作者：李揚霞

編輯：林覺民

一直以來，海灣戰爭被認為是資訊化戰爭開始的標誌，美軍曾在分析總結海灣戰爭獲勝原因時認為“戰爭中最致命的武器不是導彈和戰鬥機，也不是戰艦和坦克，而是部署在整個戰場龐大的偵察預警系統。”

而在如今頻繁發生的數字空間網路戰中，同樣“看見”是防禦的首要能力，要知道風險在哪裡，是什麼樣的風險，什麼時候的風險，才能進一步處置和應對。

作為攻防雙方較量的主戰場，終端承擔了“看見”的關鍵。攻擊方企圖透過對終端的入侵滲透，撕破防禦體系，近年來利用0day漏洞、未知惡意軟體進行攻擊的安全事件層出不窮，給涉事企業帶來嚴重的經濟損失。而防守方築牢內網防線，力爭發現並反制攻擊行為。

對於安全行業來講，對已知安全威脅的防禦已經相當成熟，但對於未知威脅的防範卻成了很多企業的一大心病，傳統的安全防護手段\工具，已經難以和全新的網路安全威脅進行正面對抗。想要實現“看見”威脅主動防禦，EDR成為了破局之道。

近日，360推出了新一代的終端防護利器——360EDR。在第十屆網際網路安全大會（簡稱ISC 2022）上，雷峰網採訪到了

360集團副總裁、首席科學家潘劍鋒

，他表示：

“EDR的核心思想就是主動式防禦，以前的端點安全產品只能應對已知威脅，EDR產品對於未知的攻擊能夠透過系統和人的配合，捕捉異常行為、分析攻擊、及時響應、自動化攔截形成閉環。”

EDR 的出現代表了安全理念的一個重要轉變：從見我“所見”，到見我“未見”。

安全沒有 “銀色子彈”，我們無法攔截所有攻擊，一味的嚴防死守、高築城牆的理念已經不適合當下數字經濟時代，只有及時發現異常並且進行處理，將損害限制在可控範圍內，才是端點預防攻擊最佳理念。

（360集團副總裁、首席科學家潘劍鋒）

我們需要什麼樣的EDR？

EDR最早由Gartner在2013年提出，並連續多年被Gartner列為十大技術之一。最初提出EDR概念是為了彌補傳統終端管理系統（EPP）的不足，而現在EDR與EPP相互補充融合，逐漸已成為各大安全廠商主流的終端防護部署方式。

在過去十多年裡，終端安全僅僅指的是防毒軟體，後來才升級到EPP。EPP也被稱為第三代防毒軟體，擁有防毒、防火牆以及外設管控等功能，是綜合性的終端保護軟體。但是對於複雜和有針對性的攻擊，例如APT攻擊、0day攻擊等，EPP也束手無策，而攻擊者可以透過定製化的惡意軟體成功繞過防禦。另外，EPP各個防禦工具的告警也相互獨立，缺乏對終端的持續監控，安全人員很難定位威脅的來源以及威脅造成的影響。

EDR技術應運而生，EDR是一種主動式的防禦。面對更加隱蔽和高階的持續攻擊，EDR的原理是把威脅放進來，研究其路徑，進行分析和判斷，再進行阻斷，更側重於“檢測”和“反應”，如果經判斷有危害，那麼下次再出現類似的攻擊就可以直接阻斷，從而形成一整個閉環。它保護的並不侷限於端點本身，而是以端點為基礎，收集更多資訊，結合大資料和機器學習的技術，發現潛在的未知威脅，並作出響應。

由於，各廠商對EDR理解不同，其產品也有所差異。因此也有人認為“國內某些“EDR”都不是真正的EDR，是EPP甚至是AV（反病毒軟體）換了面板，是假的EDR。”那麼我們到底需要什麼樣的EDR？

首先，大多數企業想要EDR功能確實不假，但是一些客戶部署了一堆威脅檢測盒子，告警量一天達到千萬級以上，無法有效的識別有價值的告警；而且，告警量的增加勢必需要投入更多的人員進行安全運營，無形中增加了安全的成本。其次，大多數EDR，其實都是一個個孤島，沒有資料積累，採什麼樣的資料？怎麼採？其實是很難的一件事情。

那麼問題來了，到底具備什麼樣的能力才是‘真EDR’？

具體來說，EDR的核心能力應該包括大資料儲存、安全事件採集、後臺分析追蹤溯源能力以及響應能力等。潘劍鋒認為：“判斷EDR是否具備真能力，最重要的是看實際效果。”他以坦克舉例，評判一輛坦克的效能好壞，主要是在戰場上真實有效的。如果只是按照概念包裝出來，則毫無意義，真正要看到底採集了什麼資料？分析能力到底怎樣？炮筒是125毫米還是50毫米，威力是完全不一樣的。

