近幾年網絡攻擊愈演愈烈，諸如數據泄漏、勒索軟件、黑客攻擊等層出不窮，攻擊類型和策略也變得復雜多變，尤其APT（高級持續(xù)性威脅）成為了人們心中揮之不去的隱憂。

就在兩個月前，美國NSA下屬的特定入侵行動辦公室（TAO）發(fā)起的針對我國國防高校西北工業(yè)大學的特定高持續(xù)性威脅攻擊活動被曝光，引爆了全球輿論。

據統計，全球發(fā)現的APT組織超過150個，分布在美國、以色列等國。過去幾年，有50個其他背景的黑客組織，對中國的國家級網絡進行了數千次攻擊。他們攻擊領域廣泛、規(guī)模龐大，攻擊目標多樣，全域覆蓋，攻擊技術先進，手法復雜。被動的病毒對抗、保密對抗、惡意代碼對抗、安全風險對抗，已無法遏制和威懾APT組織的攻擊態(tài)勢。

在這樣的背景下，或許下一個WannaCry隨時會出現，對于大多數企業(yè)來說，依靠現有的安全體系可能真的防不住APT攻擊，不少企業(yè)面對入侵攻擊、勒索病毒毫無招架之力。

一、傳統的終端安全策略“防不住”

2014年，賽門鐵克高級副總裁布萊恩·戴伊（Brian Dye）提出了“殺毒軟件已死”這一觀點。這一觀點是否嚴謹，我們先不討論，但是可以說明一點問題，那就是終端安全光靠“殺毒”防不住了。

在當今互聯網時代以及全球疫情影響之下，接入互聯網的終端越來越多，筆記本電腦、手機、平板、移動設備、服務器等，任何連接到網絡的終端都暴露在風險之下。

正所謂“千里之堤潰于蟻穴”，看似不起眼的終端安全儼然就是整個企業(yè)安全“千里大堤”上的蟻穴。

傳統的被動病毒檢測技術依賴于特征庫的方式進行防御，將文件與已知的“惡意”文件數據庫進行比較，當找到匹配項時，該文件則被識別為威脅。

但隨著互聯網和云計算等技術廣泛應用于企業(yè)中，企業(yè)終端管理的復雜程度也隨之上升；而多云時代的來臨進一步加劇了企業(yè)終端的混亂度。毫無疑問，這給企業(yè)安全防御帶來了巨大的挑戰(zhàn)。

這時，EPP的出現一定程度上解決了傳統殺毒軟件的弱項。不止通過特征庫的方式，還通過云端的協同分析，以及威脅情報能力，EPP能夠抵御更多的已知威脅。但是，對于高級威脅，比如0day漏洞、無文件攻擊，或者有預謀、有計劃、有目標地APT攻擊，這種針對整個IT環(huán)境下多個端點一環(huán)接一環(huán)的攻擊，EPP關聯防護能力顯然不足。

因此，要想降低病毒的“造訪”，我們不僅要時刻“巡邏”端點，預防威脅隱患藏匿其中，還要在威脅來臨之前做出快速響應，立即預警，甚至找到攻擊源頭，通過安全閉環(huán)把病毒扼殺在搖籃之中，從根本上保護我們的終端安全。EDR也就應運而生。

EDR，即端點檢測和響應，是一種主動式端點安全解決方案，被稱為終端安全界新晉網紅。為什么EDR能夠如此火？

一方面，相比以前傳統被動的終端安全防護策略，EDR不僅僅通過“特征”進行“預防”，更依靠“行為”進行“檢測”，并且進行“響應”。同時，EDR不再只是著眼于單個終端的防御，而是能夠對各個終端上事件的關聯分析，還原整個攻擊的流程，描繪出攻擊事件的全貌，這在當下愈演愈烈的APT攻擊中，尤為重要。

另一方面，國家相關的合規(guī)政策中也對終端安全提出了更加細致的需求，例如“等保2.0”中對企業(yè)各類終端的風險進行預警和防范的要求，以及對分散在各處的終端設備進行集中管理和審計的要求。

不論是針對合規(guī)的需求，還是市場的需求，都讓EDR成為現階段企業(yè)抵御復雜的惡意軟件和防不勝防的零日威脅以及APT攻擊的第一道防線。

因此，國內很多安全廠商通過EDR等新產品切入終端安全市場，原有終端安全廠商還有其他綜合性的數字安全公司不斷利用自身固有優(yōu)勢推出新的EDR產品。面對市場上繁多的EDR產品，企業(yè)選擇合適的端點保護方案并不容易。

