被APT“盯上”，360EDR一招化解( 四 ) 近几年网络攻击愈演愈烈

文章图片
针对以上问题， 360EDR客户端程序分别部署在该企业的下属分支机构的服务器、生产服务器上及公有云服务器上，实时监控主机侧的恶意行为。对于APT攻击在内的高级网络攻击，安全分析人员可以基于360EDR所绘制的攻击链路图以及ATT&CK技战术图谱，结合EDR客户端上报的完整事件日志，可以实现全面威胁狩猎，发现潜在攻击行为。在响应处置方面， 360EDR与安全运营平台的SOAR能力结合，基于预案编排实现威胁自动化处置，大大缩短MTTR时间，从而实现对全网主机事件的事前监测、事中评估和事后处理，让安全可见、可知、可控，成功构建面向主机的检测-分析-溯源-响应闭环运营体系。
由此可见360数字安全集团能够在EDR市场上突出重围绝不是偶然，在产品和技术实力， 360拥有较为深厚的基础并经过长年的实践检验，能深刻洞察用户需求，并已拥有丰富的成功经验，这是基础。另一方面，基于360多年在安全行业的品牌积累，并多次参与国家级安全事件和分析和防御，还有安全大数据和技术积累，都提高了客户和行业对于360以及旗下产品的认可。最后，在商业模式方面， 360拥有相对完善的渠道建设、更多直客资源，对产品销售、市场扩张更为有利，且目前360的轻量级EDR产品已经开始以SaaS化服务形式面向全行业客户输出。
四、从EDR到XDR ， 360扮演什么角色
目前国内EDR市场还处于起步阶段，终端安全市场仍然以被动防御为主，正在向主动防御阶段过渡。在这一阶段到底什么是真正的EDR ，众说纷纭。就在EDR这个故事还没讲完的时候， Gartner在2020年提出了XDR扩展检测响应的概念，而业内确实有不少人也开始做XDR产品。
这里打个不恰当的比喻，比如一个导弹，假设EDR是它的发动机， NDR是它的导航模块，如果发动机好，导航模块好，导弹就能非常精准的集中目标，这才是一个好的XDR 。但如果发动机不行，或者是导航模块不行，把它凑在一起，肯定也不行。潘剑锋指出， “XDR需要在EDR的基础上扩展”这种观点我是很赞同的，我认为XDR和EDR不是矛盾或进阶，它可以是EDR的丰富，这是并行进展的两条线。 EDR、NDR都发展了，合起来XDR才有更好的效果。
因此， 360选择了一条SaaS化和智能化的EDR之路，把EDR做到最好。 360认为未来EDR发展的两大关键词是：SaaS化和智能化。通过SaaS化提供云EDR的能力，同时可以将云端强大的数据存储、分析以及实时情报能力及时赋能到终端，实现终端和云端的实时交互。
在Gartner与360联合发布的《数字时代EDR技术发展趋势》白皮书中，也指出整合云端能力和终端资源以SaaS化的形式面向不同规模的客户提供服务将成为未来EDR发展的重要方向。并把EDR能力成熟度模型定义为4个等级，初级是EPP、中级是具备有限的EDR、高级是满足Gartner定义的标准化EDR规范要求、特级是SaaS化和智能化的EDR 。
潘剑锋表示：“目前360EDR已经进化到特级阶段。 ”

文章图片
这种“云端SaaS轻量级”EDR部署模式，天然具备的低成本、高效率、易部署等优势。其次，针对高级威胁的事件检测和溯源能力也将被大幅提升，并且这种能力是持续的，还能进行自我快速修正和迭代。此外，云端能力还可下沉到本地网络，实现自运营的EDR管理能力。因此， SaaS化的EDR也将成为未来终端最有效的防护方式之一。
另外，从国外市场来看，云化EDR逐渐成为主流的趋势。以CrowdStrike为代表的EDR厂商在EDRSaaS上发现了大量的市场需求。 EDRSaaS可以借助厂商在云端的能力，得到更多的计算分析能力，同时可以借助云端专家和威胁情报的能力，进一步提升安全分析能力。