2022数字时代EDR技术发展趋势报告.pdf

资源描述

1、数字时代EDR技术发展趋势2 1.背景概述安全形势高危：随着5G、云计算、大数据和人工智能的持续发展，信息化、智能化已经渗透到社会发展的方方面面，网络空间的概念和范围得到前所未有的拓展。政府和企业信息化建设朝着高层次、多维度、立体化的方向发展，网络安全边界持续扩大，安全形势也越来越复杂。与此同时，网络空间的攻击面随之延伸和拓展，网络空间攻防双方信息的不对称性现象愈发明显。伴随着攻防对抗态势的升级，自动化、智能化技术与攻防技术的融合已成为网络安全技术发展的必然趋势之一，在数以亿计的终端上的安全防护变得越来越急迫，我们面临的是传统安全与高级威胁并存的防护环境。业务环境复杂：在当前及未来的智能化社

2、会，数据资产的安全变得尤为重要，而政企用户大量有价值的生产及业务数据早已成为有组织网络犯罪的重点目标。同时，在新冠疫情的冲击下，远程办公变得越来越普遍，用户会使用各类终端远程访问企业网络，企业既要保护终端安全，防止终端被攻击和突破，又要允许用户使用多种类型终端访问企业内部网络，并且要保证最小化的影响用户体验，这意味着企业的数据和人已经走出了企业的传统边界，使得企业的数据安全和网络安全的防护变得越来越复杂。国际形势严峻：近年来，网络空间领域的斗争已经是大国博弈的焦点，网络战愈演愈烈，APT攻击活动大幅增加，仅2021年上半年，全球公开APT相关报告约500篇，涉及APT组织达90个，攻击

3、目标涉及政府、国防军工、核工业、科研、医疗、金融等诸多行业。中国仍是APT攻击的主要受害者，针对我国的攻击持续上升，其中政府，教育和国防军工等相关单位是重点被攻击目标。APT攻击具有针对性强、组织严密、持续时间长、隐蔽性高、采用技术手段先进等多种特征，检测相关的攻击给安全行业带来很大的挑战。对于攻击者而言，内网终端和主机既可以作为被攻击目标，也可以作为攻击的跳板。同时勒索病毒和APT结合的攻击方式也开始逐渐显现，外加新冠疫情冲击下直接带来的以聚焦远程办公为突破口，围绕新冠疫情话题攻击，针对医疗行业窃取抗疫情报的APT威胁也开始愈演愈烈。数字时代EDR技术发展趋势数字时代EDR技术发展趋势2

4、Gartner的调研报告 2021年端点安全的技术成熟度曲线16关于360政企安全集团38数字时代EDR技术发展趋势由奇虎发布。由奇虎提供的编辑内容与Gartner的分析结果相互独立。Gartner的所有调研报告的版权均为Gartner,Inc.所有。2022 Gartner,Inc.保留所有权利。所有Gartner资料在本出版物中的使用均已获得授权。使用或者发布Gartner调研报告并不表示Gartner认可奇虎的产品和/或战略。未经Gartner事先书面许可，不得以任何形式复制或分发本出版物。本出版物中包含的信息均取自公认的可靠来源。Gartner不对此类信息的准确性、完整性或适当性

5、做出任何保证。并且不对此类信息中的错误、遗漏或不适当承担任何责任，也不对此类信息的任何解读承担任何责任。此处表明的观点随时可能更改，恕不另行通知。虽然Gartner调研报告可能会讨论相关的法律问题，但Gartner并不提供法律建议或法律服务，不应将其调研报告解释为或用作法律建议或法律服务。Gartner是一家上市公司，其股东拥有的公司或基金可能与Gartner调研报告中涉及的实体有财务利益关系。Gartner的董事会成员可能包括这些公司或基金的高级管理人员。Gartner调研报告是由其调研机构独立完成的，并没有受到这些公司、基金或其管理人员的介入或影响。如需了解Gartner调研报告的独立

6、性和完整性的详细信息，请参阅其网站上的“独立性和目标的指导原则”。33 技术挑战升级：传统的终端安全解决方案EPP是基于已知风险产出的文件特征库和规则库，仍然属于反病毒的技术范畴，无法用于检测未知风险。不同于传统的签名检测或启发式技术，EDR通过观察攻击行为将检测技术提升到新的层次，能真正解决终端安全所面临的APT、0day和勒索病毒等各类高级威胁，做到事前预防、事中检测和事后修复，是面向未来的终端安全解决方案。EDR主要通过提供安全事件的完整可视来检测和防范未知风险。通常攻击者潜入到企业网络内部后会持续很长一段时间，其攻击手法比较隐蔽，企业一般很难直接检测到其攻击行为，更难形成有效的攻击

