360潘剑锋：云端轻量化部署、智能化运营注定是EDR的未来发展方向

近年来，随着移动互联网的飞速发展，企业的数字化进程不断加速，大量的互联网设备、物联网设备等终端正在开放式地接入。在疫情影响下，随时启动的远程办公也正在成为常态，更多不可控的个人终端设备越来越多的接入内网环境中，而这些终端已经成为了攻击者攻入企业内部的关键入口。

 

在复杂的网络攻击活动中，终端往往会被当成跳板，攻击者通过网络钓鱼、社会工程学等手段窃取员工凭证，通过终端登录后在内网横向移动寻找更有价值的攻击目标。在愈发隐蔽的和高级别的攻击形式面前，传统的安全防护手段日渐式微。

 

面对越来越多的未知威胁，安全业界也在积极展开探索，寻找更有效保护终端的解决之道。2013年，Gartner首次提出了终端威胁检测与响应（Endpoint Detection & Response，EDR）的概念，其被认为是一种面向未来的终端安全解决方案，不同于传统的签名检测或启发式技术，EDR通过观察行为将检测技术提升到新的层次。此后连续多年，EDR都被Gartner列为十大技术之一。

 

安全419观察到，在国内，EDR也正在得到越来越多的实践。包括传统杀毒厂商、桌面防护厂商、威胁情报厂商都试图从各自的视角切入EDR市场，结合自身能力提出终端安全建设的新思路。但事实上我们了解到，在部分甲方用户看来，EDR产品落地效果并不理想，也对此提出了自己的疑问：为什么明明已经采购了EDR产品，但依旧无法防御诸如0Day漏洞在内的高级别攻击的侵扰？

 

5月16日，360政企安全集团联合Gartner发布了《数字时代 EDR 技术发展趋势》报告。这份报告对当前终端安全形势以及国内 EDR产品市场发展现状进行了深度的研究分析，并对360政企安全集团不久前发布的全新EDR产品——360终端检测响应系统（以下简称“360 EDR”），以及其解决方案价值等进行详细的阐述。

 

借此机会，安全419也远程连线了360集团副总裁兼首席科学家潘剑锋，邀请他对报告内容展开了进一步解读，并结合自家产品和解决方案为我们带来了自己的部分观点：国内EDR产品市场现状如何？究竟什么样的EDR产品才是用户真正所需？未来EDR将会走向何方？

 

 

虽然Gartner在2013年就提出了EDR的产品理念，但国内对EDR的整体认知并没有想象中那么成熟。

 

一方面，部分传统安全厂商将入侵检测、漏洞防御产品视为EDR，但这些产品在检测方面仍然采用的是传统的本地特征匹配，并没有终端行为采集和大数据分析能力；一些传统杀毒厂商推出的相关产品在反病毒防护产品基础上增加了事件收集模块。这类传统终端安全方案事实上尚未达到Gartner对EDR的基本定义，也对客户理解EDR产品的特性，造成一定程度的误导。

 

另一方面，EDR本身十分依赖威胁信息采集与分析的能力，但传统EDR产品后端往往缺乏安全大数据的支撑，没有构建出覆盖面足够广、精确度足够高的检测防御模型，检测规则较为局限，同时情报能力的不足也大大影响了EDR产品总体的防御效果。

 

如果EDR产品对海量大数据的存储和处理能力不足，就会让EDR整体威胁识别成为空谈；如果不具备从实战中总结出知识库和安全分析能力，会使得有价值的威胁信息在客户侧难以被有效利用；而假如缺少灵活的性能调优和自适应机制，采集大量的端点信息还会导致消耗终端和服务器的大量宝贵资源。

 

“业内部分厂商，可能仅仅是利用微软标准接口来进行威胁信息收集，但标准接口厂商知道自然攻击者也知道，他们站在同一个起跑线上，厂商能做到的，攻击者一样可以。本身摄像头是用来抓坏人的，但假如坏人一上来就把摄像头遮挡住的话，摄像头就毫无价值了。所以我们认为，安全的摄像头应该总是放在坏人摸不到的地方，收集威胁信息的手段一定要高于攻击者，这样才能看到事件全貌”，潘剑锋谈到。

 

