國際權威研究機構Gartner的專業報告素來被業內人士奉為「行業發展的風向標」,近日,360政企安全集團聯合Gartner在全球發布了EDR白皮書——《數字時代EDR 技術發展趨勢》。白皮書指出:面向數字時代的EDR技術應該致力於真正解決終端所面臨的各類高級威脅問題,以雲端能力為核心,以安全大數據、威脅情報、高精度異常數據採集等核心技術為支撐,有效規避傳統終端安全產品(EPP)檢測技術的弊端,打造高維度的威脅檢測對抗能力,做到事前預防、事中檢測和事後修復。
基於多年實戰經驗積累,360政企安全集團以體系化作戰/對抗/攻防思維的新戰法為指導,打造了一套以雲端安全大腦為核心的數字安全能力框架。在此框架下,構建了面向未來的EDR方案——360終端檢測響應系統(簡稱「360EDR」)。360EDR依靠雲端安全大腦在數據、情報、專家等方面的賦能,以及核心安全大腦「運營商」級的分析算力支撐,構建了「雲地一體化」架構,以低成本、高效率、易部署的優勢滿足互聯網和隔離網場景下的安全防護需求。2013年,Gartner首次提出了終端威脅檢測與響應(Endpoint Detection & Response,EDR)的概念。2014 年,Gartner正式發布 EDR 市場指南,2016-2019 年,EDR連續進入 Gartner 的十大技術之列。根據Gartner 2021年的Hyper Cycle報告中,在終端安全和風險管理領域,EDR是現階段最成熟、採用範圍最廣泛的安全解決方案,能有效防止終端被攻擊和突破,保證遠程訪問安全。EDR作為下一代終端安全的核心技術,其重點在於監視終端以檢測可疑活動,並捕獲可疑數據進行分析以及安全取證和調查,並提供修復建議。根據Gartner的定義,EDR產品必不可少的能力是:1、具備大數據存儲及處理能力:安全大數據是支撐構建覆蓋面足夠廣、精確度足夠高的檢測防禦模型,以及發現攻擊者痕跡的必要基礎。2、具備安全分析能力:需要有各種安全檢測分析技術,能對海量多異構數據進行分析,同時結合全網高級威脅情報,確保各類威脅全面可視。3、具備能夠部署及使用產品的專業人士:由於產品使用對專業性要求較高,多數企業選擇採用駐場或遠程託管給專業人士(MSS、MDR服務)。缺少專業人士過硬的技術能力,EDR的安全分析能力將大打折扣。360基於Gartner對EDR定義的必要能力,從實戰層面提出了360 EDR的關鍵功能,並將EDR能力成熟度模型定義為4個等級:初級是EPP、中級是具備有限的EDR、高級是滿足Gartner定義的標準化EDR、特級是SaaS化和智能化的EDR。初級:企業在只有EPP的情況下,直接面對高級威脅是非常脆弱的。不僅無法進行有效防護,還無法檢測到高級威脅的攻擊,包括攻擊的時間點和行為方式等都沒有任何記錄,企業的數據和網絡安全面臨着極大風險。中級:在有限的EDR場景下,終端能夠將收集到的攻擊行為數據以及系統級事件上傳到雲端。但云端的大數據處理能力和安全分析能力都比較欠缺,面對海量大數據,缺少安全知識和具備專業技能的安全專家,無法有效存儲、處理以及利用這些安全大數據。高級:滿足Gartner定義的標準EDR,能夠檢測和調查安全事件,限制終端漏洞利用,提供安全修復指導建議。理想狀態下,能夠實時檢測到安全攻擊事件,同時基於雲端的數據和安全能力分析,為終端提供快速響應,還具備一定的攻擊後修復和清理能力,能夠最大程度減少企業用戶的損失。特級:SaaS化和智能化的EDR,在雲端採用SaaS部署模式,提供安全大數據的存儲、數據實時處理、關聯分析、並行查詢以及秒級響應能力,支撐安全專家隨時進行主動的威脅狩獵。同時基於查殺引擎、知識圖譜和AI技術實現技術提升,使得EDR越來越智能化,包括對海量安全事件的自動分類、自動分優先級和對攻擊行為採取自動響應等,極大地體現了下一代EDR的智能化特點。