7、告警机制。为了更好地解决这种问题，EDR采用了记录攻击者行为和系统事件的方式，所有行为信息都会被完整地记录下来，整个安全事件从发生了什么、如何发生、到如何修复等所有环节信息都会被完整地记录并以图形化方式展示出来。随着我国网络安全形势的发展变化，尤其是2018年“永恒之蓝”勒索病毒的肆虐，让业界更加重视新攻击方式带来的安全技术挑战，EDR产品也迎来了发展的热潮。360作为终端安全产品的引领者，拥有17年终端安全攻防对抗经验，积累了海量的全网安全大数据，历经十余年与各种木马、各类APT家族的攻防实战，持续打磨终端的恶意行为检测和响应能力，积累了全面细致的终端行为检测技术，在产品效果上打造了行业标

8、杆。2.国际标准EDR是现阶段在终端安全和风险管理领域最成熟、应用范围最广泛的安全解决方案，能有效防止终端被攻击和突破，保证远程访问安全。但同时面临的挑战也在持续不断加大，一方面是随着勒索病毒、无文件攻击和鱼叉攻击等攻击方法和复杂性的持续提升；另一方面是突然增多的远程办公访问场景，因此安全防护需要以更创新的方式来应对这些高级威胁。EDR解决方案要能够提供安全事件检测，安全事件调查，抑制终端利用，以及提供安全修复能力。作为总体安全防御里必不可少的关键部分，EDR要能够识别异常和恶意的行为，展示出高级威胁的技战术细节，同时能够采取及时措施有效应对。EDR必须能够分析用户、进程、网络、驱动和配置等

9、系统行为的变化。EDR非常关键的能力之一就是做好安全事件关联，理想的EDR能够自动响应，自动回滚安全事件造成的影响，能够自动化集成其他安全工具协同分析安全事件。部署模式上，优先云端部署，同时也支持客户侧私有化部署，为了有效应对越来越复杂的高级威胁，EDR需要部署在所有托管的终端和服务器上。图12021年端点安全的技术成熟度曲线11 Gartner Inc.，2021年端点安全的技术成熟度曲线，2021年8月11日，G007474124 3.EDR演进方向3.1 必要能力EDR通过实时监测端点上发生的各类行为，采集端点运行状态，在后端通过大数据安全分析、机器学习、沙箱分析和行为分析等技术，提

10、供深度持续监控、威胁检测、高级威胁分析、调查取证、事件响应处置和追踪溯源等功能，及时检测并发现恶意活动，其中包括已知和未知威胁，并快速智能地做出响应，全面赋予端点主动、积极的安全防御能力。其从预测、防护、检测和响应四个维度，实现持续性安全防护，贯穿安全威胁事件的整个生命周期。从中可以清晰的看出，EDR产品不可缺少的必要能力是：大数据存储及处理能力、安全分析能力和安全专家能力。1）具备大数据存储及处理能力：安全大数据是支撑构建覆盖面足够广、精确度足够高的检测防御模型，以及发现攻击者痕迹的必要基础。大数据的存储及处理能力，核心目标是不丢失终端安全相关的重要数据，并通过分析原始终端安全数据而形成

11、全局的、缜密的、连贯的攻击视图。在EDR中，端点采集的各类安全行为数据是终端安全防御、检测和响应的核心依据，是应对APT攻击的重要手段。通过对多维度高质量的大数据进行自动化和智能化的关联分析和运营，可以追溯攻击过程，寻找漏洞源和攻击源，是有效防御和确保终端安全的有效途径和方法。2）具备安全分析能力：需要有各种安全检测分析技术，能对海量多异构数据进行分析，同时结合全网APT 情报，确保各类威胁全面可视。由于高级威胁攻击的蛛丝马迹往往隐蔽在常规软件运行的类似行为当中，因此检测需要对终端海量数据进行安全分析，需要具备对历史数据的反复检测能力，这些都要求产品具备极强的大数据运算能力。针对APT攻击的

12、极强持续性和阶段性，关联分析过程中应尽量收集各层面、各阶段的全方位数据，同时适量将时间窗口拉大，通过宽时间域数据分析提取具有内在关联的若干属性，识别出攻击发生的时间、地点、攻击类型和强度等信息，也就是攻击场景的重构技术，这也就是安全分析能力的核心之一。3）具备能够部署及使用产品的专业人士：由于产品使用对专业性要求较高，多数企业选择采用驻场或远程托管给专业人士（MSS、MDR）。在传统EDR中，专业人士的角色是不可忽视的，缺少专业人士过硬的技术能力，EDR的安全分析能力将大打折扣。基于最新漏洞、APT等各种攻击方式，机器学习和大数据自动化关联分析固然必不可少，但对收集到的数据进行人工分析和解释