二、17年打磨，EDR 的“先行者”

究竟具備什么樣能力的EDR產品方案，才能為用戶所需要呢？這也是360一直以來思考的問題。

積攢了17年的技術和能力，360終于打開了潘多拉的魔盒。

我們可以先看一組數據，前不久，業(yè)內知名調研機構賽迪顧問發(fā)布了《中國終端安全檢測與響應產品市場研究報告（2022）》（以下簡稱“報告”），從市場份額上來看，360數字安全以10.8%的市占率，排名第一位。

360能夠在這個“卷生卷死”的數字安全市場突出重圍，其實并不意外。在安全行業(yè)兩個能力最重要，一個就是技術積累，另一個人才。而這兩個能力，360都具備。

熟悉360的人都知道，殺毒算是360的“看家本領”。2005年奇虎360公司成立，瞄準殺毒市場，次年推出360安全衛(wèi)士，2008年又推出360殺毒，并宣布永久免費，一時間聲名鵲起，用戶過億，打破殺軟市場格局。

可以說，在終端安全的市場，360是一個有著17年終端安全攻防對抗經驗的老兵。所以，提到EDR恐怕鮮少有企業(yè)比360更早了。而360做EDR的契機還要追溯到2009年開發(fā)“360云主防”那段日子。360云主防全稱叫做奇虎360基于云計算的智能行為主動防御系統，也就是在360安全衛(wèi)士右下角托盤右鍵中可以點出的“木馬防火墻”功能，而360殺毒中也整合了360云主防功能。

據360集團副總裁、首席科學家潘劍鋒回憶，以前個人端用戶去做殺毒掃描，用的是落后的特征庫，這種檢測是滯后的也是被動的。可能早期也有一些廠家為用戶提供主動防御能力，但是效果甚微。當時的技術水平不足以判斷一個事件是否是惡意的，所以對于用戶來說，早期的主動防御就是彈彈彈......無盡的、難以理解的彈窗。

它的原理是所有終端代理會收集到所有的事件，這些事件向云端進行相應的查詢和分析，傳統的主防這一步就過了，分析后返回結果，進行一些判定。但360當時多做了一步，把這些脫敏的安全大數據存儲下來，又進行了相應的分析，得益于360一套強大的自動化流程和相當數量的安全專家，后期面對B端產品上，在提升產品能力上得到了不小的助力。

360是最早實踐“主動防御”這一理念的，這正是360EDR的雛形。這種主動防御利用安全大數據主動去威脅狩獵、追蹤溯源的理念，是一種革命性的變化，不過當時還沒有EDR這一概念。

基于以上積累的360云主防解決了彈窗干擾用戶難題，并能實現早期的主動防御功能要求。同時，還進一步發(fā)現了50個APT組織。“我的工作機器上也裝了360企業(yè)版，在正常情況下它一天幾乎沒有彈框，”潘劍鋒說?！拔覀兪亲钤缛?zhí)行這套理念，但是，并沒有把它像Gartner那樣抽象出來、提煉出來?！?/p>

現在，360終端安全產品已經從終端防病毒軟件到終端防護平臺（EPP），一直過渡到現在的終端安全檢測與響應（EDR），360走的每一步可謂是“踏實”。

三、洞察用戶需求，成為“領導者”

隨著5G、云計算、大數據和人工智能等技術不斷發(fā)展，數字業(yè)務環(huán)境日趨復雜，數字安全技術挑戰(zhàn)也逐漸升級。

潘劍鋒告訴雷峰網：“不同于過往對于已知安全風險的預防和處置，目前客戶對于終端安全的需求更多集中于對未知風險、高級威脅的監(jiān)測與防范，這對安全廠商的安全數據儲備、安全技術分析、安全人才建設等綜合能力提出了全新挑戰(zhàn)。”

