“真正的EDR是看见威胁的眼睛,需要具备看见的能力。” 360集团副总裁兼首席科学家潘剑锋在第十届互联网安全大会(ISC 2022)未来峰会上谈到。
7月31日,第十届互联网安全大会(ISC 2022)未来峰会在新一代聚会元宇宙——N世界重磅启幕。众多行业领袖、安全智囊、技术专家齐聚一堂,围绕“护航数字文明,开创数字安全新时代”的主题,共探前瞻技术和战略发展。
数字时代大量设备入网、业务和数据上云背后,是终端作为数字化基础节点面临对抗加剧、安全挑战严峻的现状。
从业务环境来看,远程办公越来越普遍,用户使用各类终端远程访问企业网络,企业数据和员工已经走出传统边界;从技术挑战来看,终端安全面临的APT、0day攻击和勒索病毒等各类攻击技术不断升级;从国际形势来看,数字空间的斗争已成大国博弈焦点,网络战愈演愈烈。
种种挑战下,新的终端安全解决方案已经从主要应对已知威胁的终端保护软件EPP进化为主动式端点安全解决方案EDR,通过记录存储的安全事件、利用后台更复杂的分析系统、以及为安全专家提供运营分析平台,来增强检测能力、增加调查溯源功能,成为应对高级威胁的有效手段。
“看见是检测的基础。只有快速、完整地理解网络攻击事件发生的全部情节,跟踪攻击事件每一步,才能以有效的方式做出响应。真正的EDR是看见威胁的眼睛。” 潘剑锋表示。
看见能力可以从两个维度来说,一是真正的性能指标,相比宽泛的大数据存储和安全数据采集能力,采集了哪些安全数据以及分析能力如何才应该成为衡量的依据二是以实战结果来评判,防得住或者检测到真实攻击就是有效,更简单直接。
而想要让EDR看见高级威胁攻击、勒索攻击、供应链攻击等各类威胁事件,需要具备云、端、数、人、AI五大能力。
“云”是云端的大数据存储及处理能力、分析能力,缺乏这部分能力无法快速基于历史数据做关联分析,导致有价值的数据没被有效利用;“端”是指终端上的能力,只有行为记录更全面,才有可能发现异常;“数”是大数据,缺乏安全大数据支撑,就无法构建出覆盖面足够广、精确度足够高的检测防御模型,检测规则较为局限;“人”是实战专家,安全专家能够提供有效的威胁解决方案;“AI”分析能力也很重要,海量安全大数据需要通过AI引擎进行自动化处理,筛出最可疑的部分,实现减负增效。
360是唯一具备看见全网安全态势能力的公司,面向数字时代打造了新一代EDR解决方案,能够帮助政企单位第一时间看见威胁,感知风险,实现快速响应、抵御攻击。是数字时代终端安全防御的真正利器。
具体而言,作为首创“免费安全”模式的公司,360通过全球15亿终端覆盖,能够实时感知全球全网安全事件。360也是全球首家云原生公司,将安全数据汇聚至云端分析处理,积累超2EB安全大数据,真正实现了数据云端打通和协作。
面对浩如烟海的安全大数据,360能瞬间调用百万颗以上CPU参与运算,具备超大规模安全数据存储、处理和检索技术。为了进一步提升效率,360基于充足的训练数据,应用人工智能方法实现自动化分析、筛选和关联,快速发现攻击线索。此外,360EDR的背后是一支持续17年与国家级高级威胁组织攻防对抗的安全专家团队,能对数据集进行高效的人工分析并提供威胁解决方案。
最后,终端数据采集与分析能力决定了EDR的检测溯源效果。360 EDR在高精度与可信度方面具备独一无二的能力。基于近20年在操作系统和安全攻防领域的技术积累,360 EDR实现了多维度大数据采集能力,能直接检测内核与应用层0day漏洞利用行为,有效对抗高级威胁绕过攻击。
“有一个说法是,摄像头应该放在攻击者碰不到的地方。也就是说,真正的EDR必须有更高维度的探针,360 EDR基于冰刃虚拟机的探针可以从高于内核的维度来采集安全事件,是国内唯一默认为上亿用户开启的虚拟机探针,确保了事件的高可信度。”潘剑锋表示。
终端安全往往被视为最后一道防线,面对穷凶极恶的攻击者,终端防御方案“木桶效应”明显。EDR必须同时在全球视野、云端分析能力、高级端点能力、AI分析技术、实战专家五个方面具备顶尖实力,才能真正解决数字时代终端高级威胁防护难题,实现安全能力从被动式单点防护到主动式纵深防御的演进。
如若转载,请注明原文地址