13、也十分重要，分析师能够调查并提供合法的威胁解决方案。3.2 关键能力在EDR的必要能力基础上，360从实战层面提出了EDR的关键功能，包括端上的安全能力、云端的大数据存储和处理能力、安全分析能力和360核心安全大脑。在这几个核心能力的协同作用下，360 EDR能够帮助企业用户提升整个安全事件的可见性，通过定位到攻击行为让安全专家主动进行威胁狩猎。同时对安全事件进行检测和调查，并快速做出反应，及时阻止攻击者的恶意行为，保护企业的网络安全。360 EDR终端上部署了非常轻量级的Agent，具备全面的安全事件采集能力。面对入侵活动特别是系统级事件，能够完整地记录攻击事件的上下文信息。基于内核之下虚拟

14、化层的超强安全监控能力，能够监控账号修改事件、进程事件、网络事件、文件操作、驱动加载、磁盘和内存访问事件等，任何恶意或者异常的行为、事件和信息等都会被完整地监控并记录下来，为安全专家提供实时和后续的持续追踪分析。360 EDR自研的核心数据采集技术能够有效避免收集数据的探针被绕过，不同于传统基于环3的用户态探针，自研探针工作在内核下面的虚拟化层，能够在更底层截获到用户层和内核层的漏洞利用事件，从而保证了在端上能够完整地记录攻击者的任何恶意和可疑行为。云端基于360在终端安全领域17年积累的安全大数据，具备全网安全攻防和态势感知能力，能够以业界最快的速度掌握最新安全情报，保证大容量数据的准确性、

15、实时性以及快速的分析和处理能力，为终端安全的快速检测和响应提供安全大数据赋能。云端同时提供了对历史数据的回溯能力，通过引入新的行为特征库IOA和外部特征库IOC，可检查一段时间内的终端行为数据，配合威胁情报和安全人员的手动分析，给出最终的威胁评估结果。安全分析能力是360最核心的安全能力之一，搭载由360核心安全大脑赋能的全球顶级云端查杀平台，基于360云引擎、鲲鹏大数据引擎、QVM II人工智能引擎和QEX引擎构造的立体协同检测机制，能够有效识别各类木马病毒、未知病毒或变种，提供服务安全防御的真能力。云查杀引擎：360云查杀引擎建立在云端庞大的黑白名单数据库基础上，病毒检出率高、系统资源占用

16、低。鲲鹏引擎：360鲲鹏引擎是以数据驱动安全的思路构建的大数据特征引擎，具备自动化病毒特征提取分析能力。相较于传统引擎的病毒特征提取方式，鲲鹏引擎依托360核心安全大脑大存储、多样本、高算力和机器学习等资源，实现了后端病毒特征的自动分析提取。QVM II引擎：新一代QVM智能识别引擎采用人工智能与机器学习的方法，对360目前已经积累的海量样本进行多次切片学习，抽取出病毒与恶意代码共性特征，建立恶意代码不同族系模型，对加壳和变种病毒具有出色的免疫能力。QEX脚本引擎：针对非PE类宏病毒、VBS、REG等恶意文件，360（云）主机安全防护系统利用专用QEX脚本查杀引擎进行检测。该引擎既能结合精确

17、特征和启发特征，检测出已知和高级恶意威胁，又能对VBS和BAT脚本模拟执行，根据输出结果做二次检查，确保结果的准确性。安全专家和安全专业技术一直是360的安身立命之本，作为国内头号安全公司，360拥有大量顶级安全专家，他们从事安全攻防多年，积累了丰富的安全攻防经验，特别是应对高级威胁方面，为国家和企业共发现了50个境外APT组织，发现多个0day漏洞。55 3.3 传统方案痛点传统的EDR产品在实现上面临着很多痛点，无法解决多场景安全性问题，如不具备真正的大数据存储和处理能力，不具备真正从实战中总结出来的知识库和安全分析能力、安全专家和安全专业技能，终端上的信息采集能力比较欠缺、不具备完整采集

18、攻击行为的能力，从而导致攻击者行为信息记录不全面。为了营造市场概念，部分安全厂商用入侵检测、漏洞防御产品来充当EDR产品。这些产品在检测能力上还是传统的本地特征匹配，并不具备终端行为采集和大数据分析能力，甚至只是在反病毒防护产品基础上增加了设备间的联动。这对客户理解EDR产品特性造成了一定程度的误导。3.3.1 大数据存储和处理能力不足传统EDR产品缺少足够规模且高质量的大网安全数据积累，直接影响了攻击行为的整体识别效果。离开大数据谈EDR产品能力和价值是空谈，即使是大型企业部署数十万终端设备，所能掌握的安全数据量仍不够“大”。传统EDR产品后端缺乏安全大数据支撑，没有构建出覆盖面足够广、精确

19、度足够高的检测防御模型，检测规则较为局限，同时情报能力的不足也大大影响了EDR产品总体的防御效果。3.3.2 安全分析能力欠缺APT攻击并非无迹可循，需要从大量的历史数据分析中得到启发，从而发现攻击者的痕迹。若缺乏真实攻防场景下的实战经验，就不具备发现并分析攻击者的能力。很多安全厂商的EDR产品，只是简单将终端上记录的一些行为数据传给云端，但是数据到了云端之后，怎样处理这些大数据，查询哪些关键信息仍是待解决的问题。由于缺少安全专家和安全专业知识，这些EDR产品无法快速基于历史数据和多终端横向数据来做关联分析，导致这些有价值的数据在客户侧很难被有效利用。安全分析能力的另外一个重点是威胁情报的积累