而恰恰這是360的強項。其中賽迪顧問發(fā)布的《報告》中也提到，360擁有十多年終端安全的實戰(zhàn)經驗，以核晶引擎、QVM引擎等創(chuàng)新安全技術為基礎，精準全面采集近百種安全行為事件以及相關文件安全屬性，不僅有效對抗APT繞過攻擊，同時提升數據檢測能力和安全運營分析效果。同時，360具備數萬終端和上億數據的實時分析能力，結合360發(fā)現過的多個APT組織情報和數億終端防護經驗，可快速發(fā)現各種攻擊痕跡，包括內存攻擊、網絡攻擊、系統攻擊、漏洞利用、橫向滲透等多個場景。在深厚技術積累的基礎之上，充分利用在數據、情報和專家團隊方面的優(yōu)勢，360EDR沒有墨守成規(guī)，而是在參考國際EDR標準、完整覆蓋采集、檢測、響應、預防四個階段。并依托360數據安全大腦的情報賦能以及云地一體化架構，向SaaS化和智能化方向演進。

360儼然已經成為終端安全產品的引領者，具體來看360EDR已經具備了以下幾種能力：

首先，在安全數據存儲及處理能力上。360很早就建立了安全大數據平臺，并基于17年實戰(zhàn)經驗，360已匯集了超300億程序文件樣本，22萬億安全日志、90億域名信息、2EB 以上的安全大數據，可瞬間調用超過百萬顆CPU參與計算、檢索和關聯多維度威脅數據。360的Netlab 專門對DNS類的情報進行生產因此360 EDR能夠實時同步全球威脅，持續(xù)增強對APT攻擊的檢測和感知能力。

其次，具備全面專業(yè)的安全分析能力。“看見威脅”是終端防御的前提，而威脅檢測能力的高低，直接影響“看見”的能力。360 EDR通過各種檢測分析技術，對海量多異構數據進行分析，同時結合全網APT情報，確保了各類威脅全面可視。這種威脅監(jiān)測的能力是通過服務全國上幾億用戶和百萬主機得來的，因此360擁有了“運營商”級別的分析能力。

最后是人，也就是安全專家團隊。攻防對抗的本質就是人的對抗。至今為止，360專家已成功挖掘谷歌、微軟、蘋果等主流廠商CVE漏洞超3000個，獲得微軟、谷歌史上最高漏洞獎勵，斬獲中國首個“Pwnie Awards”黑客奧斯卡獎，并已成功追蹤溯源海蓮花、摩訶草、美人魚、蔓靈花、藍寶菇等針對中國的境外APT組織累計多達50個。基于最新漏洞、APT等各種攻擊方式，機器學習和大數據自動化關聯分析固然必不可少，但對收集到的數據集進行人工分析和解釋也十分重要，通過安全專家的經驗加持，進行實時和持續(xù)的追蹤分析，最大化360EDR產品價值。

具備了一系列技術積累和產品能力后，還要有一雙善于發(fā)現問題的眼睛。

比如，在某大型制造商的一個項目，360洞察到該企業(yè)內部的業(yè)務服務器，所承載的數據及服務的非常重要，因此成為了網絡攻擊的核心目標。該公司針對服務器主機的安全防護，采用的是傳統防御方式，整體防御效果不足，一方面缺乏安全大數據技術支撐，“看見威脅“的能力嚴重受限；另一方面無法掌握主機系統的實時安全狀態(tài)，無法實現完整的攻擊溯源；另外還缺少自動化的威脅聯動處置能力，難以最大化壓縮攻擊者的攻擊時間。

針對以上問題，360EDR客戶端程序分別部署在該企業(yè)的下屬分支機構的服務器、生產服務器上及公有云服務器上，實時監(jiān)控主機側的惡意行為。對于APT攻擊在內的高級網絡攻擊，安全分析人員可以基于360EDR所繪制的攻擊鏈路圖以及ATT&CK技戰(zhàn)術圖譜，結合EDR客戶端上報的完整事件日志，可以實現全面威脅狩獵，發(fā)現潛在攻擊行為。在響應處置方面，360EDR與安全運營平臺的SOAR能力結合，基于預案編排實現威脅自動化處置，大大縮短MTTR時間，從而實現對全網主機事件的事前監(jiān)測、事中評估和事后處理，讓安全可見、可知、可控，成功構建面向主機的檢測-分析-溯源-響應閉環(huán)運營體系。

由此可見360數字安全集團能夠在EDR市場上突出重圍絕不是偶然，在產品和技術實力，360擁有較為深厚的基礎并經過長年的實踐檢驗，能深刻洞察用戶需求，并已擁有豐富的成功經驗，這是基礎。另一方面，基于360多年在安全行業(yè)的品牌積累，并多次參與國家級安全事件和分析和防御，還有安全大數據和技術積累，都提高了客戶和行業(yè)對于360以及旗下產品的認可。最后，在商業(yè)模式方面，360擁有相對完善的渠道建設、更多直客資源，對產品銷售、市場擴張更為有利，且目前360的輕量級EDR產品已經開始以SaaS化服務形式面向全行業(yè)客戶輸出。

