<code id="hhktd"></code>
    <ins id="hhktd"><option id="hhktd"></option></ins>
  • <ins id="hhktd"><video id="hhktd"><var id="hhktd"></var></video></ins>

        <tr id="hhktd"><track id="hhktd"></track></tr>
        <menuitem id="hhktd"><acronym id="hhktd"></acronym></menuitem>

        1. <ins id="hhktd"><video id="hhktd"></video></ins>
        2. 侵權投訴
          訂閱
          糾錯
          加入自媒體

          EDR“向未來” | 360 EDR實現SaaS化、智能化雙輪驅動

          2022-05-20 10:07
          云報
          關注

          每日午餐后去公園遛彎已經成了日常作息的一部分。今天,幾位同事搭伴同游,閑談中一位同事提起,她家里剛剛更換了指紋鎖,現在出門再不用帶鑰匙,感覺實在是太輕松了!

          “指紋鎖真的安全嗎?”有人追問!安蝗缭陂T外再安裝一個攝像頭,豈不是更安全?”有人如此建議。關于安全的熱烈討論就此展開……

          EDR“向未來” | 360 EDR實現SaaS化、智能化雙輪驅動

          主動式防御成大勢所趨

          別看只是一把小小的門鎖,卻引發了關于安全的深入思考。無論是社會安全、生活安全,還是企業安全、網絡安全,都由于安全形勢和需求的快速變化,以及技術的迭代與演進,發生了顛覆性的變化。傳統的機械式門鎖只是被動地防護,而攝像頭則是一種主動式的安全措施,可以提前一步發現隱患,及早發出報警或提前處置,防患于未然。

          在企業中,由被動式防御轉為主動式防護已經是大勢所趨,由于大數據、人工智能等技術的加持,快速的檢測和響應變得越來越普遍。云計算應用的普及、疫情催化作用下遠程辦公的流行,導致安全邊界變得更加模糊,任意終端都可能成為黑客攻擊的標靶。這也是具備安全檢測、威脅預警、病毒溯源、快速響應能力的終端威脅檢測與響應(Endpoint Detection & Response,EDR)引起廣泛關注的重要原因。

          早在2013年,Gartner便首次提出了EDR的概念,認為它是一種面向未來的終端安全解決方案。此后連續多年,EDR都被Gartner列為十大技術之一。作為終端安全領域的風向標之一,EDR能否不負重望呢?2022年初,希臘比雷埃夫斯大學公布了一項針對國外26家頂級網絡安全廠商EDR產品的評測報告,其結果讓人大跌眼鏡,許多廠商未能檢測到高級持續威脅參與者使用的一些最常見的攻擊技術和勒索軟件團伙。即使最先進的EDR也無法預防和記錄測試中使用的大部分攻擊。我們不禁要問:問題到底出在哪兒?

          真正的EDR產品必備能力是什么?

          結合Gartner給出的定義,EDR其實是從預測、防護、檢測和響應四個維度,實現持續性安全防護,并且貫穿安全威脅事件的整個生命周期。拋開那些稍顯晦澀的技術細節描述,EDR只談了三件重要的事:大數據存儲及處理能力、安全分析能力,還有人的因素。

          EDR“向未來” | 360 EDR實現SaaS化、智能化雙輪驅動

          EDR標準架構設計

          具體來看,若想實現快速的檢測和響應,數據的支撐是不可或缺的。在這里我們強調的大數據的存儲及處理能力,其核心目標是不丟失與終端安全相關的重要數據,并能通過分析原始終端安全數據而形成全局的、縝密的、連貫的攻擊視圖。在EDR中,端點采集的各類安全行為數據是終端安全防御、檢測和響應的核心依據,也是應對APT攻擊的重要手段,通過對多維度、高質量的大數據進行自動化、智能化地關聯分析和運營,才能有效追溯攻擊過程,尋找漏洞源和攻擊源。

          如今,安全威脅之所以越來越難以防范,一個非常重要的原因是,越來越多的高級威脅攻擊都學會了“隱身術”,能夠很好地隱蔽在常規軟件類似的行為中。因此,在檢測時,不僅需要對終端海量數據進行安全分析,而且要具備對歷史數據的反復檢測能力。針對APT攻擊的極強持續性和階段性特點,在關聯分析過程中應盡量收集各層面、各階段的全方位數據,同時適量將時間窗口拉大,通過寬時間域數據分析提取具有內在關聯的若干屬性,從而更準確地識別出攻擊發生的時間、地點、攻擊類型等信息。只有具備強大的安全分析能力,才能確保各類威脅全面可視,讓任何安全隱患都無處遁形。