隨着數字時代下網絡威脅持續演進,政企用戶需要更加全面、主動、以新技術驅動威脅發現的終端防禦能力。EDR能力成熟度模型能夠幫助政企用戶追蹤終端安全領域的創新技術和實踐,對於應對終端安全的問題和挑戰具有重要參考意義。而要具備「特級」EDR產品的能力門檻極高,考驗的是前端數據採集能力,後端的安全大數據支撐及分析和策略控制能力,這正是360 EDR的獨特優勢所在。360 EDR是基於360雲端安全大腦EB級數據情報賦能、360核心安全大腦「運營商」級分析算力、超內核級的精準威脅捕獲技術、以及360安全團隊17年威脅狩獵的實戰攻防對抗知識打磨而成的,面向未來的EDR產品。
360 EDR能幫助政企用戶消除視覺盲點、認清風險的同時,自動化處置藏匿其中的惡意行為,深度追蹤溯源取證攻擊源頭。同時,還支持輕量化部署,打造出一套超智能終端防禦模式。具體而言:360 EDR 能為政企用戶提供雲端輕量級部署(SaaS化)和本地私有化兩種部署模式,滿足互聯網和隔離網雙場景的安全防護需求。SaaS 化EDR是未來終端最有效的防護方式,除了天然具備的低成本、高效率、易部署優勢,更通過終端各類安全事件和雲端大數據的聯動,使得針對高級威脅的事件檢測和溯源能力大幅提升,實現了安全能力從孤島式、被動式的單點防護到主動式、全局式的縱深防禦的有序演進。對於隔離網終端安全防禦場景,360 EDR 提供了本地私有化部署方式,可以把雲端能力下沉到本地網絡中,實現自運營的 EDR 管理模式。360 EDR 將政企用戶的風險處置能力指數級提升,實現了安全事件零損失。僅在 2021 年,360EDR發現並處理了勒索病毒、暴力破解、挖礦木馬、WebShell 後門、惡意程序等重大攻擊事件數百起;在用戶內部風險管控方面,發現並處理了異常郵件發送,數據泄露,賬號異常、違規外聯等嚴重違規事件近百起。保障了多家用戶關鍵業務運行安全,關鍵數據不受影響,從根本上解決了用戶對網絡安全的隱憂。360 EDR 提供安全風險綜合評估、SOAR 自動化響應處置能力,可以實現自動化安全事件閉環處置流程,提高安全事件處置效率和效果。利用 360 核心安全大腦提供的威脅情報自動關聯分析能力,360 EDR 讓高級威脅不再隱匿,攻擊過程中所有關鍵環節全部可視,防護效果不再模糊,實現防護指標全部量化,讓用戶業務運行的更安全、更穩定、更高效。此次360政企安全集團聯合Gartner發布的白皮書,實際上更加明確了EDR未來的發展方向,面對數字時代高級威脅層出不窮的現狀,傳統終端安全產品依託本地有限的檢測能力往往束手無措,因此EDR需要以更全面的安全分析能力、攻擊溯源能力、可視化展現能力、快速響應能力、以及豐富的訂閱服務等各類安全能力,幫助政企用戶實時檢測並防禦高級威脅、防範內部風險、保障業務連續、提升處置效率等,這是真正面向未來終端安全防禦理念的革新。目前,360 EDR已經憑藉雲端輕量級部署和超智能分析算力,以SaaS化、智能化的方式服務於廣大政企用戶,幫助用戶大幅度提升安全風險的識別、保護、檢測、響應、恢復等各項能力,是真正面向未來的防禦新一代終端防護利器!
鑽石舞台 發表在 痞客邦 留言(0) 人氣()
留言列表
留言列表