20、，威胁情报是EDR产品识别高级威胁攻击的钥匙，大多数厂商的威胁情报来自公开渠道，并没有自己的实战分析积累，因此很难及时发现新的攻击线索。3.3.3 终端采集被攻击行为绕过终端的关键行为记录要非常全面。由于高级威胁和正常程序的行为非常相似，只有行为记录更全面，才有可能发现异常，特别是系统级行为的监测和记录能力。众所周知，网络攻防是一个持续对抗的过程，APT组织也一直在尝试各类绕过行为，让传统EDR防御方式失效。基于文件数字签名、系统文件属性衍生的伪装混淆变本加厉，API Hooking绕过、白利用以及无文件攻击技术层出不穷，0day漏洞防不胜防，这些不断演进的攻击手段给当前EDR产品的检测

21、防御能力带来了极大的压力。传统的EDR产品信息采集和攻击者处于同一个层次，往往通过挂钩程序用户态（即Ring3层监控）内存中的DLL，实现对运行进程的监控。但是用户内存空间存在被修改的可能性，导致传统EDR产品的挂钩被抹除绕过，无法有效监测恶意攻击行为。3.3.4 端点性能影响EDR为了能获取最全面的威胁数据，往往会采集大量的端点信息，而行为数据采集活动容易消耗终端和服务器的宝贵资源。传统EDR产品缺少灵活的性能调优和自适应机制，无法实现安全能力与资源占用的良好平衡。如果消息截获层面在用户层，将对终端的性能和用户体验产生较大的影响。3.3.5 专业能力有限由于组织专业人士队伍普遍成本较高，中小

22、企业难以承担，而专业人士本身也可能存在弱点。真正经过长期实战训练的专业人员极为稀缺，经历过全网真实攻击的专家更是凤毛麟角，因此难以判断为企业组织部署EDR的技术队伍是否满足EDR分析的需要。3.4 EDR能力成熟度模型360将EDR能力成熟度模型定义为4个等级，初级是EPP、中级是具备有限的EDR、高级是标准化的EDR、特级是SaaS化和智能化的EDR。初级：企业在只有EPP的情况下，直接面对高级威胁是非常脆弱的。不仅无法进行有效防护，还无法检测到高级威胁的攻击，包括攻击的时间点和行为方式等都没有任何记录，企业的数据和网络安全面临着极大风险。中级：在有限的EDR场景下，终端能够将收集到的攻击行

23、为数据以及系统级事件上传到云端。但是云端的大数据处理能力和安全分析能力都比较欠缺，面对海量大数据，缺少安全知识和具备专业技能的安全专家，无法有效存储、处理以及利用这些安全大数据。图2360 EDR能力成熟度模型资料来源：Qihu6 高级：标准化的EDR，能够检测和调查安全事件，限制终端漏洞利用，提供安全修复指导建议。理想状态下，能够实时检测到安全攻击事件，同时基于云端的数据和安全能力分析，为终端提供快速响应，还具备一定的攻击后修复和清理能力，能够最大程度减少企业用户的损失。特级：SaaS化和智能化的EDR，在云端采用SaaS多租户的部署模式，提供安全大数据的存储、数据实时处理、关联分析、并行查

24、询以及秒级响应能力，支撑安全专家随时进行主动的威胁狩猎。同时基于查杀引擎、知识图谱和AI技术实现技术提升，使得EDR越来越智能化，包括对海量安全事件的自动分类、自动分优先级和对攻击行为采取自动响应等，极大地体现了下一代EDR的智能化特点。3.5 EDR未来演进基于以上EDR能力成熟度模型的定义，360认为未来EDR发展的两大关键词是：SaaS化和智能化。未来EDR应该整合云端能力和终端资源以SaaS化服务形式面向大中小客户输出，增强内网端点威胁防御以及威胁对抗能力，保障各类生产和办公业务平稳持续运行。通过SaaS化提供云EDR的能力，同时可以将云端强大的数据存储、分析以及实时情报能力及时赋能到

25、终端，实现终端和云端的实时交互。用户通过订阅方式，能够及时获取到安全事件的完整分析报告，当终端记录的安全事件信息实时传到云端之后，无论终端是否在线，安全专家团队都能够非常方便地对安全事件进行查询和调查，并且能够实时回溯到指定的时间段进行过查询和分析。这就意味着在云端可以查询任何时间段的历史数据，且对终端的性能没有任何影响，这为安全专家针对任何恶意或可疑行为主动进行威胁狩猎提供了方便易用的平台。同时，借助安全专家团队的多年攻防经验，赋予产品安全有效的检测处置能力，能够相对智能地提供处理结果，并将防御和清除威胁及溯源结果及时反馈给用户。通过主动进行威胁狩猎实现EDR早期发现威胁的目的，能够将24