          具備能夠部署及使用產品的專業人士,這是EDR充分發揮其作用的必要前提。如果沒有專業人才的支持,EDR的安全分析能力將大打折扣;谧钚侣┒、APT等各種攻擊方案,機器學習和大數據自動化關聯分析固然不可或缺,但將收集到的數據集進行分析和解釋還是要依靠人。

          毋庸置疑,EDR是一個市場“風口”,引得眾多廠商蜂擁而至。有些廠商使用入侵檢測、漏洞防御等產品來充當EDR,但這些產品在檢測能力上屬于傳統的本地特征匹配,并沒有終端行為采集和大數據分析能力;還有的廠商只是在其反病毒防護產品的基礎上新增了設備間聯動,但也打上了EDR的標簽。近日,360政企安全集團聯合Gartner發布的EDR白皮書《數字時代EDR技術發展趨勢》明確提出,面向數字時代的EDR技術應該致力于真正解決終端所面臨的各類高級威脅問題,以云端能力為核心,以安全大數據、威脅情報、高精度異常數據采集等核心技術為支撐,有效規避傳統終端安全產品(EPP)檢測技術的弊端,打造高維度的威脅檢測對抗能力,做到事前預防、事中檢測和事后修復。

          以實戰為基礎,面向未來的EDR產品應該是什么樣的?應該具備怎樣的關鍵能力呢?

          “特級標準”的EDR強在哪?

          360基于Gartner對EDR定義的必要能力,并結合實戰將EDR的能力成熟度模型劃分為4個等級——初級是EPP、中級是具備有限的EDR、高級是滿足Gartner定義的標準化EDR、特級是SaaS化和智能化的EDR。近日正式發布的360 EDR正是超越了Gartner定義的標準化EDR,以SaaS化和智能化為核心特征的面向未來的EDR。

          360 EDR依托360云端安全大腦提供的安全大數據、威脅情報和攻防知識庫等強大能力,以及核心安全大腦“運營商”級的分析算力支撐,構建了“云地一體化”架構,以低成本、高效率、易部署的優勢滿足互聯網和隔離網場景下的安全防護需求,通過持續監測端點活動行為,對威脅風險進行深度檢測、智能化分析和專業化處理,在大幅降低用戶成本的同時,提升部署效率,聯動全網大數據,全方位解決用戶的終端安全問題。

          360 EDR的差異化可以用“3+1”來概括。所謂“3”,是指360 EDR具備EDR最核心的三項基礎能力——全網視角、安全分析能力/智能檢測能力,以及專業團隊的支撐;“1”是獲取高質量數據的能力,即終端數據質量。

          先來看三大基礎能力。從數據維度看,安全大數據作為360 EDR的持續驅動力,能夠實時同步全球威脅,持續增強對APT攻擊的檢測、感知能力。在17年實戰經驗的基礎之上,360云端安全大腦匯集了超過300億惡意樣本、22萬億安全日志、80億域名信息及2EB以上的安全大數據,可幫助政企用戶透析全網威脅態勢。360在多維度、高質量安全大數據方面長期累積的優勢,在EDR產品上實現了厚積薄發,充分展示了其大數據能力這一長板。

          從技術維度看,360核心安全大腦為360 EDR提供了“運營商”級別的分析能力。由于高級威脅攻擊的蛛絲馬跡往往隱蔽在常規軟件類似的行為當中,因此需要有對海量歷史數據的反復檢測能力。這些都要求產品具備強大的大數據運算能力。作為360 EDR的關鍵支撐部分,360核心安全大腦為其提供“運營商級別”的分析算力,可瞬間調用超過百萬顆CPU參與計算、檢索與關聯,快速幫助客戶畫出完整攻擊鏈圖譜。

          從人的維度看,在終端安全對抗過程中,專業團隊的支撐能力尤為重要。360擁有具備頂級漏洞挖掘能力的東半球最強白帽軍團;360專家專家已挖掘谷歌、微軟、蘋果等主流廠商CVE漏洞近2000個,成功追蹤溯源海蓮花、摩訶草、美人魚、蔓靈花、藍寶菇等針對中國的境外APT組織50個……正是17年來360安全專家團隊持續與各國網軍、高級別黑客較量,以此淬煉出了一套業界獨有的“360實戰兵法”,實時賦能指導360 EDR實現對高階威脅的溯源分析。