四、從EDR到XDR，360扮演什么角色

目前國內EDR市場還處于起步階段，終端安全市場仍然以被動防御為主，正在向主動防御階段過渡。在這一階段到底什么是真正的EDR，眾說紛紜。就在EDR這個故事還沒講完的時候，Gartner在2020年提出了XDR擴展檢測響應的概念，而業(yè)內確實有不少人也開始做XDR產品。

這里打個不恰當的比喻，比如一個導彈，假設EDR是它的發(fā)動機，NDR是它的導航模塊，如果發(fā)動機好，導航模塊好，導彈就能非常精準的集中目標，這才是一個好的XDR。但如果發(fā)動機不行，或者是導航模塊不行，把它湊在一起，肯定也不行。潘劍鋒指出，“XDR需要在EDR的基礎上擴展”這種觀點我是很贊同的，我認為XDR和EDR不是矛盾或進階，它可以是EDR的豐富，這是并行進展的兩條線。EDR、NDR都發(fā)展了，合起來XDR才有更好的效果。

因此，360選擇了一條SaaS化和智能化的EDR之路，把EDR做到最好。360認為未來EDR發(fā)展的兩大關鍵詞是：SaaS化和智能化。通過SaaS化提供云EDR的能力，同時可以將云端強大的數據存儲、分析以及實時情報能力及時賦能到終端，實現終端和云端的實時交互。

在Gartner與360聯合發(fā)布的《數字時代EDR技術發(fā)展趨勢》白皮書中，也指出整合云端能力和終端資源以 SaaS 化的形式面向不同規(guī)模的客戶提供服務將成為未來EDR發(fā)展的重要方向。并把EDR能力成熟度模型定義為4個等級，初級是EPP、中級是具備有限的EDR、高級是滿足Gartner定義的標準化EDR規(guī)范要求、特級是SaaS化和智能化的EDR。

潘劍鋒表示：“目前360EDR已經進化到特級階段?！?/strong>

這種“云端SaaS輕量級”EDR部署模式，天然具備的低成本、高效率、易部署等優(yōu)勢。其次，針對高級威脅的事件檢測和溯源能力也將被大幅提升，并且這種能力是持續(xù)的，還能進行自我快速修正和迭代。此外，云端能力還可下沉到本地網絡，實現自運營的EDR管理能力。因此，SaaS化的EDR也將成為未來終端最有效的防護方式之一。

另外，從國外市場來看，云化EDR逐漸成為主流的趨勢。以CrowdStrike為代表的EDR廠商在EDR SaaS上發(fā)現了大量的市場需求。EDR SaaS可以借助廠商在云端的能力，得到更多的計算分析能力，同時可以借助云端專家和威脅情報的能力，進一步提升安全分析能力。

這一次，SaaS 化智能化的360EDR走在了前面。360是國內最先開始涉足這個方向的安全廠商，并打造了基于“云地雙棧EDR”的整體安全解決方案。

盡管說國內不少企業(yè)和機關單位對公有云依然保持懷疑態(tài)度，但是行業(yè)云的發(fā)展可以彌補公有云在這些機構中的乏力。因此，行業(yè)云、政務云是EDR SaaS未來的巨大市場。一旦相關的行業(yè)云、政務云的供應商意識到了EDR SaaS能夠給行業(yè)內企業(yè)帶來的巨大安全價值，EDR SaaS的落地也自然水到渠成。

據介紹，360EDR未來還會整合云端能力和終端資源以SaaS化服務形式面向大中小客戶輸出，增強內網端點威脅防御以及威脅對抗能力，保障各類生產和辦公業(yè)務平穩(wěn)持續(xù)運行。

360作為EDR的先行者、領導者，一直踩在終端安全守護的脈搏上，面對當前威脅形勢的不斷發(fā)展，勒索軟件和其他高級持續(xù)威脅攻擊，EDR也不是新瓶裝舊酒，只有能真正對抗APT攻擊的EDR才能抵御風險，因此企業(yè)部署正確的EDR解決方案比以往任何時候都來得重要。（雷峰網(公眾號：雷峰網)）

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。