26、*7的威胁狩猎服务提供给云端用户，帮助企业用户解决长期安全运营问题。同时，云端通过图形化展示能够清晰展示安全攻击事件的全过程，包括事件发展的拓扑关系和详细信息，为用户提供完整的攻击报表。此外，基于云的架构部署一个轻量级的EDR终端，无论在时间上还是成本上，相对于私有化部署都将有很大的效率提升。优势：1)数据打通：传统EDR产品后端缺乏安全大数据支撑，没有构建出覆盖面足够广、精确度足够高的检测防御模型，检测规则较为局限，同时情报能力的不足也大大影响了EDR总体的防御效果。SaaS化EDR打破了内网数据孤岛，弥补了传统EDR产品后端缺乏安全大数据支持的弊端，能够将自身威胁情报能力、检测分析能力以

27、SaaS化形式赋能企业，助其构建覆盖广、精度高、可持续的防御体系，实现安全能力的成功落地。2)提升服务器资源利用率：传统EDR为了能获取最全面的威胁数据，往往会采集大量的端点信息，行为数据采集活动容易消耗终端和服务器的宝贵资源。通过SaaS化服务形式能更好地平衡安全能力与资源占用的问题，实现安全的同时减少端点性能资源的消耗，提升服务器资源利用率。3)降低成本：面对急剧增长的业务量，可以在短时间内完成部署，避免了大量控制台的服务器安装成本。同时在版本迭代期间，服务更新速度明显提升，后期功能和内容的增加也能够保证系统安全平滑拓展，对企业而言易于管理，降低了后期管理维护成本。此外，SaaS化EDR经

28、过大规模场景实践验证和优化，很多坑不需要企业自己去踩，也不需要企业花费过多精力去做应用的优化适配。在提升系统稳定性的同时，节省了大量运维人力成本。4)提升服务稳定性、持续性：SaaS化EDR通过整合云端能力，可以帮助企业建立一套动态可持续演进的高级威胁能力体系，检测能力、情报能力能够持续更新，通过源源不断的安全赋能，实现对APT攻击的有效对抗。4.建设方案4.1 产品优势360终端检测响应系统EDR（以下简称“360 EDR”）是面向未来的EDR产品，同时具备SaaS化和智能化的特点，依托威胁情报，在360核心安全大脑的安全大数据、人工智能分析、攻击溯源等强大能力的支持下，通过持续监测端

29、点活动行为，对于威胁风险进行深度检测、智能化分析和专业化处理。通过SaaS化技术方案，大幅降低用户成本，提升部署效率，联动全网大数据，全方位解决用户的终端安全问题。作为面向未来的终端安全产品，360 EDR在产品化落地过程中具备了如下几方面突出优势：1)高质量数据采集能力-基于独一无二的核晶引擎2)SaaS化-提供全网视角3)智能化-基于完备的安全分析能力和检测能力4)专业性-具备强大的安全专业团队77 4.1.1 高质量数据采集能力数据采集质量决定了EDR真正的检测效果，这一点经常被忽视，并误以为数据采集是简单工作。实际上采集高质量的安全数据是终端安全最有难度的工作之一。高质量数据第一强调采

30、集维度，多维度的大数据才是真正的大数据，时间维度包括攻击前、攻击中、攻击后，行为维度包括标准行为、差异行为、破坏行为，阶段维度包括有感染前、感染中，感染后等，只有这样的大数据才是高质量数据，基于高质量的数据才能真正发挥EDR的检测效果。高质量数据第二强调采集精度，360核晶引擎直接抓获内核漏洞利用的行为，比通过大量进程、文件注册表等不直接相关的海量数据中，通过人力筛查蛛丝马迹去猜测是否有提权行为，要高效准确得多。更重要的是，目前EDR产品所使用的方法往往是少量系统标准接口（如文件注册表和进程的回调机制）、依赖于微软的 ETW提供者，大量不满足要求的信息就靠注入加应用层HOOK。这些采集方法的问

31、题首先是会轻易被攻击者绕过（例如Patching the patch、Direct system calls、P/Invoke to D/Invoke、Patching the Entrypoint等等公开的攻击手段），其次是数据细节不能满足高精度数据要求（例如：ETW的RPC事件数据细节不够，而360 EDR通过内核层面的RPC状态追踪，可记录更完整更精准的参数信息）。360 EDR使用360十几年积累的内核分析技术、独一无二的核晶硬件虚拟化引擎等多种引擎来收集安全数据，亦即基于顶尖终端技术能力实现了高精度数据的采集。360 EDR提供超越内核级监控能力，利用CPU的硬件虚拟化机制增强64位

