基于多年实战履历积累,360政企安全集团以体系化作战/对抗/攻防思维的新战法为辅导,打造了一套以云端安全大脑为核心的数字安全能力框架。
在此框架下,构建了面向未来的EDR方案——360终端检测相应系统(简称“360EDR”)。
360EDR依赖云端安全大脑在数据、情报、专家等方面的赋能,以及核心安全大脑“运营商”级的剖析算力支撑,构建了“云地一体化”架构,以低本钱、高效率、易支配的上风知足互联网和隔离网场景下的安全防护需求。

下一代EDR演进方向:三大安全能力必不可少

2013年,Gartner首次提出了终端威胁检测与相应(Endpoint Detection & Response,EDR)的观点。
2014 年,Gartner正式发布 EDR 市场指南,2016-2019 年,EDR连续进入 Gartner 的十大技能之列。

pdfjspGartner白皮书360EDR是数字时期新终端防御利器 SQL

根据Gartner 2021年的Hyper Cycle报告中,在终端安全和风险管理领域,EDR是现阶段最成熟、采取范围最广泛的安全办理方案,能有效防止终端被攻击和打破,担保远程访问安全。
EDR作为下一代终端安全的核心技能,其重点在于监视终端以检测可疑活动,并捕获可疑数据进行剖析以及安全取证和调查,并供应修复建议。

根据Gartner的定义,EDR产品必不可少的能力是:

1、具备大数据存储及处理能力:安全大数据是支撑构建覆盖面足够广、精确度足够高的检测防御模型,以及创造攻击者痕迹的必要根本。

2、具备安全剖析能力:须要有各种安全检测剖析技能,能对海量多异构数据进行剖析,同时结合全网高等威胁情报,确保各种威胁全面可视。

3、具备能够支配及利用产品的专业人士:由于产品利用对专业性哀求较高,多数企业选择采取驻场或远程托管给专业人士(MSS、MDR做事)。
短缺专业人士过硬的技能能力,EDR的安全剖析能力将大打折扣。

以能力成熟度模型为准绳:360打造“特级标准”EDR产品

360基于Gartner对EDR定义的必要能力,从实战层面提出了360 EDR的关键功能,并将EDR能力成熟度模型定义为4个等级:低级是EPP、中级是具备有限的EDR、高等是知足Gartner定义的标准化EDR、特级是SaaS化和智能化的EDR。

低级:企业在只有EPP的情形下,直接面对高等威胁是非常薄弱的。
不仅无法进行有效防护,还无法检测到高等威胁的攻击,包括攻击的韶光点和行为办法等都没有任何记录,企业的数据和网络安全面临着极大风险。

中级:在有限的EDR场景下,终端能够将网络到的攻击行为数据以及系统级事宜上传到云端。
但云真个大数据处理能力和安全剖析能力都比较欠缺,面对海量大数据,短缺安全知识和具备专业技能的安全专家,无法有效存储、处理以及利用这些安全大数据。

高等:知足Gartner定义的标准EDR,能够检测和调查安全事宜,限定终端漏洞利用,供应安全修复辅导建议。
空想状态下,能够实时检测到安全攻击事宜,同时基于云真个数据和安全能力剖析,为终端供应快速相应,还具备一定的攻击后修复和清理能力,能够最大程度减少企业用户的丢失。

特级:SaaS化和智能化的EDR,在云端采取SaaS支配模式,供应安全大数据的存储、数据实时处理、关联剖析、并行查询以及秒级相应能力,支撑安全专家随时进行主动的威胁佃猎。
同时基于查杀引擎、知识图谱和AI技能实现技能提升,使得EDR越来越智能化,包括对海量安全事宜的自动分类、自动分优先级和对攻击行为采纳自动相应等,极大地表示了下一代EDR的智能化特点。

随着数字时期下网络威胁持续演进,政企用户须要更加全面、主动、以新技能驱动威胁创造的终端防御能力。
EDR能力成熟度模型能够帮助政企用户追踪终端安全领域的创新技能和实践,对付应对终端安全的问题和寻衅具有主要参考意义。
而要具备“特级”EDR产品的能力门槛极高,磨练的是前端数据采集能力,后真个安全大数据支撑及剖析和策略掌握能力,这正是360 EDR的独特上风所在。

数字时期终端防御利器:360 EDR如何落地“特级”标准?

360 EDR是基于360云端安全大脑EB级数据情报赋能、360核心安全大脑“运营商”级剖析算力、超内核级的精准威胁捕获技能、以及360安全团队17年威胁佃猎的实战攻防对抗知识打磨而成的,面向未来的EDR产品。

360 EDR能帮助政企用户肃清视觉盲点、认清风险的同时,自动化处置藏匿个中的恶意行为,深度追踪溯源取证攻击源头。
同时,还支持轻量化支配,打造出一套超智能终端防御模式。
详细而言:

360 EDR 能为政企用户供应云端轻量级支配(SaaS化)和本地私有化两种支配模式,知足互联网和隔离网双场景的安全防护需求。
SaaS 化EDR是未来终端最有效的防护办法,除了天然具备的低本钱、高效率、易支配上风,更通过终端各种安全事宜和云端大数据的联动,使得针对高等威胁的事宜检测和溯源能力大幅提升,实现了安全能力从孤岛式、被动式的单点防护到主动式、全局式的纵深防御的有序演进。
对付隔离网终端安全防御场景,360 EDR 供应了本地私有化支配办法,可以把云端能力下沉到本地网络中,实现自运营的 EDR 管理模式。

360 EDR 将政企用户的风险处置能力指数级提升,实现了安全事宜零丢失。
仅在 2021 年,360EDR创造并处理了打单病毒、暴力破解、挖矿木马、WebShell 后门、恶意程序等重大攻击事宜数百起;在用户内部风险管控方面,创造并处理了非常邮件发送,数据透露,账号非常、违规外联等严重违规事宜近百起。
保障了多家用户关键业务运行安全,关键数据不受影响,从根本上办理了用户对网络安全的隐忧。

360 EDR 供应安全风险综合评估、SOAR 自动化相应处置能力,可以实现自动化安全事宜闭环处置流程,提高安全事宜处置效率和效果。
利用 360 核心安全大脑供应的威胁情报自动关联剖析能力,360 EDR 让高等威胁不再隐匿,攻击过程中所有关键环节全部可视,防护效果不再模糊,实现防护指标全部量化,让用户业务运行的更安全、更稳定、更高效。

这次360政企安全集团联合Gartner发布的白皮书,实际上更加明确了EDR未来的发展方向,面对数字时期高等威胁层出不穷的现状,传统终端安全产品依托本地有限的检测能力每每束手无措,因此EDR须要以更全面的安全剖析能力、攻击溯源能力、可视化展现能力、快速相应能力、以及丰富的订阅做事等各种安全能力,帮助政企用户实时检测并防御高等威胁、戒备内部风险、保障业务连续、提升处置效率等,这是真正面向未来终端安全防御理念的改造。

目前,360 EDR已经凭借云端轻量级支配和超智能剖析算力,以SaaS化、智能化的办法做事于广大政企用户,帮助用户大幅度提升安全风险的识别、保护、检测、相应、规复等各项能力,是真正面向未来的防御新一代终端防护利器!

阅读白皮书原文,链接:https://www.gartner.com/technology/media-products/pdf.jsp?g=Qihu-1-297FFQ0W-CHS

(刘佳)

来源: 光明网