撰文|小不董

编辑|李信马

“真正的EDR是看见威胁的眼睛，需要具备看见的能力。” 360集团副总裁兼首席科学家潘剑锋在第十届互联网安全大会（ISC 2022）未来峰会上谈到。

图片来源：第十届互联网安全大会（ISC 2022）未来峰会

信息化建设不断发展，历史的车轮滚滚向前，不知不觉中，无处不在的大数据、云计算、各类连接、应用悄然改变着我们的生活，人类已然进入数字时代。数字思维提升了人们的物理实体的能力、经验，推动生活更丰富多样，但数字化时代也带来了全新的网络安全挑战。

大量设备入网、业务和数据上云的背后，软件漏洞难以避免，终端容易成为外部攻击的入口和跳板，攻击组织会关注到其连接的大量核心业务以及高价值数据，这预示着，数字时代，攻防双方在作为基础节点的终端上的对抗会持续加剧，也意味着，在数字时代，终端安全面临着多重安全挑战。

新冠疫情的冲击下，远程办公变得越来越普遍，用户通过各类终端远程访问企业网络，数据和人已经走出了企业的传统边界，使业务环境变得复杂；网络空间领域成为大国之间不可避免的战场，APT（指高级持续性威胁,本质是针对性攻击）攻击活动大幅增加，让国际形势变得严峻；终端安全所面临的APT、0day（还没有补丁的漏洞）攻击等各类高级威胁手法不断升级，导致技术挑战升级。

在此挑战之下，EDR作为主动式端点安全解决方案被认为是应对高级威胁的有效手段。

说到EDR，就不得不提到EPP，它是由上世纪80年代就出现的终端上的杀毒软件演变而来，以防病毒为核心，融合了个人防火墙、外设管控等功能的综合性终端保护软件，是应对已知恶意软件的高效方案，而EDR实际上就是建立在EPP的基础之上的。EDR引入了新的思想，化被动为主动，通过记录存储的行为事件、利用后台更复杂的分析系统、以及为安全专家提供运营分析平台，来增强了检测能力、增加了调查溯源功能。

EPP多年来累积了基础部分，而EDR有效弥补了EPP的不足之处。比如EPP积累的庞大的样本和行为知识库，以及采集这些行为建立的复杂系统，都是EDR采集与分析的支撑，直接决定了EDR的效果。可以说EDR若是不基于EPP那就是浮沙筑台，想仅通过炒作一个新概念而没有长期积累就打赢攻防战，是不可能的。

那么如何衡量真正EDR的能力呢？ “看见是检测的基础。只有快速、完整地理解网络攻击事件发生的全部情节，跟踪攻击事件每一步，才能以有效的方式做出响应。真正的EDR是看见威胁的眼睛。” 潘剑锋表示，想要看见高级威胁攻击、勒索攻击、供应链攻击等各类威胁事件，需要具备全球视野、海量云端大数据的存储及处理能力、高质量事件的捕获能力、AI分析技术及实战经验丰富的安全专家团队。

图片来源：360数字时代EDR技术发展趋势

以360为例，基于全球十几亿终端部署、海量安全大数据，360应用人工智能方法实现自动化分析、筛选和关联，快速发现攻击线索，同时通过持续的数据运营建立起全局视野，能够“看见”全球和全网的安全态势。

数字空间的对手早已不是固化的病毒和木马，每个攻击背后都是高水平的黑客，攻击手法变化多端，丰富的实战经验能提高“看见”威胁的能力。360EDR的背后是一支持续17年与国家级高级威胁组织攻防对抗的安全专家团队，曾获得过微软、谷歌史上最高漏洞奖励，获得中国首个“Pwnie Awards”黑客奥斯卡奖，成功追踪溯源APT组织多达50个，发现全球主流厂商CVE漏洞超过3000个，能对数据集进行高效的人工分析并提供威胁解决方案。

图片来源：360数字时代EDR技术发展趋势

“有一个说法是，摄像头应该放在攻击者碰不到的地方。也就是说，真正的EDR必须有更高维度的探针，360EDR基于冰刃虚拟机的探针可以从高于内核的维度来采集安全事件，是国内唯一默认为上亿用户开启的虚拟机探针，确保了事件的高可信度。”潘剑锋表示。

360是唯一具备看见全网安全态势能力的公司，面向数字时代打造了新一代EDR解决方案，能够帮助政企单位第一时间看见威胁，感知风险，实现快速响应、抵御攻击。是数字时代终端安全防御的真正利器。

声明：本站转载此文目的在于传递更多信息，并不代表赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请在30日内与本网联系，我们将在第一时间删除内容,本网站对此声明具有最终解释权。