這裡，以360EDR為例，把增強“看見”能力作為核心，包括看見自己、看見自己的資產、看見敵人的攻擊和威脅，而最核心的是“看見威脅”，看見威脅之後基本就解決了80%的問題，只有看得見才能意識到威脅的發生並進行預防。如果你都沒有看見威脅，這才是最危險的，因為什麼都做不了。

360EDR如何“看見”威脅

#FormatImgID_3#

“能夠看見威脅就解決了80%的問題，‘真EDR’是看見威脅的眼睛，能真正看見包括APT等各類威脅，它具備全球視野+AI+實戰能力+雲端分析能力+高階端點能力，”潘劍鋒如是說。

那麼，想要實現“看見”威脅，這背後又需要哪些核心能力？潘劍鋒指出想要“看見”威脅實現掛圖作戰，需要具備

“雲+端+數+人+AI”

五方面的能力。

雲：

雲端大資料處理能力、分析的能力和儲存能力。EDR核心是要能夠儲存真正的安全事件，事件彙集起來是非常龐大的資料，因此一定要具備儲存能力。其次，能夠對資料進行有效分析，要處理來自全球十幾億終端的安全事件，需要具備EB極大資料分析能力、能呼叫百萬顆以上CPU參與運算。360覆蓋了全球15億終端，能夠實時感知全球全網安全事件，將安全資料匯聚至雲端分析處理，真正實現了資料雲端打通和協作。

端：

終端上高質量事件的捕獲能力。終端上的資料採集和與分析能力，很大程度上直接決定了EDR的檢測溯源效果，是EDR看得見能力成敗的關鍵保障。一定要保證事件的精度要高，如果採集的都是低質量的資訊，會消耗寶貴的儲存和分析資源。另一方面，EDR事件探針的維度，站在高於攻擊者的維度。業內部分廠商，可能僅僅是利用微軟標準介面來進行威脅資訊收集，但標準介面廠商知道自然攻擊者也知道，他們站在同一個起跑線上，廠商能做到的，攻擊者一樣可以。因此，攝像頭必須要裝在攻擊者摸不到的地方，要不然別人進來第一件事就是把攝像頭蓋住。360 EDR基於冰刃虛擬機器的探針可以從高於核心的維度來採集安全事件，是國內唯一預設為上億使用者開啟的虛擬機器探針，確保了事件的高可信度，”潘劍鋒表示。

數：

大資料。360有十幾億終端，資料量是最大的，所以見到攻擊是最多的。在大資料的賦能下，360可以將個人使用者和很多能聯網的企業使用者打通，將他們的安全事件在後臺統一分析，相當於在A廠發現威脅就可以應用到全部客戶，打破了終端之間的孤島。

人：

人是實戰專家，要看見威脅，需要有豐富的實戰能力。目前，360擁有具備頂級漏洞挖掘能力的東半球最強白帽軍團。至今為止，360專家已成功挖掘谷歌、微軟、蘋果等主流廠商CVE漏洞近2000個，包攬三巨頭史上最高漏洞獎勵，並已成功追蹤溯源海蓮花、摩訶草、美人魚、蔓靈花、藍寶菇等針對中國的境外APT組織累計多達50個。在持續與各國高級別駭客較量過程中，淬鍊出了一套業界獨有的“實戰兵法”，並以此賦能指導360EDR實現對各種威脅進行溯源分析及提供相應的解決方案。

AI：

AI有一個很重要的點，資料越大，訓練結果就越好，而360的資料就足夠大。海量的大資料都需要人工智慧進行處理分析，能節省絕大部分人工時間。360擁有靜態樣本檢測的QVM，從使用早期支援向量機、隨機森林等演算法，到使用AI研究院自研演算法，是成熟的下一代人工智慧反病毒引擎；雷鳥引擎則是針對EDR所採集的時序事件進行分析，既包含經驗規則匹配，又利用長短期記憶網路等深度學習方法訓練與檢測。

歸根結底，EDR考驗的是前端資料採集能力，後端的安全大資料支撐及分析和策略控制能力，而這正是360 EDR的獨特優勢所在。360 EDR上述“雲、端、數、人、AI”能力，能幫助政企使用者消除視覺盲點、認清風險的同時，自動化處置藏匿其中的惡意行為，深度追蹤溯源取證攻擊源頭。