32、系统的安全防护，对进程创建、进程注入、模块加载、注册表值写入、文件写入等等行为进行全面监控，规避了传统EDR大量依赖Ring3用户层监控技术的弊端，同时还能直接检测内核与应用层0day漏洞利用行为，有效对抗APT绕过攻击。4.1.2 海量安全大数据大数据作为360 EDR的持续驱动力，能够实时同步全球威胁，持续增强对APT攻击的检测和感知能力。基于17年实战经验，360已汇集了超300亿程序文件样本，22万亿安全日志、90亿域名信息、2EB 以上的安全大数据，可瞬间调用超过百万颗CPU参与计算、检索和关联多维度威胁数据。这是360 EDR的核心优势，即360拥有多维度、高质量的安全大数据，能够

33、在全网范围内对安全事件做快速关联分析。图3360核心数据采集能力资料来源：Qihu8 4.1.3 安全分析能力我们认为，“看见威胁”是终端防御的前提，而威胁检测能力的高低，直接影响“看见”的能力。360 EDR通过各种检测分析技术，对海量多异构数据进行分析，同时结合全网APT情报，确保了各类威胁全面可视。没有“可视”这一前提，任何威胁的处理都是一句空话，而威胁的可视化就是360 EDR的“雷达”能力，这种针对各类攻击的“雷达”能力，需要强大的安全分析能力支撑。360作为一家具有17年历史的数字安全领导公司，实现了从ToC到ToB/G的安全能力积累，因此具备了国内最强大的安全分析能力和技术。4

34、.1.4 专业团队支撑能力人的因素在终端安全对抗过程中占据重要作用。360 EDR以世界级安全专家团队多年的攻防经验为基础，对产品核心功能进行持续打磨，赋予产品安全有效的检测处置能力。360拥有具备顶级漏洞挖掘能力的东半球最强白帽军团。至今为止，360专家已成功挖掘谷歌、微软、苹果等主流厂商CVE漏洞超3000个，获得微软、谷歌史上最高漏洞奖励，斩获中国首个“Pwnie Awards”黑客奥斯卡奖，并已成功追踪溯源海莲花、摩诃草、美人鱼、蔓灵花、蓝宝菇等针对中国的境外APT组织累计多达50个。这些数据足以证明360在攻防对抗方面的专业性和团队能力。在360 EDR的发展中，正因为这些专家团队的

35、存在，才有效提升了其各项能力指标。4.2 系统架构4.2.1 EDR技术架构360 EDR核心技术架构由三部分组成：包括终端代理探针Agent，EDR Server，以及核心安全大脑通用模块，其中终端代理探针Agent是360 EDR的最核心组成部分，通过冰刃的虚拟化技术、核晶引擎以及内核层全方位的监控技术，实现在攻击过程中全过程、全方位、高质量的数据采集，抽象且规范化后无损的传递给EDR Server用于威胁检索，同时接受并处理EDR Server对终端的处置命令，能够及时控制威胁。EDR Server具备对终端的管理能力，在升级、任务、策略等基础能力上增加了安全管理业务，包括资产管理、运行

36、防护和安全管控等。在高级威胁业务中，通过其内置的威胁分析引擎，结合威胁情报实现威胁检测，同时提供图4360 EDR技术架构图资料来源：Qihu99 丰富的威胁抑制能力，可手动或自动对终端威胁进行处置，将威胁影响控制至最小。360核心安全大脑作为支撑赋能模块，汇聚了通用的功能和组件，为EDR Server提供威胁检测运算所需要的基础支撑，包括大数据存储和图数据库等。在联网场景下，EDR产品会和360云端安全大脑进行实时联动，能够充分利用全网大数据进行安全事件关联分析，实现对威胁情报持续运营，以及有效结合安全专家服务。总体来说，360 EDR是一款专注于入侵检测与响应，有效应对各类高级威胁的新

37、型终端安全产品，终端探针Agent基于360自研的核晶引擎技术，以非常轻量级的方式收集终端的进程、网络、文件，驱动等系统行为日志，在服务端利用威胁情报，各类检测引擎与全攻击链路行为分析等多种技术手段，实现对高级威胁的精准发现、自动化告警关联、攻击链路可视化展示与高效溯源、入侵事件响应及阻断等功能，同时支持对终端海量行为日志进行灵活检索，威胁狩猎，充分发挥核心安全大脑的数据存储和处理能力，以及云端威胁情报能力。4.2.2 核心安全大脑架构为了应对现而今数字化时代的复杂安全挑战，360运用系统思维，打破安全体系与数字体系的界限，融合攻防能力与管控能力，建立了一套可运营、可持续、可成长、可输出的面

