从见我“所见”，到见我“未见”，360EDR「一种可能解」

作者：李扬霞

编辑：林觉民

一直以来，海湾战争被认为是信息化战争开始的标志，美军曾在分析总结海湾战争获胜原因时认为“战争中最致命的武器不是导弹和战斗机，也不是战舰和坦克，而是部署在整个战场庞大的侦察预警系统。”

而在如今频繁发生的数字空间网络战中，同样“看见”是防御的首要能力，要知道风险在哪里，是什么样的风险，什么时候的风险，才能进一步处置和应对。

作为攻防双方较量的主战场，终端承担了“看见”的关键。攻击方企图通过对终端的入侵渗透，撕破防御体系，近年来利用0day漏洞、未知恶意软件进行攻击的安全事件层出不穷，给涉事企业带来严重的经济损失。而防守方筑牢内网防线，力争发现并反制攻击行为。

对于安全行业来讲，对已知安全威胁的防御已经相当成熟，但对于未知威胁的防范却成了很多企业的一大心病，传统的安全防护手段\工具，已经难以和全新的网络安全威胁进行正面对抗。想要实现“看见”威胁主动防御，EDR成为了破局之道。

近日，360推出了新一代的终端防护利器——360EDR。在第十届互联网安全大会（简称ISC 2022）上，雷峰网采访到了360集团副总裁、首席科学家潘剑锋，他表示：“EDR的核心思想就是主动式防御，以前的端点安全产品只能应对已知威胁，EDR产品对于未知的攻击能够通过系统和人的配合，捕捉异常行为、分析攻击、及时响应、自动化拦截形成闭环。”EDR 的出现代表了安全理念的一个重要转变：从见我“所见”，到见我“未见”。

安全没有 “银色子弹”，我们无法拦截所有攻击，一味的严防死守、高筑城墙的理念已经不适合当下数字经济时代，只有及时发现异常并且进行处理，将损害限制在可控范围内，才是端点预防攻击最佳理念。

（360集团副总裁、首席科学家潘剑锋）

我们需要什么样的EDR？

EDR最早由Gartner在2013年提出，并连续多年被Gartner列为十大技术之一。最初提出EDR概念是为了弥补传统终端管理系统（EPP）的不足，而现在EDR与EPP相互补充融合，逐渐已成为各大安全厂商主流的终端防护部署方式。

在过去十多年里，终端安全仅仅指的是杀毒软件，后来才升级到EPP。EPP也被称为第三代杀毒软件，拥有杀毒、防火墙以及外设管控等功能，是综合性的终端保护软件。但是对于复杂和有针对性的攻击，例如APT攻击、0day攻击等，EPP也束手无策，而攻击者可以通过定制化的恶意软件成功绕过防御。另外，EPP各个防御工具的告警也相互独立，缺乏对终端的持续监控，安全人员很难定位威胁的来源以及威胁造成的影响。

EDR技术应运而生，EDR是一种主动式的防御。面对更加隐蔽和高级的持续攻击，EDR的原理是把威胁放进来，研究其路径，进行分析和判断，再进行阻断，更侧重于“检测”和“反应”，如果经判断有危害，那么下次再出现类似的攻击就可以直接阻断，从而形成一整个闭环。它保护的并不局限于端点本身，而是以端点为基础，收集更多信息，结合大数据和机器学习的技术，发现潜在的未知威胁，并作出响应。

由于，各厂商对EDR理解不同，其产品也有所差异。因此也有人认为“国内某些“EDR”都不是真正的EDR，是EPP甚至是AV（反病毒软件）换了皮肤，是假的EDR。”那么我们到底需要什么样的EDR？

首先，大多数企业想要EDR功能确实不假，但是一些客户部署了一堆威胁检测盒子，告警量一天达到千万级以上，无法有效的识别有价值的告警；而且，告警量的增加势必需要投入更多的人员进行安全运营，无形中增加了安全的成本。其次，大多数EDR，其实都是一个个孤岛，没有数据积累，采什么样的数据？怎么采？其实是很难的一件事情。