雲地雙棧，SaaS化部署

隨著數字化的深入發展，大量的裝置入網、業務和資料上雲，對於安全也提出了更高的要求。SaaS化服務模式也掀起一股熱潮，譬如國外的EDR廠商CrowdStrike，作為當紅炸子雞市值一度接近500億美元。

反觀國內，其實SaaS化的需求也在逐漸增加。中小企業很多時候沒有部署成熟EDR產品的能力或者沒有相關的人才技術。潘劍鋒指出：對於大型央國企，他們有能力自建隊伍培養人才；而對於中小企業來說，SaaS化服務可以很好解決該問題。

事實上，360EDR的SaaS模式遠比CrowdStrike更早。

這背後的邏輯是，十幾年來，360幫助幾億個人使用者、大中小企業、國家解決安全問題，完整儲存記錄下了360看見的全量安全大資料，在此過程中把最新攻擊樣本第一時間收集到雲端，積累形成總數超300億的安全樣本庫，能夠解決發現已知攻擊問題。為識別未知攻擊，360基於上述樣本建立了大規模的APT基因庫和攻防知識庫，包含所有近千種技戰術種類，數千種殺傷鏈模型，數萬種漏洞利用和典型攻擊的例項，百萬攻防知識圖譜和百億實戰分析圖譜，相當一部雲端百科全書。

SaaS化、智慧化是360 EDR的未來演進方向。

一方面，360 EDR可以在雲端採用SaaS的部署模式，為使用者提供安全大資料的儲存、資料實時處理、關聯分析、並行查詢以及秒級響應能力，支撐安全專家隨時進行主動的威脅狩獵。另一方面，基於知識圖譜和AI技術帶來的技術提升，360 EDR也越來越智慧化，包括實現對海量安全事件的自動分類、自動分優先順序和對攻擊行為採取自動響應等。

此外，360EDR還有一個特點：支援雲地雙棧部署。面對大型企業隔離網環境， 360EDR可以靈活進行本地化部署。如果想要連雲，同時也可以享受更強的SaaS化服務。

總體而言，360 EDR依靠360在資料、情報、專家的賦能，以及雲地一體的架構，能夠實現SaaS化或本地化部署，兼具智慧化功能，為政企使用者提供最強大、最全面的安全分析能力、攻擊溯源能力、視覺化展現能力、快速響應能力、聯防聯動能力、定製化安全運營能力以及豐富的訂閱服務，幫助使用者大幅度提升安全風險的識別、保護、檢測、響應、恢復等各項能力。

可以看出，SaaS化的服務模式，部署易，成本低，大大解放了使用者的勞動力，實現了降本增效。

做安全需腳踏實地

#FormatImgID_5#

在數字化轉型過程中，雲計算、大資料、物聯網、移動互聯等技術的業務應用加速落地，原有的網路邊界被打破，導致終端成為新的安全邊界，終端作為數字化基礎節點面臨對抗加劇、安全挑戰嚴峻。

傳統基於規則的被動防禦技術已經無法適應新的威脅環境，網路安全已經進入檢測與響應時代。因此，EDR（端點）、NDR（網路））、TDR（威脅）等檢測與響應技術紛紛出現。

尤其XDR（擴充套件的威脅監測響應），Omdia預計：到2026年之前，XDR業務營收的複合年增長率將超過56%。業內一部分人認為XDR集合了NDR和EDR的優勢是終端安全的未來，能做到流量端和終端更加全面的檢測。因此不論是安全廠商還是創業公司都紛紛加入XDR行列，XDR與EDR究竟是互補還是顛覆？

對於此，潘劍鋒丟擲一個觀點：“安全這個事情實現不了彎道超車，比如以前沒做過EPP，現在就想用EDR的概念實現超車，以前沒有做過EDR現在就想打著XDR的概念實現彎道超車，這樣的理念是完全錯誤的。”

這裡有一個生動比方：假設EDR是攝像頭、NDR是溫度感測器，如若攝像頭不行看東西都是模糊的，溫度感測器也感知不到38度和39度的細微差別，那麼連在一起XDR就能夠抓到小偷了？這當然不可能。

安全行業還需要一步一個腳印穩紮穩打。就終端安全來講，未來終端安全能力一定會實現一體化。

潘劍鋒表示：“360擁有十幾年實戰經驗，我們覺得未來安全發展趨勢一定向真實的安全能力，解決安全問題的角度，相信真正能夠解決使用者問題的安全產品才會受到市場歡迎。”

（雷峰網雷峰網）