未见 所见 360EDR 从见我 一种可能解 到见我 (所见未见的意思)
作者:李扬霞
编辑:林觉民
一直以来,海湾战争被认为是信息化战争开始的标志,美军曾在分析总结海湾战争获胜原因时认为“战争中最致命的武器不是导弹和战斗机,也不是战舰和坦克,而是部署在整个战场庞大的侦察预警系统。”
而在如今频繁发生的数字空间网络战中,同样“看见”是防御的首要能力,要知道风险在哪里,是什么样的风险,什么时候的风险,才能进一步处置和应对。
作为攻防双方较量的主战场,终端承担了“看见”的关键。攻击方企图通过对终端的入侵渗透,撕破防御体系,近年来利用0day漏洞、未知恶意软件进行攻击的安全事件层出不穷,给涉事企业带来严重的经济损失。而防守方筑牢内网防线,力争发现并反制攻击行为。
对于安全行业来讲,对已知安全威胁的防御已经相当成熟,但对于未知威胁的防范却成了很多企业的一大心病,传统的安全防护手段\工具,已经难以和全新的网络安全威胁进行正面对抗。想要实现“看见”威胁主动防御,EDR成为了破局之道。
近日,360推出了新一代的终端防护利器——360EDR。在第十届互联网安全大会(简称ISC 2022)上,采访到了 360集团副总裁、首席科学家潘剑锋 ,他表示: “EDR的核心思想就是主动式防御,以前的端点安全产品只能应对已知威胁,EDR产品对于未知的攻击能够通过系统和人的配合,捕捉异常行为、分析攻击、及时响应、自动化拦截形成闭环。” EDR 的出现代表了安全理念的一个重要转变:从见我“所见”,到见我“未见”。
安全没有 “银色子弹”,我们无法拦截所有攻击,一味的严防死守、高筑城墙的理念已经不适合当下数字经济时代,只有及时发现异常并且进行处理,将损害限制在可控范围内,才是端点预防攻击最佳理念。
(360集团副总裁、首席科学家潘剑锋)
EDR最早由Gartner在2013年提出,并连续多年被Gartner列为十大技术之一。最初提出EDR概念是为了弥补传统终端管理系统(EPP)的不足,而现在EDR与EPP相互补充融合,逐渐已成为各大安全厂商主流的终端防护部署方式。
在过去十多年里,终端安全仅仅指的是杀毒软件,后来才升级到EPP。EPP也被称为第三代杀毒软件,拥有杀毒、防火墙以及外设管控等功能,是综合性的终端保护软件。但是对于复杂和有针对性的攻击,例如APT攻击、0day攻击等,EPP也束手无策,而攻击者可以通过定制化的恶意软件成功绕过防御。另外,EPP各个防御工具的告警也相互独立,缺乏对终端的持续监控,安全人员很难定位威胁的来源以及威胁造成的影响。
EDR技术应运而生,EDR是一种主动式的防御。面对更加隐蔽和高级的持续攻击,EDR的原理是把威胁放进来,研究其路径,进行分析和判断,再进行阻断,更侧重于“检测”和“反应”,如果经判断有危害,那么下次再出现类似的攻击就可以直接阻断,从而形成一整个闭环。它保护的并不局限于端点本身,而是以端点为基础,收集更多信息,结合大数据和机器学习的技术,发现潜在的未知威胁,并作出响应。
由于,各厂商对EDR理解不同,其产品也有所差异。因此也有人认为“国内某些“EDR”都不是真正的EDR,是EPP甚至是AV(反病毒软件)换了皮肤,是假的EDR。”那么我们到底需要什么样的EDR?
首先,大多数企业想要EDR功能确实不假,但是一些客户部署了一堆威胁检测盒子,告警量一天达到千万级以上,无法有效的识别有价值的告警;而且,告警量的增加势必需要投入更多的人员进行安全运营,无形中增加了安全的成本。其次,大多数EDR,其实都是一个个孤岛,没有数据积累,采什么样的数据?怎么采?其实是很难的一件事情。
那么问题来了,到底具备什么样的能力才是‘真EDR’?