那么问题来了，到底具备什么样的能力才是‘真EDR’？

具体来说，EDR的核心能力应该包括大数据存储、安全事件采集、后台分析追踪溯源能力以及响应能力等。潘剑锋认为：“判断EDR是否具备真能力，最重要的是看实际效果。”他以坦克举例，评判一辆坦克的性能好坏，主要是在战场上真实有效的。如果只是按照概念包装出来，则毫无意义，真正要看到底采集了什么数据？分析能力到底怎样？炮筒是125毫米还是50毫米，威力是完全不一样的。

这里，以360EDR为例，把增强“看见”能力作为核心，包括看见自己、看见自己的资产、看见敌人的攻击和威胁，而最核心的是“看见威胁”，看见威胁之后基本就解决了80%的问题，只有看得见才能意识到威胁的发生并进行预防。如果你都没有看见威胁，这才是最危险的，因为什么都做不了。

360EDR如何“看见”威胁

“能够看见威胁就解决了80%的问题，‘真EDR’是看见威胁的眼睛，能真正看见包括APT等各类威胁，它具备全球视野+AI+实战能力+云端分析能力+高级端点能力，”潘剑锋如是说。

那么，想要实现“看见”威胁，这背后又需要哪些核心能力？潘剑锋指出想要“看见”威胁实现挂图作战，需要具备“云+端+数+人+AI”五方面的能力。

云：云端大数据处理能力、分析的能力和存储能力。EDR核心是要能够存储真正的安全事件，事件汇集起来是非常庞大的数据，因此一定要具备存储能力。其次，能够对数据进行有效分析，要处理来自全球十几亿终端的安全事件，需要具备EB极大数据分析能力、能调用百万颗以上CPU参与运算。360覆盖了全球15亿终端，能够实时感知全球全网安全事件，将安全数据汇聚至云端分析处理，真正实现了数据云端打通和协作。

端：终端上高质量事件的捕获能力。终端上的数据采集和与分析能力，很大程度上直接决定了EDR的检测溯源效果，是EDR看得见能力成败的关键保障。一定要保证事件的精度要高，如果采集的都是低质量的信息，会消耗宝贵的存储和分析资源。另一方面，EDR事件探针的维度，站在高于攻击者的维度。业内部分厂商，可能仅仅是利用微软标准接口来进行威胁信息收集，但标准接口厂商知道自然攻击者也知道，他们站在同一个起跑线上，厂商能做到的，攻击者一样可以。因此，摄像头必须要装在攻击者摸不到的地方，要不然别人进来第一件事就是把摄像头盖住。360 EDR基于冰刃虚拟机的探针可以从高于内核的维度来采集安全事件，是国内唯一默认为上亿用户开启的虚拟机探针，确保了事件的高可信度，”潘剑锋表示。

数：大数据。360有十几亿终端，数据量是最大的，所以见到攻击是最多的。在大数据的赋能下，360可以将个人用户和很多能联网的企业用户打通，将他们的安全事件在后台统一分析，相当于在A厂发现威胁就可以应用到全部客户，打破了终端之间的孤岛。

人：人是实战专家，要看见威胁，需要有丰富的实战能力。目前，360拥有具备顶级漏洞挖掘能力的东半球最强白帽军团。至今为止，360专家已成功挖掘谷歌、微软、苹果等主流厂商CVE漏洞近2000个，包揽三巨头史上最高漏洞奖励，并已成功追踪溯源海莲花、摩诃草、美人鱼、蔓灵花、蓝宝菇等针对中国的境外APT组织累计多达50个。在持续与各国高级别黑客较量过程中，淬炼出了一套业界独有的“实战兵法”，并以此赋能指导360EDR实现对各种威胁进行溯源分析及提供相应的解决方案。

AI：AI有一个很重要的点，数据越大，训练结果就越好，而360的数据就足够大。海量的大数据都需要人工智能进行处理分析，能节省绝大部分人工时间。360拥有静态样本检测的QVM，从使用早期支持向量机、随机森林等算法，到使用AI研究院自研算法，是成熟的下一代人工智能反病毒引擎；雷鸟引擎则是针对EDR所采集的时序事件进行分析，既包含经验规则匹配，又利用长短期记忆网络等深度学习方法训练与检测。

归根结底，EDR考验的是前端数据采集能力，后端的安全大数据支撑及分析和策略控制能力，而这正是360 EDR的独特优势所在。360 EDR上述“云、端、数、人、AI”能力，能帮助政企用户消除视觉盲点、认清风险的同时，自动化处置藏匿其中的恶意行为，深度追踪溯源取证攻击源头。

