被APT“盯上”，360EDR一招化解( 三 ) 近几年网络攻击愈演愈烈

潘剑锋告诉雷峰网：“不同于过往对于已知安全风险的预防和处置，目前客户对于终端安全的需求更多集中于对未知风险、高级威胁的监测与防范，这对安全厂商的安全数据储备、安全技术分析、安全人才建设等综合能力提出了全新挑战。 ”
而恰恰这是360的强项。其中赛迪顾问发布的《报告》中也提到， 360拥有十多年终端安全的实战经验，以核晶引擎、QVM引擎等创新安全技术为基础，精准全面采集近百种安全行为事件以及相关文件安全属性，不仅有效对抗APT绕过攻击，同时提升数据检测能力和安全运营分析效果。同时， 360具备数万终端和上亿数据的实时分析能力，结合360发现过的多个APT组织情报和数亿终端防护经验，可快速发现各种攻击痕迹，包括内存攻击、网络攻击、系统攻击、漏洞利用、横向渗透等多个场景。在深厚技术积累的基础之上，充分利用在数据、情报和专家团队方面的优势， 360EDR没有墨守成规，而是在参考国际EDR标准、完整覆盖采集、检测、响应、预防四个阶段。并依托360数据安全大脑的情报赋能以及云地一体化架构，向SaaS化和智能化方向演进。

文章图片
360俨然已经成为终端安全产品的引领者，具体来看360EDR已经具备了以下几种能力：
首先，在安全数据存储及处理能力上。 360很早就建立了安全大数据平台，并基于17年实战经验， 360已汇集了超300亿程序文件样本， 22万亿安全日志、90亿域名信息、2EB以上的安全大数据，可瞬间调用超过百万颗CPU参与计算、检索和关联多维度威胁数据。 360的Netlab专门对DNS类的情报进行生产因此360EDR能够实时同步全球威胁，持续增强对APT攻击的检测和感知能力。
其次，具备全面专业的安全分析能力。 “看见威胁”是终端防御的前提，而威胁检测能力的高低，直接影响“看见”的能力。 360EDR通过各种检测分析技术，对海量多异构数据进行分析，同时结合全网APT情报，确保了各类威胁全面可视。这种威胁监测的能力是通过服务全国上几亿用户和百万主机得来的，因此360拥有了“运营商”级别的分析能力。
最后是人，也就是安全专家团队。攻防对抗的本质就是人的对抗。至今为止， 360专家已成功挖掘谷歌、微软、苹果等主流厂商CVE漏洞超3000个，获得微软、谷歌史上最高漏洞奖励，斩获中国首个“PwnieAwards”黑客奥斯卡奖，并已成功追踪溯源海莲花、摩诃草、美人鱼、蔓灵花、蓝宝菇等针对中国的境外APT组织累计多达50个。基于最新漏洞、APT等各种攻击方式，机器学习和大数据自动化关联分析固然必不可少，但对收集到的数据集进行人工分析和解释也十分重要，通过安全专家的经验加持，进行实时和持续的追踪分析，最大化360EDR产品价值。
具备了一系列技术积累和产品能力后，还要有一双善于发现问题的眼睛。
比如，在某大型制造商的一个项目， 360洞察到该企业内部的业务服务器，所承载的数据及服务的非常重要，因此成为了网络攻击的核心目标。该公司针对服务器主机的安全防护，采用的是传统防御方式，整体防御效果不足，一方面缺乏安全大数据技术支撑， “看见威胁“的能力严重受限；另一方面无法掌握主机系统的实时安全状态，无法实现完整的攻击溯源；另外还缺少自动化的威胁联动处置能力，难以最大化压缩攻击者的攻击时间。