具体来说,EDR的核心能力应该包括大数据存储、安全事件采集、后台分析追踪溯源能力以及响应能力等。潘剑锋认为:“判断EDR是否具备真能力,最重要的是看实际效果。”他以坦克举例,评判一辆坦克的性能好坏,主要是在战场上真实有效的。如果只是按照概念包装出来,则毫无意义,真正要看到底采集了什么数据?分析能力到底怎样?炮筒是125毫米还是50毫米,威力是完全不一样的。
这里,以360EDR为例,把增强“看见”能力作为核心,包括看见自己、看见自己的资产、看见敌人的攻击和威胁,而最核心的是“看见威胁”,看见威胁之后基本就解决了80%的问题,只有看得见才能意识到威胁的发生并进行预防。如果你都没有看见威胁,这才是最危险的,因为什么都做不了。
“能够看见威胁就解决了80%的问题,‘真EDR’是看见威胁的眼睛,能真正看见包括APT等各类威胁,它具备全球视野+AI+实战能力+云端分析能力+高级端点能力,”潘剑锋如是说。
那么,想要实现“看见”威胁,这背后又需要哪些核心能力?潘剑锋指出想要“看见”威胁实现挂图作战,需要具备 “云+端+数+人+AI” 五方面的能力。
云: 云端大数据处理能力、分析的能力和存储能力。EDR核心是要能够存储真正的安全事件,事件汇集起来是非常庞大的数据,因此一定要具备存储能力。其次,能够对数据进行有效分析,要处理来自全球十几亿终端的安全事件,需要具备EB极大数据分析能力、能调用百万颗以上CPU参与运算。360覆盖了全球15亿终端,能够实时感知全球全网安全事件,将安全数据汇聚至云端分析处理,真正实现了数据云端打通和协作。
端: 终端上高质量事件的捕获能力。终端上的数据采集和与分析能力,很大程度上直接决定了EDR的检测溯源效果,是EDR看得见能力成败的关键保障。一定要保证事件的精度要高,如果采集的都是低质量的信息,会消耗宝贵的存储和分析资源。另一方面,EDR事件探针的维度,站在高于攻击者的维度。业内部分厂商,可能仅仅是利用微软标准接口来进行威胁信息收集,但标准接口厂商知道自然攻击者也知道,他们站在同一个起跑线上,厂商能做到的,攻击者一样可以。因此,摄像头必须要装在攻击者摸不到的地方,要不然别人进来第一件事就是把摄像头盖住。360 EDR基于冰刃虚拟机的探针可以从高于内核的维度来采集安全事件,是国内唯一默认为上亿用户开启的虚拟机探针,确保了事件的高可信度,”潘剑锋表示。
数: 大数据。360有十几亿终端,数据量是最大的,所以见到攻击是最多的。在大数据的赋能下,360可以将个人用户和很多能联网的企业用户打通,将他们的安全事件在后台统一分析,相当于在A厂发现威胁就可以应用到全部客户,打破了终端之间的孤岛。
人: 人是实战专家,要看见威胁,需要有丰富的实战能力。目前,360拥有具备顶级漏洞挖掘能力的东半球最强白帽军团。至今为止,360专家已成功挖掘谷歌、微软、苹果等主流厂商CVE漏洞近2000个,包揽三巨头史上最高漏洞奖励,并已成功追踪溯源海莲花、摩诃草、美人鱼、蔓灵花、蓝宝菇等针对中国的境外APT组织累计多达50个。在持续与各国高级别黑客较量过程中,淬炼出了一套业界独有的“实战兵法”,并以此赋能指导360EDR实现对各种威胁进行溯源分析及提供相应的解决方案。
AI有一个很重要的点,数据越大,训练结果就越好,而360的数据就足够大。海量的大数据都需要人工智能进行处理分析,能节省绝大部分人工时间。360拥有静态样本检测的QVM,从使用早期支持向量机、随机森林等算法,到使用AI研究院自研算法,是成熟的下一代人工智能反病毒引擎;雷鸟引擎则是针对EDR所采集的时序事件进行分析,既包含经验规则匹配,又利用长短期记忆网络等深度学习方法训练与检测。
归根结底,EDR考验的是前端数据采集能力,后端的安全大数据支撑及分析和策略控制能力,而这正是360 EDR的独特优势所在。360 EDR上述“云、端、数、人、AI”能力,能帮助政企用户消除视觉盲点、认清风险的同时,自动化处置藏匿其中的恶意行为,深度追踪溯源取证攻击源头。
