每日午餐后去公园遛弯已经成了日常作息的一部分。今天,几位同事搭伴同游,闲谈中一位同事提起,她家里刚刚更换了指纹锁,现在出门再不用带钥匙,感觉实在是太轻松了!
“指纹锁真的安全吗?”有人追问。“不如在门外再安装一个摄像头,岂不是更安全?”有人如此建议。关于安全的热烈讨论就此展开……
主动式防御成大势所趋
别看只是一把小小的门锁,却引发了关于安全的深入思考。无论是社会安全、生活安全,还是企业安全、网络安全,都由于安全形势和需求的快速变化,以及技术的迭代与演进,发生了颠覆性的变化。传统的机械式门锁只是被动地防护,而摄像头则是一种主动式的安全措施,可以提前一步发现隐患,及早发出报警或提前处置,防患于未然。
在企业中,由被动式防御转为主动式防护已经是大势所趋,由于大数据、人工智能等技术的加持,快速的检测和响应变得越来越普遍。云计算应用的普及、疫情催化作用下远程办公的流行,导致安全边界变得更加模糊,任意终端都可能成为黑客攻击的标靶。这也是具备安全检测、威胁预警、病毒溯源、快速响应能力的终端威胁检测与响应(Endpoint Detection & Response,EDR)引起广泛关注的重要原因。
早在2013年,Gartner便首次提出了EDR的概念,认为它是一种面向未来的终端安全解决方案。此后连续多年,EDR都被Gartner列为十大技术之一。作为终端安全领域的风向标之一,EDR能否不负重望呢?2022年初,希腊比雷埃夫斯大学公布了一项针对国外26家顶级网络安全厂商EDR产品的评测报告,其结果让人大跌眼镜,许多厂商未能检测到高级持续威胁参与者使用的一些最常见的攻击技术和勒索软件团伙。即使最先进的EDR也无法预防和记录测试中使用的大部分攻击。我们不禁要问:问题到底出在哪儿?
真正的EDR产品必备能力是什么?
结合Gartner给出的定义,EDR其实是从预测、防护、检测和响应四个维度,实现持续性安全防护,并且贯穿安全威胁事件的整个生命周期。抛开那些稍显晦涩的技术细节描述,EDR只谈了三件重要的事:大数据存储及处理能力、安全分析能力,还有人的因素。
EDR标准架构设计
具体来看,若想实现快速的检测和响应,数据的支撑是不可或缺的。在这里我们强调的大数据的存储及处理能力,其核心目标是不丢失与终端安全相关的重要数据,并能通过分析原始终端安全数据而形成全局的、缜密的、连贯的攻击视图。在EDR中,端点采集的各类安全行为数据是终端安全防御、检测和响应的核心依据,也是应对APT攻击的重要手段,通过对多维度、高质量的大数据进行自动化、智能化地关联分析和运营,才能有效追溯攻击过程,寻找漏洞源和攻击源。
如今,安全威胁之所以越来越难以防范,一个非常重要的原因是,越来越多的高级威胁攻击都学会了“隐身术”,能够很好地隐蔽在常规软件类似的行为中。因此,在检测时,不仅需要对终端海量数据进行安全分析,而且要具备对历史数据的反复检测能力。针对APT攻击的极强持续性和阶段性特点,在关联分析过程中应尽量收集各层面、各阶段的全方位数据,同时适量将时间窗口拉大,通过宽时间域数据分析提取具有内在关联的若干属性,从而更准确地识别出攻击发生的时间、地点、攻击类型等信息。只有具备强大的安全分析能力,才能确保各类威胁全面可视,让任何安全隐患都无处遁形。
具备能够部署及使用产品的专业人士,这是EDR充分发挥其作用的必要前提。如果没有专业人才的支持,EDR的安全分析能力将大打折扣。基于最新漏洞、APT等各种攻击方案,机器学习和大数据自动化关联分析固然不可或缺,但将收集到的数据集进行分析和解释还是要依靠人。
毋庸置疑,EDR是一个市场“风口”,引得众多厂商蜂拥而至。有些厂商使用入侵检测、漏洞防御等产品来充当EDR,但这些产品在检测能力上属于传统的本地特征匹配,并没有终端行为采集和大数据分析能力;还有的厂商只是在其反病毒防护产品的基础上新增了设备间联动,但也打上了EDR的标签。近日,360政企安全集团联合Gartner发布的EDR白皮书《数字时代EDR技术发展趋势》明确提出,面向数字时代的EDR技术应该致力于真正解决终端所面临的各类高级威胁问题,以云端能力为核心,以安全大数据、威胁情报、高精度异常数据采集等核心技术为支撑,有效规避传统终端安全产品(EPP)检测技术的弊端,打造高维度的威胁检测对抗能力,做到事前预防、事中检测和事后修复。
以实战为基础,面向未来的EDR产品应该是什么样的?应该具备怎样的关键能力呢?
“特级标准”的EDR强在哪?