38、向未来的数字安全能力体系。360核心安全大脑3.0由一个安全大数据平台、一个云端赋能平台和多个安全分析引擎以及内嵌360十七年经验所积累的实战方法论组成。核心安全大脑作为面向未来的数字安全能力体系中的“中枢系统”，负责全面体系化的核心运算及分析工作，通过联动“云端安全大脑”全面赋能360以及合作伙伴生态内的所有安全产品，从架构上打破云端知识、客户业务及生态数据之间的固有屏障，拓展全局安全视野，融通各类安全数据，协同整体实战决策；帮助相关安全产品在信息共享的全面覆盖、大数据集中分析研判、高级威胁情报赋能、网络安全产品体系化联动等全方面提升业务能力，帮助用户大幅度提升安全风险的识别、保护、检测、

39、响应、恢复等各项能力。通过结合威胁情报和360核心安全大脑的赋能，360 EDR实现了SaaS化和智能化,为用户提供最强大、最全面的安全分析能力、攻击溯源能力、可视化展现能力、快速响应能力、联防联动能力、定制化安全运营能力以及丰富的订阅服务。360EDR作为一个全SaaS服务平台，覆盖所有终端类型，包括Windows、Linux等常见平台，以及信创和Mac等特殊平台。针对明确的攻击风险，360 EDR可提供完整的修复和清理建议，为了避免再次被攻击，还会执行对应的安全加固、系统补丁、网络控制等防范措施，并实时同步到所有终端。4.3 解决方案4.3.1 环境背景随着各行业组织数字化转型加速，重要

40、基础设施、各种交通枢纽、各种能源设施、重要行业企业的生产资料都被搬上云端。大量终端设备联网意味着有更多的开放端点成为被攻击的目标。由于数字化的基础都建立在软件之上，如若软件因为存在漏洞而遭到攻击，核心服务和数据受到攻击，数字化的世界将会遭到重大破坏，继而直接影响物理世界的运转。图5360核心安全大脑资料来源：Qihu10 终端作为网络攻防的主战场，也是最新的攻防技术试验场，一直面对高级APT攻击的巨大压力。EDR作为一种应对高级威胁的解决方案，已经成为端点防御中的重要力量。然而攻防态势一直在演进变化，“矛”与“盾”之间的较量从未停止，传统的EDR建设方案在数字化时代也面临着新的挑战。由于传统E

41、DR产品往往依托本地有限的检测能力，缺少云端海量安全大数据、高级威胁情报以及内存级安全事件检测能力，在面对高级威胁时往往束手无策，存在“威胁看不全”、“疲劳告警”以及“攻击绕过”等三大突出问题，直接影响了EDR的检测能力和溯源能力，导致EDR的落地效果大打折扣，具体表现在：1.威胁看不全：“看见威胁”是EDR能力的基础，由于缺少全网安全大数据，尤其是缺少实战化的安全大数据，无法构建覆盖面足够广、精确度足够高的检测防御模型，检测规则较为局限，同时威胁情报能力的不足也大大影响了EDR“看见威胁”的能力。2.疲劳告警：如果对操作系统的运作机制缺乏深入研究，就无法细致区分系统正常事件和系统异常事件

42、，如若把正常的进程行为、系统行为识别成威胁事件，EDR就会产生大量误报；另一方面，由于APT对抗经验的缺失，无法判断哪些异常是一般事件，哪些异常是需要重点关注的事件，导致EDR告警泛滥，而真正需要被关注的重要信息被淹没。大量冗余告警和不准确告警给安全分析人员带来了额外的工作量，直接影响安全专家依靠EDR进行分析研判的效率。3.攻击绕过：近几年来，漏洞攻击的检测技术一直在不断发展和演化，在大量APT攻击实例当中，0 day漏洞的未知性给相关的检测技术带来了很多的挑战。比如：1)0 day漏洞攻击特征不明确，由于特征不明确，0 day漏洞很容易绕过基于特征码的检测系统；2)攻击者通过各种混淆手段绕

43、过检测；3)传统0 day漏洞攻击检测方法有很高的误报率；4)传统0 day攻击检测太依赖手动分析。4.3.2 新一代EDR解决方案随着攻防对抗的不断演化，以云端能力为核心，以安全大数据、威胁情报、高精度异常数据采集等核心技术为支撑，有效规避传统EDR检测技术的弊端，打造高维度的APT检测对抗能力，已经成为数字化时代应对APT 高级攻击可预见的趋势。通常在一起APT事件中，0 day漏洞攻击的利用流程大致可分为如下几个阶段：1)触发阶段：如控制流转移到攻击者可控范围；2)利用阶段：如执行不同目标任务的Shellcode；3)扫尾阶段：如植入持久性目标恶意代码。图6360新一代EDR解决方案资

44、料来源：Qihu1111 绝大多数传统的手段只能在第三阶段即扫尾阶段发挥作用，而能够在第一阶段和第二阶段起到的检测作用十分有限，有的甚至在这两个阶段无法发挥作用，从而导致检测方案失去作用。而360有着天然的云和终端双重基因，经过17年亿级终端攻防实战经验积累，成功建立一套基于360核心安全大脑实时赋能，结合360“全视之眼”独有的终端探测技术，以全网安全大数据、全球威胁情报驱动的新一代EDR解决方案，为广大政企用户提供卓有成效的APT检测对抗能力。其中360冰刃研究院自主研发和设计的终端漏洞捕获子系统，使用CPU的硬件特性和比操作系统内核态更高特权的轻量Hypervisor层，根据0 da

