隨著數(shù)字化發(fā)展，網(wǎng)絡(luò)安全威脅不斷演進(jìn)，EDR產(chǎn)品也被期望能夠真正解決終端面臨的APT、0day、勒索病毒等高級(jí)威脅。然而實(shí)戰(zhàn)證明：傳統(tǒng)的EDR產(chǎn)品面臨很多痛點(diǎn)，無(wú)法解決多場(chǎng)景安全性問(wèn)題，例如傳統(tǒng)EDR產(chǎn)品對(duì)海量大數(shù)據(jù)的存儲(chǔ)和處理能力不足，讓EDR整體威脅識(shí)別成為空談；又如不具備從實(shí)戰(zhàn)中總結(jié)出知識(shí)庫(kù)和安全分析能力，使得有價(jià)值的數(shù)據(jù)在客戶(hù)側(cè)難以被有效利用；再如缺少靈活的性能調(diào)優(yōu)和自適應(yīng)機(jī)制，采集大量的端點(diǎn)信息導(dǎo)致消耗終端和服務(wù)器的大量寶貴資源。

為了彌補(bǔ)傳統(tǒng)EDR的不足，三六零(行情601360,診股)（601360.SH,下稱(chēng)“360”）旗下政企安全集團(tuán)依托360云端安全大腦提供的安全大數(shù)據(jù)、威脅情報(bào)和攻防知識(shí)庫(kù)等強(qiáng)大能力打造了面向未來(lái)的EDR解決方案——360終端檢測(cè)響應(yīng)系統(tǒng)（以下簡(jiǎn)稱(chēng)“360 EDR”）。360 EDR同時(shí)具備SaaS化和智能化的特點(diǎn)，可以通過(guò)持續(xù)監(jiān)測(cè)端點(diǎn)活動(dòng)行為，對(duì)威脅風(fēng)險(xiǎn)進(jìn)行深度檢測(cè)、智能化分析和專(zhuān)業(yè)化處理，大幅降低用戶(hù)成本，提升部署效率，聯(lián)動(dòng)全網(wǎng)大數(shù)據(jù)，全方位解決用戶(hù)的終端安全問(wèn)題。

17年終端安全產(chǎn)品領(lǐng)導(dǎo)者

打磨EDR必要能力與關(guān)鍵能力

在終端安全產(chǎn)品層面，360擁有17年的終端安全攻防對(duì)抗經(jīng)驗(yàn)，積累了海量的全網(wǎng)安全大數(shù)據(jù)，歷經(jīng)十余年與各種木馬、APT家族、0day漏洞的攻防實(shí)戰(zhàn)，持續(xù)打磨終端的惡意行為檢測(cè)和響應(yīng)能力，積累了全面細(xì)致的終端行為檢測(cè)技術(shù)，在終端安全產(chǎn)品效果上打造了行業(yè)標(biāo)桿。作為終端安全產(chǎn)品的引領(lǐng)者，360從實(shí)戰(zhàn)層面提出了面向未來(lái)的EDR產(chǎn)品應(yīng)該具備的關(guān)鍵能力，具體包括：

EDR產(chǎn)品必須具備海量大數(shù)據(jù)存儲(chǔ)及處理能力。安全大數(shù)據(jù)是支撐構(gòu)建覆蓋面足夠廣、精確度足夠高的檢測(cè)防御模型，以及發(fā)現(xiàn)攻擊者痕跡的必要基礎(chǔ)。在EDR中，端點(diǎn)采集的各類(lèi)安全行為數(shù)據(jù)是終端安全防御、檢測(cè)和響應(yīng)的核心依據(jù)，是應(yīng)對(duì)APT攻擊的重要手段，通過(guò)對(duì)多維度高質(zhì)量的海量大數(shù)據(jù)進(jìn)行自動(dòng)化的、智能化的關(guān)聯(lián)分析和運(yùn)營(yíng)，可以追溯攻擊過(guò)程，尋找漏洞源和攻擊源，是有效防御和確保終端安全的有效途徑和方法。

