國際權威研究機構Gartner的專業報告素來被業內人士奉為“行業發展的風向標”,近日,360政企安全集團聯合Gartner在全球釋出了EDR白皮書——《數字時代EDR 技術發展趨勢》。白皮書指出:面向數字時代的EDR技術應該致力於真正解決終端所面臨的各類高階威脅問題,以雲端能力為核心,以安全大資料、威脅情報、高精度異常資料採集等核心技術為支撐,有效規避傳統終端安全產品(EPP)檢測技術的弊端,打造高維度的威脅檢測對抗能力,做到事前預防、事中檢測和事後修復。
基於多年實戰經驗積累,360政企安全集團以體系化作戰/對抗/攻防思維的新戰法為指導,打造了一套以雲端安全大腦為核心的數字安全能力框架。在此框架下,構建了面向未來的EDR方案——360終端檢測響應系統(簡稱“360EDR”)。360EDR依靠雲端安全大腦在資料、情報、專家等方面的賦能,以及核心安全大腦“運營商”級的分析算力支撐,構建了“雲地一體化”架構,以低成本、高效率、易部署的優勢滿足網際網路和隔離網場景下的安全防護需求。
下一代EDR演進方向:三大安全能力必不可少
2013年,Gartner首次提出了終端威脅檢測與響應(Endpoint Detection & Response,EDR)的概念。2014 年,Gartner正式釋出 EDR 市場指南,2016-2019 年,EDR連續進入 Gartner 的十大技術之列。
根據Gartner 2021年的Hyper Cycle報告中,在終端安全和風險管理領域,EDR是現階段最成熟、採用範圍最廣泛的安全解決方案,能有效防止終端被攻擊和突破,保證遠端訪問安全。EDR作為下一代終端安全的核心技術,其重點在於監視終端以檢測可疑活動,並捕獲可疑資料進行分析以及安全取證和調查,並提供修復建議。
根據Gartner的定義,EDR產品必不可少的能力是:
1、具備大資料儲存及處理能力:安全大資料是支撐構建覆蓋面足夠廣、精確度足夠高的檢測防禦模型,以及發現攻擊者痕跡的必要基礎。
2、具備安全分析能力:需要有各種安全檢測分析技術,能對海量多異構資料進行分析,同時結合全網高階威脅情報,確保各類威脅全面可視。
3、具備能夠部署及使用產品的專業人士:由於產品使用對專業性要求較高,多數企業選擇採用駐場或遠端託管給專業人士(MSS、MDR服務)。缺少專業人士過硬的技術能力,EDR的安全分析能力將大打折扣。
以能力成熟度模型為準繩:360打造“特級標準”EDR產品
360基於Gartner對EDR定義的必要能力,從實戰層面提出了360 EDR的關鍵功能,並將EDR能力成熟度模型定義為4個等級:初級是EPP、中級是具備有限的EDR、高階是滿足Gartner定義的標準化EDR、特級是SaaS化和智慧化的EDR。
初級:企業在只有EPP的情況下,直接面對高階威脅是非常脆弱的。不僅無法進行有效防護,還無法檢測到高階威脅的攻擊,包括攻擊的時間點和行為方式等都沒有任何記錄,企業的資料和網路安全面臨著極大風險。
中級:在有限的EDR場景下,終端能夠將收集到的攻擊行為資料以及系統級事件上傳到雲端。但云端的大資料處理能力和安全分析能力都比較欠缺,面對海量大資料,缺少安全知識和具備專業技能的安全專家,無法有效儲存、處理以及利用這些安全大資料。
高階:滿足Gartner定義的標準EDR,能夠檢測和調查安全事件,限制終端漏洞利用,提供安全修復指導建議。理想狀態下,能夠實時檢測到安全攻擊事件,同時基於雲端的資料和安全能力分析,為終端提供快速響應,還具備一定的攻擊後修復和清理能力,能夠最大程度減少企業使用者的損失。
特級:SaaS化和智慧化的EDR,在雲端採用SaaS部署模式,提供安全大資料的儲存、資料實時處理、關聯分析、並行查詢以及秒級響應能力,支撐安全專家隨時進行主動的威脅狩獵。同時基於查殺引擎、知識圖譜和AI技術實現技術提升,使得EDR越來越智慧化,包括對海量安全事件的自動分類、自動分優先順序和對攻擊行為採取自動響應等,極大地體現了下一代EDR的智慧化特點。
隨著數字時代下網路威脅持續演進,政企使用者需要更加全面、主動、以新技術驅動威脅發現的終端防禦能力。EDR能力成熟度模型能夠幫助政企使用者追蹤終端安全領域的創新技術和實踐,對於應對終端安全的問題和挑戰具有重要參考意義。而要具備“特級”EDR產品的能力門檻極高,考驗的是前端資料採集能力,後端的安全大資料支撐及分析和策略控制能力,這正是360 EDR的獨特優勢所在。
數字時代終端防禦利器:360 EDR如何落地“特級”標準?