45、y攻击时在内存、CPU寄存器和进程中的最根本特征和表现（比如任何0 day漏洞攻击必定需要控制流的转移等特征），解决了市场上所有0 day漏洞检测方案的不足，对 0 day攻击进行极为精确和实时的检测、拦截、响应和溯源。终端漏洞捕获子系统采用了基于硬件虚拟化的漏洞利用无感检测技术，该技术由360冰刃研究院自主创新研发设计的冰刃安全虚拟机系统ILSVM（Icesword Lightweight Secure Virtual Machine）提供，ILSVM是一套针对安全需求实现的虚拟机系统，该虚拟机系统不依赖于各型市面上已有的虚拟机系统，而是从零开始重新设计开发的以实现安全检测与防御特性为主的全

46、新轻量级虚拟机系统（ILSVM Hypervisor），它的设计和实现弥补了国内此类基础软件的空白，是目前国内乃至世界上唯一能在客户终端默认实时开启的安全虚拟机系统。目前，360安全卫士已在数亿客户端中运用了此技术。冰刃安全虚拟机系统ILSVM能够保证对操作系统内核和应用态进程，完备全面的行为监控和特征收集，与传统0day检测、HIPS和AV等所不同的是，ILSVM能够对所有内存操作、内核操作、进程操作进行毫无遗漏的监控。这缘于ILSVM的特权级别是比内核特权更高的Hypervisor层，这是其他0day检测方案所不具备的。借助强大的ILSVM，能够在漏洞攻击的三个阶段均布置上多种全球独创的新

47、型探测模块，对CPU的控制流和指令执行序列进行纤毫无遗的监控和分析，使发现漏洞利用攻击的能力提升到一个新的高度。这种终端上独有的专利性探测技术，为360 EDR解决方案提供赋能，对高级威胁检测起到了非常关键的作用！360提供的新一代EDR解决方案具有三大特点：1.云-地双场景：360 EDR提供云端SaaS化和本地私有化两种部署模式，满足互联网和隔离网双场景的安全防护需求。依托于360核心安全大脑理念和安全运营能力框架打造的SaaS化EDR，基于云视角打造的安全防护体系，使得终端的各类安全事件和云端的大数据做广泛的数据图7冰刃安全虚拟机资料来源：Qihu12 联动，实现了安全能力从孤岛式、被

48、动式的单点防护到主动式、全局式的纵深防御的有序演进。这种基于全网的SaaS化云安全体系防护也是EDR未来最有效的防护方式，天然具备低成本、高效率的优势，针对高级威胁的事件检测和溯源能力被大幅提升，且这种能力是持续的，还能够自我快速修正和迭代。对于隔离网终端安全防御场景，360 EDR提供了本地私有化部署方式，可以把云端能力下沉到本地网络中，实现自运营的EDR管理模式。2.能力实战化：数据是最完美的诠释，360 EDR在多家客户的实际建设运行过程中，对高级威胁起到了非常有效的防御作用。仅在2021年，就发现并处理了勒索病毒、暴力破解、挖矿木马、WebShell后门、恶意程序等重大攻击事件数百

49、起；在客户内部风险管控方面，发现并处理了异常邮件发送，数据泄露，账号异常、违规外联等严重违规事件近百起。实践证明，360 EDR提供的安全响应能力将客户的风险处置能力从小时级提升到了分钟级，实现了安全事件零损失，保障了多家客户关键业务运行安全，关键数据不受影响，从根本上解决了客户对网络安全的隐忧。3.响应自动化：360 EDR提供安全风险综合评估、SOAR自动化响应处置能力，可以实现自动化安全事件闭环处置流程，提高安全事件处置效率和效果。利用360核心安全大脑提供的威胁情报自动关联分析能力，360 EDR让高级威胁不再隐匿，攻击过程中所有关键环节全部可视，防护效果不再模糊，实现防护指标全部量化

50、，让客户业务运行的更安全、更稳定、更高效！4.3.3 客户案例4.3.3.1 客户背景A公司是一家中国领先的连锁商业集团，致力于成为全球最具创新的商超先锋。作为一个全业态多功能综合体，A公司集社交、娱乐、美食、零售功能于一体，形成了独立大型商超，是消费者进行休闲、娱乐和消费的重要场所，为消费者提供了极致的消费体验。早在2015年，A公司就启动了数字化转型，并一直致力于打造以提升服务及消费能力为目标的数字化生态系统。基于公有云和三个数据中心，该企业建设了一系列内部业务系统和互联网零售外卖系统，为全国1300多个城市，上万家零售网点的20多万员工、千万级用户提供互联网零售、门店运营、供应链管理

展开阅读全文