          EDR“向未來” | 360 EDR實現SaaS化、智能化雙輪驅動

          威脅信息不是采集上來就萬事大吉了,實際上采集高質量的安全信息是保證終端安全的高門檻之一。

          要想獲得高質量的威脅信息,首先要保證“全”,即從多維度采集威脅信息,包括攻擊前、攻擊中、攻擊后的時間維度,標準行為、差異行為、破壞行為的行為維度,以及感染前、感染中、感染后的階段維度等,在此基礎上進行安全分析,才能提升準確度。信息一定要盡可能完整,不能斷章取義或瞎子摸象。今天你不認為是威脅的信息,可能明天就是IOA(indicator of attack),之所以今天會遺漏或未被查覺,很可能是因為你的能力不足以將它“挖”出來。

          其次要“精”,以360 EDR為例,它依靠360十幾年積累的內核分析技術、獨特的核晶硬件虛擬化引擎等多種引擎,收集安全數據,確保了高精度數據的采集。

          最后是“可靠”。從360的成功經驗來看,確保信息的可靠在采集層面要盡可能地“下沉一層”。舉例來說,比如Malware運行在guest os中,那么采集就應該下沉到host層。如果你和攻擊者在同一個層次,那么可靠的信息采集只能是一廂情愿。所以,安全的攝像頭應該裝在壞人摸不到的地方。

          360 EDR是符合“特級標準”的終端安全產品,它在云端采用SaaS部署模式,提供安全大數據的存儲、數據實時處理、關聯分析、并行查詢以及秒級響應能力,支撐安全專家隨時進行主動的威脅狩獵;同時基于查殺引擎、知識圖譜和AI技術實現技術提升,使得EDR越來越智能化,包括對海量安全事件的自動分類、自動分優先級和對攻擊行為采取自動響應等,充分體現了下一代EDR的智能化特點。

          “兩化”融合的EDR

          毋庸置疑,SaaS化、智能化“兩化”融合的EDR將是未來發展的方向。

          SaaS化的作用集中體現在,打通數據,利用云的優勢增強安全大數據支撐能力,將威脅情報能力、檢測分析能力等以SaaS化形式賦能企業;SaaS化服務形式能更好地平衡安全能力與資源占用問題,確保安全的同時減少端點性能資源的消耗,提升服務器資源利用率;SaaS化EDR已經經過了大規模場景實踐驗證和優化,很多“坑”不需要企業自己去踩,也不需要企業花費很多精力去做應用的優化適配,在提升系統穩定性的同時,節省了大量人力成本;SaaS化還有助于提升服務的穩定性、持續性,比如SaaS化的360 EDR整合了360云端大腦的多種能力,建立了一套動態可持續演進的高級威脅能力體系,檢測能力、情報能力持續更新,通過源源不斷的安全賦能,實現對APT攻擊的有效對抗。

          EDR的智能化可以有效降低人力操作成本,賦予產品安全有效的檢測處置能力,能相對智能地給出處理結果,并將防御和清除威脅及溯源結果及時反饋給用戶。360 EDR將政企用戶的風險處置能力指數級提升,實現了安全事件零損失。它還提供了安全風險綜合評估、SOAR自動化響應處置能力,可以實現自動化安全事件閉環處置流程,提高安全事件處置效率和效果。利用360核心安全大腦提供的威脅情報自動關聯分析能力,360 EDR讓高級威脅不再隱匿,攻擊過程中所有關鍵環節全部可視,從而實現了防護指標全部量化,讓用戶業務運行的更安全、更穩定、更高效。

          以SaaS化和智能化為基礎的EDR,可以幫助企業用戶有效解決長期安全運營的問題!皟苫比诤系360 EDR又一次走在了業界前列。

                 原文標題 : EDR“向未來” | 360 EDR實現SaaS化、智能化雙輪驅動

          聲明: 本文由入駐維科號的作者撰寫,觀點僅代表作者本人,不代表OFweek立場。如有侵權或其他問題,請聯系舉報。

          發表評論

          0條評論,0人參與

          請輸入評論內容...

          請輸入評論/評論長度6~500個字

          您提交的評論過于頻繁,請輸入驗證碼繼續

          暫無評論

          暫無評論

          安防 獵頭職位 更多
          文章糾錯
          x
          *文字標題:
          *糾錯內容:
          聯系郵箱:
          *驗 證 碼:

          粵公網安備 44030502002758號

          无码人妻精品一区二区三区99 久久精品无码av 18禁无遮挡肉动漫在线播放下载 sese97 av香港三级级在线
          <code id="hhktd"></code>
          <ins id="hhktd"><option id="hhktd"></option></ins>
        3. <ins id="hhktd"><video id="hhktd"><var id="hhktd"></var></video></ins>

              <tr id="hhktd"><track id="hhktd"></track></tr>
              <menuitem id="hhktd"><acronym id="hhktd"></acronym></menuitem>

              1. <ins id="hhktd"><video id="hhktd"></video></ins>