36氪獲悉，360政企安全集團(tuán)日前發(fā)布了EDR解決方案————360終端檢測(cè)響應(yīng)系統(tǒng)（以下簡(jiǎn)稱“360 EDR”）。

據(jù)介紹，360 EDR依托360云端安全大腦提供的安全大數(shù)據(jù)、威脅情報(bào)和攻防知識(shí)庫(kù)等能力以及核心安全大腦驅(qū)動(dòng)的“運(yùn)營(yíng)商級(jí)”大數(shù)據(jù)處理及分析技術(shù)而打造。公司也將360 EDR視作“面向未來(lái)的EDR解決方案”。

具體而言，其介紹當(dāng)前EDR產(chǎn)品被期望能夠真正解決終端面臨的APT、0day、勒索病毒等高級(jí)威脅。然而實(shí)戰(zhàn)證明，傳統(tǒng)的EDR產(chǎn)品面臨很多痛點(diǎn)，無(wú)法解決多場(chǎng)景安全性問(wèn)題。例如，傳統(tǒng)EDR產(chǎn)品對(duì)海量大數(shù)據(jù)的存儲(chǔ)和處理能力不足，讓EDR整體威脅識(shí)別成為空談。又如，不少產(chǎn)品不具備從實(shí)戰(zhàn)中總結(jié)出知識(shí)庫(kù)和安全分析能力，使得有價(jià)值的數(shù)據(jù)在客戶側(cè)難以被有效利用。而且，有產(chǎn)品缺少靈活的性能調(diào)優(yōu)和自適應(yīng)機(jī)制，采集大量的端點(diǎn)信息導(dǎo)致消耗終端和服務(wù)器的大量寶貴資源。

所以在公司看來(lái)，打磨EDR存在一些必要能力與關(guān)鍵能力——360正具備這樣的基礎(chǔ)。據(jù)介紹，首先整體在終端安全產(chǎn)品層面，360擁有17年的終端安全攻防對(duì)抗經(jīng)驗(yàn)，積累了海量的全網(wǎng)安全大數(shù)據(jù)，歷經(jīng)十余年與各種木馬、APT家族、0day漏洞的攻防實(shí)戰(zhàn)，持續(xù)打磨終端的惡意行為檢測(cè)和響應(yīng)能力，積累了全面細(xì)致的終端行為檢測(cè)技術(shù)。所以在其眼中，面向未來(lái)的EDR產(chǎn)品應(yīng)該具備的關(guān)鍵能力，具體包括：

海量大數(shù)據(jù)存儲(chǔ)及處理能力。安全大數(shù)據(jù)是支撐構(gòu)建覆蓋面足夠廣、精確度足夠高的檢測(cè)防御模型，以及發(fā)現(xiàn)攻擊者痕跡的必要基礎(chǔ)。在EDR中，端點(diǎn)采集的各類(lèi)安全行為數(shù)據(jù)是終端安全防御、檢測(cè)和響應(yīng)的核心依據(jù)，是應(yīng)對(duì)APT攻擊的重要手段，通過(guò)對(duì)多維度高質(zhì)量的海量大數(shù)據(jù)進(jìn)行自動(dòng)化的、智能化的關(guān)聯(lián)分析和運(yùn)營(yíng)，可以追溯攻擊過(guò)程，尋找漏洞源和攻擊源，是有效防御和確保終端安全的有效途徑和方法。

全面專(zhuān)業(yè)的安全分析能力。EDR產(chǎn)品需要有各種安全檢測(cè)分析技術(shù)，能對(duì)海量多異構(gòu)數(shù)據(jù)進(jìn)行分析，同時(shí)結(jié)合全網(wǎng)APT情報(bào)，確保各類(lèi)威脅全面可視。由于高級(jí)威脅攻擊的蛛絲馬跡往往隱蔽在常規(guī)軟件運(yùn)行的類(lèi)似行為當(dāng)中，因此檢測(cè)需要對(duì)終端海量數(shù)據(jù)進(jìn)行安全分析，需要具備對(duì)歷史數(shù)據(jù)的反復(fù)檢測(cè)能力，這些都要求產(chǎn)品具備極強(qiáng)的大數(shù)據(jù)運(yùn)算分析能力。

實(shí)戰(zhàn)攻防對(duì)抗的能力?；谧钚侣┒?、APT等各種攻擊方式，機(jī)器學(xué)習(xí)和大數(shù)據(jù)自動(dòng)化關(guān)聯(lián)分析固然必不可少，但對(duì)收集到的數(shù)據(jù)集進(jìn)行人工分析和解釋也十分重要，安全專(zhuān)家會(huì)通過(guò)安全知識(shí)與專(zhuān)業(yè)技能，以及基于多年實(shí)戰(zhàn)總結(jié)的威脅檢測(cè)防御模型，進(jìn)行實(shí)時(shí)和持續(xù)的追蹤分析，并提供特定場(chǎng)景的安全解決方案。

隨著數(shù)字時(shí)代攻防對(duì)抗的不斷演化，以SaaS化和智能化EDR形式幫助企業(yè)用戶解決長(zhǎng)期安全運(yùn)營(yíng)問(wèn)題成為關(guān)鍵能力。通過(guò)整合云端能力和終端資源以SaaS化服務(wù)形式面向大中小客戶輸出，能增強(qiáng)內(nèi)網(wǎng)端點(diǎn)威脅防御以及威脅對(duì)抗能力，保障各類(lèi)生產(chǎn)和辦公業(yè)務(wù)平穩(wěn)持續(xù)運(yùn)行，已經(jīng)成為新一代EDR應(yīng)對(duì)高級(jí)攻擊可預(yù)見(jiàn)的趨勢(shì)。

而作為面向未來(lái)的終端安全產(chǎn)品，公司表示，從構(gòu)成上360 EDR技術(shù)架構(gòu)分成三個(gè)部分：終端代理、EDR Server、360核心安全大腦。其中終端代理是360 EDR的核心組成部分，360 EDR依托于360云端核心安全大腦的持續(xù)賦能、360核心安全大腦的安全大數(shù)據(jù)平臺(tái)充分發(fā)揮終端代理的采集和處置能力，同時(shí)通過(guò)EDR Sever的高效數(shù)據(jù)分析引擎，最終實(shí)現(xiàn)對(duì)高級(jí)威脅的檢測(cè)和抑制。

在效果上，其認(rèn)為結(jié)合威脅情報(bào)和360核心安全大腦，360 EDR在產(chǎn)品化落地過(guò)程中具備了如下幾方面突出優(yōu)勢(shì)：基于海量安全大數(shù)據(jù)的全網(wǎng)視角、完備安全分析能力和檢測(cè)能力、基于獨(dú)一無(wú)二核晶引擎的高質(zhì)量數(shù)據(jù)采集能力、以及SaaS化和智能化能力。

總體而言，360 EDR會(huì)依靠360云端安全大腦在數(shù)據(jù)、情報(bào)、專(zhuān)家的賦能，以及云地一體的架構(gòu)，能夠?qū)崿F(xiàn)SaaS化和智能化，為政企用戶提供全面的安全分析能力、攻擊溯源能力、可視化展現(xiàn)能力、快速響應(yīng)能力、聯(lián)防聯(lián)動(dòng)能力、定制化安全運(yùn)營(yíng)能力以及豐富的訂閱服務(wù)，致力幫助用戶大幅度提升安全風(fēng)險(xiǎn)的識(shí)別、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)等各項(xiàng)能力。