图：360EDR能力成熟度模型

 

 

 

在Gartner的定义中，一款成熟的EDR产品应该具备三项最基础的能力：大数据存储及处理能力、安全分析能力、人。

 

第一是具备大数据存储及处理能力。安全大数据是支撑构建覆盖面足够广、精确度足够高的检测防御模型，从而发现攻击者痕迹的必要基础。

 

大数据的存储及处理能力，核心目标是不丢失终端安全相关的重要威胁信息，并通过分析原始终端安全数据而形成全局的、缜密的、连贯的攻击视图。在EDR中，端点采集的各类安全行为事件是终端安全防御、检测和响应的核心依据，是应对APT攻击的重要手段，通过对多维度高质量的大数据进行自动化的、智能化的关联分析和运营，可以追溯攻击过程，寻找漏洞源和攻击源，是有效防御和确保终端安全的有效途径和方法。

 

“离开大数据谈EDR产品能力和价值是空谈。即使大型企业部署数十万终端设备，所能掌握的安全数据量仍不够‘大’，EDR产品需要基于巨量终端、实战所获得的海量安全大数据来构造”，潘剑锋指出。

 

第二是具备安全分析能力。EDR产品需要有各种安全检测分析技术，能对海量多异构数据进行分析，同时结合全网APT情报，确保各类威胁全面可视。

 

他介绍，由于高级威胁攻击的蛛丝马迹往往隐蔽在常规软件类似的行为当中，因此检测需要对终端海量威胁信息进行安全分析、以及对历史威胁信息的反复检测能力，这些都要求具备很强的大数据运算能力。针对高级别攻击的极强持续性和阶段性，关联分析过程中应尽量收集各层面、各阶段的全方位威胁信息，同时适量将时间窗口拉大，通过宽时间域数据分析提取具有内在关联的若干属性，识别出攻击发生的时间、地点、攻击类型和强调等信息，也就是攻击场景的重构技术，这是安全分析能力的核心。

 

第三是具备能够部署及使用产品的专业人士。由于产品使用的专业性要求较高，多数企业选择采用驻场或远程托管给专业人士（MSS、MDR服务）。

 

在EDR中，专业人士的角色是不可忽视的，缺乏过硬的专业人士的专业能力，EDR的安全分析能力将大打折扣，基于最新漏洞、APT等等各种攻击方案，机器学习和大数据自动化关联分析是必不可少的，但对收集到的威胁信息集进行分析和解释仍然是很重要的，分析师能够调查并提供解决方案。

图：360 EDR的功能模块

 

 

潘剑锋介绍，作为面向未来的终端安全产品，360 EDR具备多个方面的突出优势，包括：360云端安全大脑EB级数据情报赋能、360核心安全大脑“运营商”级分析算力、超内核级的精准威胁捕获技术，以及360安全团队17年威胁狩猎的实战攻防对抗知识，这些优势能力加上SaaS化轻量部署和智能化响应，让360 EDR真正成为面向未来的EDR解决方案。

 

首先，360云端安全大脑提供EB级大数据情报赋能，让EDR具备全局视野。海量的云端安全大数据，可构建出覆盖面足够广、精确度足够高的检测防御模型，是EDR产品发现攻击者痕迹的必要基础。基于17年实战经验，360已汇集了超300亿程序文件样本，22万亿安全日志、90亿域名信息、2EB 以上的安全大数据。基于360云端安全大脑的大数据赋能，360 EDR可帮助政企用户实时同步全球威胁，持续增强对APT攻击的检测和感知能力。这是360 EDR的核心法宝。

 

其次，360 EDR具备超越内核级的精准威胁捕获能力。威胁信息采集质量，决定了EDR的检测效果。如果终端安全产品信息采集和攻击者处于同一个层次，就无法有效监测恶意攻击行为。360 EDR基于360十余年积累的内核分析技术、独一无二的核晶硬件虚拟化引擎等多种引擎来收集安全数据，实现了多维度的威胁信息采集，并能直接检测内核与应用层0day漏洞利用行为，有效对抗高级威胁绕过攻击。

 