還應(yīng)具備全面專(zhuān)業(yè)的安全分析能力。EDR產(chǎn)品需要有各種安全檢測(cè)分析技術(shù)，能對(duì)海量多異構(gòu)數(shù)據(jù)進(jìn)行分析，同時(shí)結(jié)合全網(wǎng)APT情報(bào)，確保各類(lèi)威脅全面可視。由于高級(jí)威脅攻擊的蛛絲馬跡往往隱蔽在常規(guī)軟件運(yùn)行的類(lèi)似行為當(dāng)中，因此檢測(cè)需要對(duì)終端海量數(shù)據(jù)(行情603138,診股)進(jìn)行安全分析，需要具備對(duì)歷史數(shù)據(jù)的反復(fù)檢測(cè)能力，這些都要求產(chǎn)品具備極強(qiáng)的大數(shù)據(jù)運(yùn)算分析能力。

此外還應(yīng)具備實(shí)戰(zhàn)攻防對(duì)抗的能力?；谧钚侣┒?、APT等各種攻擊方式，機(jī)器學(xué)習(xí)和大數(shù)據(jù)自動(dòng)化關(guān)聯(lián)分析固然必不可少，但對(duì)收集到的數(shù)據(jù)集進(jìn)行人工分析和解釋也十分重要，安全專(zhuān)家會(huì)通過(guò)安全知識(shí)與專(zhuān)業(yè)技能，以及基于多年實(shí)戰(zhàn)總結(jié)的威脅檢測(cè)防御模型，進(jìn)行實(shí)時(shí)和持續(xù)的追蹤分析，并提供特定場(chǎng)景的安全解決方案。

隨著數(shù)字時(shí)代攻防對(duì)抗的不斷演化，以SaaS化和智能化EDR形式幫助企業(yè)用戶(hù)解決長(zhǎng)期安全運(yùn)營(yíng)問(wèn)題成為關(guān)鍵能力。通過(guò)整合云端能力和終端資源以SaaS化服務(wù)形式面向大中小客戶(hù)輸出，能增強(qiáng)內(nèi)網(wǎng)端點(diǎn)威脅防御以及威脅對(duì)抗能力，保障各類(lèi)生產(chǎn)和辦公業(yè)務(wù)平穩(wěn)持續(xù)運(yùn)行，已經(jīng)成為新一代EDR應(yīng)對(duì)高級(jí)攻擊可預(yù)見(jiàn)的趨勢(shì)。

360推出新一代EDR解決方案

多重優(yōu)勢(shì)解決終端安全威脅

作為面向未來(lái)的終端安全產(chǎn)品，從構(gòu)成上360 EDR技術(shù)架構(gòu)分成三個(gè)部分：終端代理、EDR Server、360核心安全大腦。其中終端代理是360 EDR的核心組成部分，360 EDR依托于360云端核心安全大腦的持續(xù)賦能、360核心安全大腦的安全大數(shù)據(jù)平臺(tái)充分發(fā)揮終端代理的采集和處置能力，同時(shí)通過(guò)EDR Sever的高效數(shù)據(jù)分析引擎，最終實(shí)現(xiàn)對(duì)高級(jí)威脅的檢測(cè)和抑制。

360 EDR在產(chǎn)品化落地過(guò)程中具備了如下幾方面突出優(yōu)勢(shì)：基于獨(dú)一無(wú)二核晶引擎的高質(zhì)量數(shù)據(jù)采集能力優(yōu)勢(shì)、基于海量安全大數(shù)據(jù)的全網(wǎng)視角優(yōu)勢(shì)、完備安全分析能力和檢測(cè)能力優(yōu)勢(shì)，以及SaaS化和智能化能力優(yōu)勢(shì)。

優(yōu)勢(shì)1：高質(zhì)量數(shù)據(jù)采集能力——基于獨(dú)一無(wú)二的核晶引擎

數(shù)據(jù)采集質(zhì)量，決定了EDR真正的檢測(cè)效果。360 EDR使用360十幾年積累的內(nèi)核分析技術(shù)、獨(dú)一無(wú)二的核晶硬件虛擬化引擎等多種引擎來(lái)收集安全數(shù)據(jù)，一方面實(shí)現(xiàn)了多維度的大數(shù)據(jù)采集，時(shí)間維度包括攻擊前、攻擊中、攻擊后，行為維度包括標(biāo)準(zhǔn)行為、差異行為、破壞行為，階段維度包括感染前、感染中，感染后等。另一方面，360 EDR提供超越內(nèi)核級(jí)監(jiān)控能力，利用CPU的硬件虛擬化機(jī)制增強(qiáng)64位系統(tǒng)的安全防護(hù)，對(duì)進(jìn)程創(chuàng)建、進(jìn)程注入、模塊加載、注冊(cè)表值寫(xiě)入、文件寫(xiě)入等行為進(jìn)行全面監(jiān)控，規(guī)避了傳統(tǒng)EDR大量依賴(lài)Ring3用戶(hù)層監(jiān)控技術(shù)的弊端，同時(shí)還能直接檢測(cè)內(nèi)核與應(yīng)用層0day漏洞利用行為，有效對(duì)抗APT繞過(guò)攻擊。