360基于Gartner对EDR定义的必要能力,并结合实战将EDR的能力成熟度模型划分为4个等级——初级是EPP、中级是具备有限的EDR、高级是满足Gartner定义的标准化EDR、特级是SaaS化和智能化的EDR。近日正式发布的360 EDR正是超越了Gartner定义的标准化EDR,以SaaS化和智能化为核心特征的面向未来的EDR。
360 EDR依托360云端安全大脑提供的安全大数据、威胁情报和攻防知识库等强大能力,以及核心安全大脑“运营商”级的分析算力支撑,构建了“云地一体化”架构,以低成本、高效率、易部署的优势满足互联网和隔离网场景下的安全防护需求,通过持续监测端点活动行为,对威胁风险进行深度检测、智能化分析和专业化处理,在大幅降低用户成本的同时,提升部署效率,联动全网大数据,全方位解决用户的终端安全问题。
360 EDR的差异化可以用“3+1”来概括。所谓“3”,是指360 EDR具备EDR最核心的三项基础能力——全网视角、安全分析能力/智能检测能力,以及专业团队的支撑;“1”是获取高质量数据的能力,即终端数据质量。
先来看三大基础能力。从数据维度看,安全大数据作为360 EDR的持续驱动力,能够实时同步全球威胁,持续增强对APT攻击的检测、感知能力。在17年实战经验的基础之上,360云端安全大脑汇集了超过300亿恶意样本、22万亿安全日志、80亿域名信息及2EB以上的安全大数据,可帮助政企用户透析全网威胁态势。360在多维度、高质量安全大数据方面长期累积的优势,在EDR产品上实现了厚积薄发,充分展示了其大数据能力这一长板。
从技术维度看,360核心安全大脑为360 EDR提供了“运营商”级别的分析能力。由于高级威胁攻击的蛛丝马迹往往隐蔽在常规软件类似的行为当中,因此需要有对海量历史数据的反复检测能力。这些都要求产品具备强大的大数据运算能力。作为360 EDR的关键支撑部分,360核心安全大脑为其提供“运营商级别”的分析算力,可瞬间调用超过百万颗CPU参与计算、检索与关联,快速帮助客户画出完整攻击链图谱。
从人的维度看,在终端安全对抗过程中,专业团队的支撑能力尤为重要。360拥有具备顶级漏洞挖掘能力的东半球最强白帽军团;360专家专家已挖掘谷歌、微软、苹果等主流厂商CVE漏洞近2000个,成功追踪溯源海莲花、摩诃草、美人鱼、蔓灵花、蓝宝菇等针对中国的境外APT组织50个……正是17年来360安全专家团队持续与各国网军、高级别黑客较量,以此淬炼出了一套业界独有的“360实战兵法”,实时赋能指导360 EDR实现对高阶威胁的溯源分析。
威胁信息不是采集上来就万事大吉了,实际上采集高质量的安全信息是保证终端安全的高门槛之一。
要想获得高质量的威胁信息,首先要保证“全”,即从多维度采集威胁信息,包括攻击前、攻击中、攻击后的时间维度,标准行为、差异行为、破坏行为的行为维度,以及感染前、感染中、感染后的阶段维度等,在此基础上进行安全分析,才能提升准确度。信息一定要尽可能完整,不能断章取义或瞎子摸象。今天你不认为是威胁的信息,可能明天就是IOA(indicator of attack),之所以今天会遗漏或未被查觉,很可能是因为你的能力不足以将它“挖”出来。
其次要“精”,以360 EDR为例,它依靠360十几年积累的内核分析技术、独特的核晶硬件虚拟化引擎等多种引擎,收集安全数据,确保了高精度数据的采集。
最后是“可靠”。从360的成功经验来看,确保信息的可靠在采集层面要尽可能地“下沉一层”。举例来说,比如Malware运行在guest os中,那么采集就应该下沉到host层。如果你和攻击者在同一个层次,那么可靠的信息采集只能是一厢情愿。所以,安全的摄像头应该装在坏人摸不到的地方。
360 EDR是符合“特级标准”的终端安全产品,它在云端采用SaaS部署模式,提供安全大数据的存储、数据实时处理、关联分析、并行查询以及秒级响应能力,支撑安全专家随时进行主动的威胁狩猎;同时基于查杀引擎、知识图谱和AI技术实现技术提升,使得EDR越来越智能化,包括对海量安全事件的自动分类、自动分优先级和对攻击行为采取自动响应等,充分体现了下一代EDR的智能化特点。
“两化”融合的EDR
毋庸置疑,SaaS化、智能化“两化”融合的EDR将是未来发展的方向。
SaaS化的作用集中体现在,打通数据,利用云的优势增强安全大数据支撑能力,将威胁情报能力、检测分析能力等以SaaS化形式赋能企业;SaaS化服务形式能更好地平衡安全能力与资源占用问题,确保安全的同时减少端点性能资源的消耗,提升服务器资源利用率;SaaS化EDR已经经过了大规模场景实践验证和优化,很多“坑”不需要企业自己去踩,也不需要企业花费很多精力去做应用的优化适配,在提升系统稳定性的同时,节省了大量人力成本;SaaS化还有助于提升服务的稳定性、持续性,比如SaaS化的360 EDR整合了360云端大脑的多种能力,建立了一套动态可持续演进的高级威胁能力体系,检测能力、情报能力持续更新,通过源源不断的安全赋能,实现对APT攻击的有效对抗。
EDR的智能化可以有效降低人力操作成本,赋予产品安全有效的检测处置能力,能相对智能地给出处理结果,并将防御和清除威胁及溯源结果及时反馈给用户。360 EDR将政企用户的风险处置能力指数级提升,实现了安全事件零损失。它还提供了安全风险综合评估、SOAR自动化响应处置能力,可以实现自动化安全事件闭环处置流程,提高安全事件处置效率和效果。利用360核心安全大脑提供的威胁情报自动关联分析能力,360 EDR让高级威胁不再隐匿,攻击过程中所有关键环节全部可视,从而实现了防护指标全部量化,让用户业务运行的更安全、更稳定、更高效。
以SaaS化和智能化为基础的EDR,可以帮助企业用户有效解决长期安全运营的问题。“两化”融合的360 EDR又一次走在了业界前列。
原文标题 : EDR“向未来” | 360 EDR实现SaaS化、智能化双轮驱动