云地双栈，SaaS化部署

随着数字化的深入发展，大量的设备入网、业务和数据上云，对于安全也提出了更高的要求。SaaS化服务模式也掀起一股热潮，譬如国外的EDR厂商CrowdStrike，作为当红炸子鸡市值一度接近500亿美元。

反观国内，其实SaaS化的需求也在逐渐增加。中小企业很多时候没有部署成熟EDR产品的能力或者没有相关的人才技术。潘剑锋指出：对于大型央国企，他们有能力自建队伍培养人才；而对于中小企业来说，SaaS化服务可以很好解决该问题。

事实上，360EDR的SaaS模式远比CrowdStrike更早。

这背后的逻辑是，十几年来，360帮助几亿个人用户、大中小企业、国家解决安全问题，完整存储记录下了360看见的全量安全大数据，在此过程中把最新攻击样本第一时间收集到云端，积累形成总数超300亿的安全样本库，能够解决发现已知攻击问题。为识别未知攻击，360基于上述样本建立了大规模的APT基因库和攻防知识库，包含所有近千种技战术种类，数千种杀伤链模型，数万种漏洞利用和典型攻击的实例，百万攻防知识图谱和百亿实战分析图谱，相当一部云端百科全书。

SaaS化、智能化是360 EDR的未来演进方向。

一方面，360 EDR可以在云端采用SaaS的部署模式，为用户提供安全大数据的存储、数据实时处理、关联分析、并行查询以及秒级响应能力，支撑安全专家随时进行主动的威胁狩猎。另一方面，基于知识图谱和AI技术带来的技术提升，360 EDR也越来越智能化，包括实现对海量安全事件的自动分类、自动分优先级和对攻击行为采取自动响应等。

此外，360EDR还有一个特点：支持云地双栈部署。面对大型企业隔离网环境， 360EDR可以灵活进行本地化部署。如果想要连云，同时也可以享受更强的SaaS化服务。

总体而言，360 EDR依靠360在数据、情报、专家的赋能，以及云地一体的架构，能够实现SaaS化或本地化部署，兼具智能化功能，为政企用户提供最强大、最全面的安全分析能力、攻击溯源能力、可视化展现能力、快速响应能力、联防联动能力、定制化安全运营能力以及丰富的订阅服务，帮助用户大幅度提升安全风险的识别、保护、检测、响应、恢复等各项能力。

可以看出，SaaS化的服务模式，部署易，成本低，大大解放了用户的劳动力，实现了降本增效。

做安全需脚踏实地

在数字化转型过程中，云计算、大数据、物联网、移动互联等技术的业务应用加速落地，原有的网络边界被打破，导致终端成为新的安全边界，终端作为数字化基础节点面临对抗加剧、安全挑战严峻。

传统基于规则的被动防御技术已经无法适应新的威胁环境，网络安全已经进入检测与响应时代。因此，EDR（端点）、NDR（网络））、TDR（威胁）等检测与响应技术纷纷出现。

尤其XDR（扩展的威胁监测响应），Omdia预计：到2026年之前，XDR业务营收的复合年增长率将超过56%。业内一部分人认为XDR集合了NDR和EDR的优势是终端安全的未来，能做到流量端和终端更加全面的检测。因此不论是安全厂商还是创业公司都纷纷加入XDR行列，XDR与EDR究竟是互补还是颠覆？

对于此，潘剑锋抛出一个观点：“安全这个事情实现不了弯道超车，比如以前没做过EPP，现在就想用EDR的概念实现超车，以前没有做过EDR现在就想打着XDR的概念实现弯道超车，这样的理念是完全错误的。”

这里有一个生动比方：假设EDR是摄像头、NDR是温度传感器，如若摄像头不行看东西都是模糊的，温度传感器也感知不到38度和39度的细微差别，那么连在一起XDR就能够抓到小偷了？这当然不可能。

安全行业还需要一步一个脚印稳扎稳打。就终端安全来讲，未来终端安全能力一定会实现一体化。

潘剑锋表示：“360拥有十几年实战经验，我们觉得未来安全发展趋势一定向真实的安全能力，解决安全问题的角度，相信真正能够解决用户问题的安全产品才会受到市场欢迎。”（雷峰网雷峰网(公众号：雷峰网)）