優(yōu)勢(shì)2：全局視野——海量安全大數(shù)據(jù)

海量大數(shù)據(jù)作為360 EDR的持續(xù)驅(qū)動(dòng)力，能夠?qū)崟r(shí)同步全球威脅，持續(xù)增強(qiáng)對(duì)APT攻擊的檢測(cè)和感知能力?；?7年實(shí)戰(zhàn)經(jīng)驗(yàn)，360已匯集了超300億程序文件樣本，22萬(wàn)億安全日志、90億域名信息、2EB 以上的安全大數(shù)據(jù)，可瞬間調(diào)用超過(guò)百萬(wàn)顆CPU參與計(jì)算、檢索和關(guān)聯(lián)多維度威脅數(shù)據(jù)。這是360 EDR的核心優(yōu)勢(shì)——基于巨量終端、實(shí)戰(zhàn)所獲得的海量安全大數(shù)據(jù)構(gòu)造。

優(yōu)勢(shì)3：完備的安全分析能力和檢測(cè)能力

沒(méi)有“可視”這一前提，任何威脅的處理都是一句空話(huà)，而威脅的可視化就是360 EDR的“雷達(dá)”能力。這種針對(duì)各類(lèi)攻擊的“雷達(dá)”能力，需要強(qiáng)大的安全分析能力支撐。360作為一家具有17年歷史的數(shù)字安全領(lǐng)導(dǎo)公司，實(shí)現(xiàn)了從ToC到ToB/G的安全能力積累，因此具備了國(guó)內(nèi)最強(qiáng)大的安全分析能力和技術(shù)。360 EDR通過(guò)各種檢測(cè)分析技術(shù)，對(duì)海量多異構(gòu)數(shù)據(jù)進(jìn)行分析，同時(shí)結(jié)合全網(wǎng)APT情報(bào)，確保了各類(lèi)威脅全面可視。

優(yōu)勢(shì)4：SaaS化和智能化

除此之外，360 EDR產(chǎn)品還具備實(shí)現(xiàn)SaaS化和智能化的能力。一方面，360 EDR可以在云端采用SaaS多租戶(hù)的部署模式，為用戶(hù)提供安全大數(shù)據(jù)的存儲(chǔ)、數(shù)據(jù)實(shí)時(shí)處理、關(guān)聯(lián)分析、并行查詢(xún)以及秒級(jí)響應(yīng)能力，支撐安全專(zhuān)家隨時(shí)進(jìn)行主動(dòng)的威脅狩獵。另一方面，基于查殺引擎、知識(shí)圖譜和AI技術(shù)帶來(lái)的技術(shù)提升，360 EDR也越來(lái)越智能化，包括實(shí)現(xiàn)對(duì)海量安全事件的自動(dòng)分類(lèi)、自動(dòng)分優(yōu)先級(jí)和對(duì)攻擊行為采取自動(dòng)響應(yīng)等。

總體而言，360 EDR依靠360云端安全大腦在數(shù)據(jù)、情報(bào)、專(zhuān)家的賦能，以及云地一體的架構(gòu)，能夠?qū)崿F(xiàn)SaaS化和智能化，為政企用戶(hù)提供最強(qiáng)大、最全面的安全分析能力、攻擊溯源能力、可視化展現(xiàn)能力、快速響應(yīng)能力、聯(lián)防聯(lián)動(dòng)能力、定制化安全運(yùn)營(yíng)能力以及豐富的訂閱服務(wù)，幫助用戶(hù)大幅度提升安全風(fēng)險(xiǎn)的識(shí)別、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)等各項(xiàng)能力。

關(guān)鍵詞： EDR發(fā)布助力政企用戶(hù)構(gòu)建SaaS化、智能化防御體系