第三，360核心安全大脑提供“运营商”级别的分析能力。由于高级威胁攻击的蛛丝马迹往往隐蔽在常规软件类似的行为当中，因此需要有对海量历史威胁信息的反复检测能力，这些都要求产品具备强大的大数据运算能力。作为360 EDR的关键支撑部分，360核心安全大脑为其提供“运营商级别”的分析算力，可瞬间调用超过百万颗CPU参与计算、检索与关联，对海量多异构数据进行分析，结合全网APT情报，快速画出完整攻击链图谱，确保各类威胁全面可视。

 

第四，专业安全团队，提供实战化的攻防对抗能力。人的参与，是EDR有别于传统安全终端软件的重要因素。没有过硬的专业人士的专业能力，EDR的安全分析能力将大打折扣。360拥有具备顶级漏洞挖掘能力的东半球最强白帽军团。至今为止，360专家已成功挖掘谷歌、微软、苹果等主流厂商CVE漏洞近2000个，包揽三巨头史上最高漏洞奖励，并已成功追踪溯源海莲花、摩诃草、美人鱼、蔓灵花、蓝宝菇等针对中国的境外APT组织累计多达50个。在持续与各国高级别黑客较量过程中，360淬炼出了一套业界独有的“实战兵法”，并以此赋能指导360EDR实现对高阶威胁的溯源分析。

 

最后，360 EDR产品还具备降本增效的轻量级部署、智能化响应模式。具体来讲，360EDR提供云端轻量级部署（SaaS化）模式，并支持安全事件自动化分析与处置，部署易、成本低，可大大解放客户生产力，降本增效提升安全防御效率。

 

图：360新一代EDR解决方案

 

 

在360政企安全集团联合Gartner发布的《数字时代 EDR 技术发展趋势》报告中提到，未来EDR应该整合云端能力和终端资源以SaaS化服务形式面向大中小客户输出，增强内网端点威胁防御以及威胁对抗能力，保障各类生产和办公业务平稳持续运行。并通过 SaaS 化提供云 EDR 的能力，同时可以将云端强大的数据存储、分析以及实时情报能力及时赋能到终端，实现终端和云端的实时交互。

 

对于中小型用户而言，组建专家团队的成本往往难以承受，因此用户普遍希望通过订阅方式，借助专业化的安全专家团队的攻防经验，能够及时查询终端记录的安全事件信息进行查询和调查，能够及时获取到安全事件的完整分析报告。同时还希望借助相对自动化的产品，解决长期安全运营的需求，减轻运维人力成本方面的压力。因此在这样的背景下，SaaS化、智能化的EDR已经成为中小规模用户的最优选择。

 

360 EDR也正符合Gartner对这一趋势的研判。潘剑锋介绍：“当用户安装360 EDR产品后，终端相应的安全威胁事件都会传输到云端，这和以前的360安全卫士有些类似，只是事件会更加丰富，它会进入一系列自动化的处理流程，包括进入沙箱，在数据存储后还有一系列相应的自动分析，以及安全专家的分析。这时候如果发现了威胁事件，安全专家会利用360 EDR平台将相应的客户端上的威胁进行移除，整个过程是不需要用户来参与的。所以，我们把它称为智能化和SaaS化的EDR。”

 

一方面，360 EDR可以在云端采用轻量级部署（SaaS）模式，为用户提供安全大数据的存储、数据实时处理、关联分析、并行查询以及秒级响应能力，支撑安全专家随时进行主动地威胁狩猎。另一方面，基于查杀引擎、知识图谱和AI技术带来的技术提升，360 EDR也越来越智能化，能够实现对海量安全事件的自动分类、自动分优先级和对攻击行为采取自动响应，有效降低了用户的运维成本，提升安全防御效率。

 

潘剑锋最后指出，“SaaS化和智能化是未来EDR发展的两大关键词。依靠360云端安全大脑在数据、情报、专家的赋能，以及云地一体的架构，360 EDR已能够实现SaaS化和智能化，为政企用户提供强大而全面的安全分析能力、攻击溯源能力、可视化展现能力、快速响应能力、联防联动能力、定制化安全运营能力以及丰富的订阅服务。未来，360EDR还将继续朝着SaaS化、智能化的方向持续演进，帮助政企用户全方位解决终端安全问题。”