随着数字化的深入发展,大量的设备入网、业务和数据上云,对于安全也提出了更高的要求。saas化服务模式也掀起一股热潮,譬如国外的EDR厂商CrowdStrike,作为当红炸子鸡市值一度接近500亿美元。
反观国内,其实SaaS化的需求也在逐渐增加。中小企业很多时候没有部署成熟EDR产品的能力或者没有相关的人才技术。潘剑锋指出:对于大型央国企,他们有能力自建队伍培养人才;而对于中小企业来说,SaaS化服务可以很好解决该问题。
事实上,360EDR的SaaS模式远比CrowdStrike更早。
这背后的逻辑是,十几年来,360帮助几亿个人用户、大中小企业、国家解决安全问题,完整存储记录下了360看见的全量安全大数据,在此过程中把最新攻击样本第一时间收集到云端,积累形成总数超300亿的安全样本库,能够解决发现已知攻击问题。为识别未知攻击,360基于上述样本建立了大规模的APT基因库和攻防知识库,包含所有近千种技战术种类,数千种杀伤链模型,数万种漏洞利用和典型攻击的实例,百万攻防知识图谱和百亿实战分析图谱,相当一部云端百科全书。
SaaS化、智能化是360 EDR的未来演进方向。
一方面,360 EDR可以在云端采用SaaS的部署模式,为用户提供安全大数据的存储、数据实时处理、关联分析、并行查询以及秒级响应能力,支撑安全专家随时进行主动的威胁狩猎。另一方面,基于知识图谱和AI技术带来的技术提升,360 EDR也越来越智能化,包括实现对海量安全事件的自动分类、自动分优先级和对攻击行为采取自动响应等。
此外,360EDR还有一个特点:支持云地双栈部署。面对大型企业隔离网环境, 360EDR可以灵活进行本地化部署。如果想要连云,同时也可以享受更强的SaaS化服务。
总体而言,360 EDR依靠360在数据、情报、专家的赋能,以及云地一体的架构,能够实现SaaS化或本地化部署,兼具智能化功能,为政企用户提供最强大、最全面的安全分析能力、攻击溯源能力、可视化展现能力、快速响应能力、联防联动能力、定制化安全运营能力以及丰富的订阅服务,帮助用户大幅度提升安全风险的识别、保护、检测、响应、恢复等各项能力。
可以看出,SaaS化的服务模式,部署易,成本低,大大解放了用户的劳动力,实现了降本增效。
在数字化转型过程中,云计算、大数据、物联网、移动互联等技术的业务应用加速落地,原有的网络边界被打破,导致终端成为新的安全边界,终端作为数字化基础节点面临对抗加剧、安全挑战严峻。
传统基于规则的被动防御技术已经无法适应新的威胁环境,网络安全已经进入检测与响应时代。因此,EDR(端点)、NDR(网络))、TDR(威胁)等检测与响应技术纷纷出现。
尤其XDR(扩展的威胁监测响应),Omdia预计:到2026年之前,XDR业务营收的复合年增长率将超过56%。业内一部分人认为XDR集合了NDR和EDR的优势是终端安全的未来,能做到流量端和终端更加全面的检测。因此不论是安全厂商还是创业公司都纷纷加入XDR行列,XDR与EDR究竟是互补还是颠覆?
对于此,潘剑锋抛出一个观点:“安全这个事情实现不了弯道超车,比如以前没做过EPP,现在就想用EDR的概念实现超车,以前没有做过EDR现在就想打着XDR的概念实现弯道超车,这样的理念是完全错误的。”
这里有一个生动比方:假设EDR是摄像头、NDR是温度传感器,如若摄像头不行看东西都是模糊的,温度传感器也感知不到38度和39度的细微差别,那么连在一起XDR就能够抓到小偷了?这当然不可能。
安全行业还需要一步一个脚印稳扎稳打。就终端安全来讲,未来终端安全能力一定会实现一体化。
潘剑锋表示:“360拥有十几年实战经验,我们觉得未来安全发展趋势一定向真实的安全能力,解决安全问题的角度,相信真正能够解决用户问题的安全产品才会受到市场欢迎。”
原创文章,未经授权禁止转载。详情见 转载须知 。