被APT“盯上”,360EDR一招化解( 四 )


文章图片
针对以上问题 , 360EDR客户端程序分别部署在该企业的下属分支机构的服务器、生产服务器上及公有云服务器上 , 实时监控主机侧的恶意行为 。 对于APT攻击在内的高级网络攻击 , 安全分析人员可以基于360EDR所绘制的攻击链路图以及ATT&CK技战术图谱 , 结合EDR客户端上报的完整事件日志 , 可以实现全面威胁狩猎 , 发现潜在攻击行为 。 在响应处置方面 , 360EDR与安全运营平台的SOAR能力结合 , 基于预案编排实现威胁自动化处置 , 大大缩短MTTR时间 , 从而实现对全网主机事件的事前监测、事中评估和事后处理 , 让安全可见、可知、可控 , 成功构建面向主机的检测-分析-溯源-响应闭环运营体系 。
由此可见360数字安全集团能够在EDR市场上突出重围绝不是偶然 , 在产品和技术实力 , 360拥有较为深厚的基础并经过长年的实践检验 , 能深刻洞察用户需求 , 并已拥有丰富的成功经验 , 这是基础 。 另一方面 , 基于360多年在安全行业的品牌积累 , 并多次参与国家级安全事件和分析和防御 , 还有安全大数据和技术积累 , 都提高了客户和行业对于360以及旗下产品的认可 。 最后 , 在商业模式方面 , 360拥有相对完善的渠道建设、更多直客资源 , 对产品销售、市场扩张更为有利 , 且目前360的轻量级EDR产品已经开始以SaaS化服务形式面向全行业客户输出 。
四、从EDR到XDR , 360扮演什么角色
目前国内EDR市场还处于起步阶段 , 终端安全市场仍然以被动防御为主 , 正在向主动防御阶段过渡 。 在这一阶段到底什么是真正的EDR , 众说纷纭 。 就在EDR这个故事还没讲完的时候 , Gartner在2020年提出了XDR扩展检测响应的概念 , 而业内确实有不少人也开始做XDR产品 。
这里打个不恰当的比喻 , 比如一个导弹 , 假设EDR是它的发动机 , NDR是它的导航模块 , 如果发动机好 , 导航模块好 , 导弹就能非常精准的集中目标 , 这才是一个好的XDR 。 但如果发动机不行 , 或者是导航模块不行 , 把它凑在一起 , 肯定也不行 。 潘剑锋指出 , “XDR需要在EDR的基础上扩展”这种观点我是很赞同的 , 我认为XDR和EDR不是矛盾或进阶 , 它可以是EDR的丰富 , 这是并行进展的两条线 。 EDR、NDR都发展了 , 合起来XDR才有更好的效果 。
因此 , 360选择了一条SaaS化和智能化的EDR之路 , 把EDR做到最好 。 360认为未来EDR发展的两大关键词是:SaaS化和智能化 。 通过SaaS化提供云EDR的能力 , 同时可以将云端强大的数据存储、分析以及实时情报能力及时赋能到终端 , 实现终端和云端的实时交互 。
在Gartner与360联合发布的《数字时代EDR技术发展趋势》白皮书中 , 也指出整合云端能力和终端资源以SaaS化的形式面向不同规模的客户提供服务将成为未来EDR发展的重要方向 。 并把EDR能力成熟度模型定义为4个等级 , 初级是EPP、中级是具备有限的EDR、高级是满足Gartner定义的标准化EDR规范要求、特级是SaaS化和智能化的EDR 。
潘剑锋表示:“目前360EDR已经进化到特级阶段 。 ”
被APT“盯上”,360EDR一招化解
文章图片
这种“云端SaaS轻量级”EDR部署模式 , 天然具备的低成本、高效率、易部署等优势 。 其次 , 针对高级威胁的事件检测和溯源能力也将被大幅提升 , 并且这种能力是持续的 , 还能进行自我快速修正和迭代 。 此外 , 云端能力还可下沉到本地网络 , 实现自运营的EDR管理能力 。 因此 , SaaS化的EDR也将成为未来终端最有效的防护方式之一 。
另外 , 从国外市场来看 , 云化EDR逐渐成为主流的趋势 。 以CrowdStrike为代表的EDR厂商在EDRSaaS上发现了大量的市场需求 。 EDRSaaS可以借助厂商在云端的能力 , 得到更多的计算分析能力 , 同时可以借助云端专家和威胁情报的能力 , 进一步提升安全分析能力 。