G的安全能力積累,因此具備了國(guó)內(nèi)最強(qiáng)大的安全分析能力和技術(shù)。360 EDR通過(guò)各種檢測(cè)分析技術(shù),對(duì)海量多異構(gòu)數(shù)據(jù)進(jìn)行分析,同時(shí)結(jié)合全網(wǎng)APT情報(bào),確保了各類威脅全面可視。

優(yōu)勢(shì)4:SaaS化和智能化

除此之外,360 EDR產(chǎn)品還具備實(shí)現(xiàn)SaaS化和智能化的能力。一方面,360 EDR可以在云端采用SaaS多租戶的部署模式,為用戶提供安全大數(shù)據(jù)的存儲(chǔ)、數(shù)據(jù)實(shí)時(shí)處理、關(guān)聯(lián)分析、并行查詢以及秒級(jí)響應(yīng)能力,支撐安全專家隨時(shí)進(jìn)行主動(dòng)的威脅狩獵。另一方面,基于查殺引擎、知識(shí)圖譜和AI技術(shù)帶來(lái)的技術(shù)提升,360 EDR也越來(lái)越智能化,包括實(shí)現(xiàn)對(duì)海量安全事件的自動(dòng)分類、自動(dòng)分優(yōu)先級(jí)和對(duì)攻擊行為采取自動(dòng)響應(yīng)等。

總體而言,360 EDR依靠360云端安全大腦在數(shù)據(jù)、情報(bào)、專家的賦能,以及云地一體的架構(gòu),能夠?qū)崿F(xiàn)SaaS化和智能化,為政企用戶提供最強(qiáng)大、最全面的安全分析能力、攻擊溯源能力、可視化展現(xiàn)能力、快速響應(yīng)能力、聯(lián)防聯(lián)動(dòng)能力、定制化安全運(yùn)營(yíng)能力以及豐富的訂閱服務(wù),幫助用戶大幅度提升安全風(fēng)險(xiǎn)的識(shí)別、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)等各項(xiàng)能力。


關(guān)鍵詞: 通信世界網(wǎng) 360-EDR 終端安全 安全分析

 

網(wǎng)站介紹  |  版權(quán)說(shuō)明  |  聯(lián)系我們  |  網(wǎng)站地圖 

星際派備案號(hào):京ICP備2022016840號(hào)-16 營(yíng)業(yè)執(zhí)照公示信息版權(quán)所有 郵箱聯(lián)系:920 891 263@qq.com