據介紹,360 EDR依托360雲端安全大腦提供的安全大數據、威脅情報和攻防知識庫等能力以及核心安全大腦驅動的“運營商級”大數據處理及分析技術而打造。公司也將360 EDR視作“面向未來的EDR解決方案”。
具體而言,其介紹當前EDR產品被期望能夠真正解決終端面臨的APT、0day、勒索病毒等高級威脅。然而實戰證明,傳統的EDR產品面臨很多痛點,無法解決多場景安全性問題。例如,傳統EDR產品對海量大數據的存儲和處理能力不足,讓EDR整體威脅識別成為空談。又如,不少產品不具備從實戰中總結出知識庫和安全分析能力,使得有價值的數據在客戶側難以被有效利用。而且,有產品缺少靈活的性能調優和自適應機制,采集大量的端點信息導致消耗終端和服務器的大量寶貴資源。
所以在公司看來,打磨EDR存在壹些必要能力與關鍵能力——360正具備這樣的基礎。據介紹,首先整體在終端安全產品層面,360擁有17年的終端安全攻防對抗經驗,積累了海量的全網安全大數據,歷經十余年與各種木馬、APT家族、0day漏洞的攻防實戰,持續打磨終端的惡意行為檢測和響應能力,積累了全面細致的終端行為檢測技術。所以在其眼中,面向未來的EDR產品應該具備的關鍵能力,具體包括:
海量大數據存儲及處理能力。安全大數據是支撐構建覆蓋面足夠廣、精確度足夠高的檢測防禦模型,以及發現攻擊者痕跡的必要基礎。在EDR中,端點采集的各類安全行為數據是終端安全防禦、檢測和響應的核心依據,是應對APT攻擊的重要手段,通過對多維度高質量的海量大數據進行自動化的、智能化的關聯分析和運營,可以追溯攻擊過程,尋找漏洞源和攻擊源,是有效防禦和確保終端安全的有效途徑和方法。
全面專業的安全分析能力。EDR產品需要有各種安全檢測分析技術,能對海量多異構數據進行分析,同時結合全網APT情報,確保各類威脅全面可視。由於高級威脅攻擊的蛛絲馬跡往往隱蔽在常規軟件運行的類似行為當中,因此檢測需要對終端海量數據進行安全分析,需要具備對 歷史 數據的反復檢測能力,這些都要求產品具備極強的大數據運算分析能力。
實戰攻防對抗的能力。基於最新漏洞、APT等各種攻擊方式,機器學習和大數據自動化關聯分析固然必不可少,但對收集到的數據集進行人工分析和解釋也十分重要,安全專家會通過安全知識與專業技能,以及基於多年實戰總結的威脅檢測防禦模型,進行實時和持續的追蹤分析,並提供特定場景的安全解決方案。
隨著數字時代攻防對抗的不斷演化,以SaaS化和智能化EDR形式幫助企業用戶解決長期安全運營問題成為關鍵能力。通過整合雲端能力和終端資源以SaaS化服務形式面向大中小客戶輸出,能增強內網端點威脅防禦以及威脅對抗能力,保障各類生產和辦公業務平穩持續運行,已經成為新壹代EDR應對高級攻擊可預見的趨勢。
而作為面向未來的終端安全產品,公司表示,從構成上360 EDR技術架構分成三個部分:終端代理、EDR Server、360核心安全大腦。其中終端代理是360 EDR的核心組成部分,360 EDR依托於360雲端核心安全大腦的持續賦能、360核心安全大腦的安全大數據平臺充分發揮終端代理的采集和處置能力,同時通過EDR Sever的高效數據分析引擎,最終實現對高級威脅的檢測和抑制。
在效果上,其認為結合威脅情報和360核心安全大腦,360 EDR在產品化落地過程中具備了如下幾方面突出優勢:基於海量安全大數據的全網視角、完備安全分析能力和檢測能力、基於獨壹無二核晶引擎的高質量數據采集能力、以及SaaS化和智能化能力。