360 EDR是基於360雲端安全大腦EB級資料情報賦能、360核心安全大腦“運營商”級分析算力、超核心級的精準威脅捕獲技術、以及360安全團隊17年威脅狩獵的實戰攻防對抗知識打磨而成的,面向未來的EDR產品。
360 EDR能幫助政企使用者消除視覺盲點、認清風險的同時,自動化處置藏匿其中的惡意行為,深度追蹤溯源取證攻擊源頭。同時,還支援輕量化部署,打造出一套超智慧終端防禦模式。具體而言:
360 EDR 能為政企使用者提供雲端輕量級部署(SaaS化)和本地私有化兩種部署模式,滿足網際網路和隔離網雙場景的安全防護需求。SaaS 化EDR是未來終端最有效的防護方式,除了天然具備的低成本、高效率、易部署優勢,更透過終端各類安全事件和雲端大資料的聯動,使得針對高階威脅的事件檢測和溯源能力大幅提升,實現了安全能力從孤島式、被動式的單點防護到主動式、全域性式的縱深防禦的有序演進。對於隔離網終端安全防禦場景,360 EDR 提供了本地私有化部署方式,可以把雲端能力下沉到本地網路中,實現自運營的 EDR 管理模式。
360 EDR 將政企使用者的風險處置能力指數級提升,實現了安全事件零損失。僅在 2021 年,360EDR發現並處理了勒索病毒、暴力破解、挖礦木馬、WebShell 後門、惡意程式等重大攻擊事件數百起;在使用者內部風險管控方面,發現並處理了異常郵件傳送,資料洩露,賬號異常、違規外聯等嚴重違規事件近百起。保障了多家使用者關鍵業務執行安全,關鍵資料不受影響,從根本上解決了使用者對網路安全的隱憂。
360 EDR 提供安全風險綜合評估、SOAR 自動化響應處置能力,可以實現自動化安全事件閉環處置流程,提高安全事件處置效率和效果。利用 360 核心安全大腦提供的威脅情報自動關聯分析能力,360 EDR 讓高階威脅不再隱匿,攻擊過程中所有關鍵環節全部可視,防護效果不再模糊,實現防護指標全部量化,讓使用者業務執行的更安全、更穩定、更高效。
此次360政企安全集團聯合Gartner釋出的白皮書,實際上更加明確了EDR未來的發展方向,面對數字時代高階威脅層出不窮的現狀,傳統終端安全產品依託本地有限的檢測能力往往束手無措,因此EDR需要以更全面的安全分析能力、攻擊溯源能力、視覺化展現能力、快速響應能力、以及豐富的訂閱服務等各類安全能力,幫助政企使用者實時檢測並防禦高階威脅、防範內部風險、保障業務連續、提升處置效率等,這是真正面向未來終端安全防禦理念的革新。
目前,360 EDR已經憑藉雲端輕量級部署和超智慧分析算力,以SaaS化、智慧化的方式服務於廣大政企使用者,幫助使用者大幅度提升安全風險的識別、保護、檢測、響應、恢復等各項能力,是真正面向未來的防禦新一代終端防護利器!
點選閱讀白皮書原文:
https://www.gartner.com/technology/media-products/pdf.jsp?g=Qihu-1-297FFQ0W-CHS