近几年网络攻击愈演愈烈,诸如数据泄漏、勒索软件、黑客攻击等层出不穷,攻击类型和策略也变得复杂多变,尤其APT(高级持续性威胁)成为了人们心中挥之不去的隐忧。
就在两个月前,美国NSA下属的特定入侵行动办公室(TAO)发起的针对我国国防高校西北工业大学的特定高持续性威胁攻击活动被曝光,引爆了全球舆论。
据统计,全球发现的APT组织超过150个,分布在美国、以色列等国。过去几年,有50个其他背景的黑客组织,对中国的国家级网络进行了数千次攻击。他们攻击领域广泛、规模庞大,攻击目标多样,全域覆盖,攻击技术先进,手法复杂。被动的病毒对抗、保密对抗、恶意代码对抗、安全风险对抗,已无法遏制和威慑APT组织的攻击态势。
在这样的背景下,或许下一个WannaCry随时会出现,对于大多数企业来说,依靠现有的安全体系可能真的防不住APT攻击,不少企业面对入侵攻击、勒索病毒毫无招架之力。
一、传统的终端安全策略“防不住”
2014年,赛门铁克高级副总裁布莱恩·戴伊(Brian Dye)提出了“杀毒软件已死”这一观点。这一观点是否严谨,我们先不讨论,但是可以说明一点问题,那就是终端安全光靠“杀毒”防不住了。
在当今互联网时代以及全球疫情影响之下,接入互联网的终端越来越多,笔记本电脑、手机、平板、移动设备、服务器等,任何连接到网络的终端都暴露在风险之下。
正所谓“千里之堤溃于蚁穴”,看似不起眼的终端安全俨然就是整个企业安全“千里大堤”上的蚁穴。
传统的被动病毒检测技术依赖于特征库的方式进行防御,将文件与已知的“恶意”文件数据库进行比较,当找到匹配项时,该文件则被识别为威胁。
但随着互联网和云计算等技术广泛应用于企业中,企业终端管理的复杂程度也随之上升;而多云时代的来临进一步加剧了企业终端的混乱度。毫无疑问,这给企业安全防御带来了巨大的挑战。
这时,EPP的出现一定程度上解决了传统杀毒软件的弱项。不止通过特征库的方式,还通过云端的协同分析,以及威胁情报能力,EPP能够抵御更多的已知威胁。但是,对于高级威胁,比如0day漏洞、无文件攻击,或者有预谋、有计划、有目标地APT攻击,这种针对整个IT环境下多个端点一环接一环的攻击,EPP关联防护能力显然不足。
因此,要想降低病毒的“造访”,我们不仅要时刻“巡逻”端点,预防威胁隐患藏匿其中,还要在威胁来临之前做出快速响应,立即预警,甚至找到攻击源头,通过安全闭环把病毒扼杀在摇篮之中,从根本上保护我们的终端安全。EDR也就应运而生。
EDR,即端点检测和响应,是一种主动式端点安全解决方案,被称为终端安全界新晋网红。为什么EDR能够如此火?
一方面,相比以前传统被动的终端安全防护策略,EDR不仅仅通过“特征”进行“预防”,更依靠“行为”进行“检测”,并且进行“响应”。同时,EDR不再只是着眼于单个终端的防御,而是能够对各个终端上事件的关联分析,还原整个攻击的流程,描绘出攻击事件的全貌,这在当下愈演愈烈的APT攻击中,尤为重要。
另一方面,国家相关的合规政策中也对终端安全提出了更加细致的需求,例如“等保2.0”中对企业各类终端的风险进行预警和防范的要求,以及对分散在各处的终端设备进行集中管理和审计的要求。
不论是针对合规的需求,还是市场的需求,都让EDR成为现阶段企业抵御复杂的恶意软件和防不胜防的零日威胁以及APT攻击的第一道防线。
因此,国内很多安全厂商通过EDR等新产品切入终端安全市场,原有终端安全厂商还有其他综合性的数字安全公司不断利用自身固有优势推出新的EDR产品。面对市场上繁多的EDR产品,企业选择合适的端点保护方案并不容易。
二、17年打磨,EDR 的“先行者”
究竟具备什么样能力的EDR产品方案,才能为用户所需要呢?这也是360一直以来思考的问题。
积攒了17年的技术和能力,360终于打开了潘多拉的魔盒。
我们可以先看一组数据,前不久,业内知名调研机构赛迪顾问发布了《中国终端安全检测与响应产品市场研究报告(2022)》(以下简称“报告”),从市场份额上来看,360数字安全以10.8%的市占率,排名第一位。
360能够在这个“卷生卷死”的数字安全市场突出重围,其实并不意外。在安全行业两个能力最重要,一个就是技术积累,另一个人才。而这两个能力,360都具备。
熟悉360的人都知道,杀毒算是360的“看家本领”。2005年奇虎360公司成立,瞄准杀毒市场,次年推出360安全卫士,2008年又推出360杀毒,并宣布永久免费,一时间声名鹊起,用户过亿,打破杀软市场格局。
可以说,在终端安全的市场,360是一个有着17年终端安全攻防对抗经验的老兵。所以,提到EDR恐怕鲜少有企业比360更早了。而360做EDR的契机还要追溯到2009年开发“360云主防”那段日子。360云主防全称叫做奇虎360基于云计算的智能行为主动防御系统,也就是在360安全卫士右下角托盘右键中可以点出的“木马防火墙”功能,而360杀毒中也整合了360云主防功能。
据360集团副总裁、首席科学家潘剑锋回忆,以前个人端用户去做杀毒扫描,用的是落后的特征库,这种检测是滞后的也是被动的。可能早期也有一些厂家为用户提供主动防御能力,但是效果甚微。当时的技术水平不足以判断一个事件是否是恶意的,所以对于用户来说,早期的主动防御就是弹弹弹......无尽的、难以理解的弹窗。
它的原理是所有终端代理会收集到所有的事件,这些事件向云端进行相应的查询和分析,传统的主防这一步就过了,分析后返回结果,进行一些判定。但360当时多做了一步,把这些脱敏的安全大数据存储下来,又进行了相应的分析,得益于360一套强大的自动化流程和相当数量的安全专家,后期面对B端产品上,在提升产品能力上得到了不小的助力。
360是最早实践“主动防御”这一理念的,这正是360EDR的雏形。这种主动防御利用安全大数据主动去威胁狩猎、追踪溯源的理念,是一种革命性的变化,不过当时还没有EDR这一概念。
基于以上积累的360云主防解决了弹窗干扰用户难题,并能实现早期的主动防御功能要求。同时,还进一步发现了50个APT组织。“我的工作机器上也装了360企业版,在正常情况下它一天几乎没有弹框,”潘剑锋说。“我们是最早去执行这套理念,但是,并没有把它像Gartner那样抽象出来、提炼出来。”
现在,360终端安全产品已经从终端防病毒软件到终端防护平台(EPP),一直过渡到现在的终端安全检测与响应(EDR),360走的每一步可谓是“踏实”。
三、洞察用户需求,成为“领导者”
随着5G、云计算、大数据和人工智能等技术不断发展,数字业务环境日趋复杂,数字安全技术挑战也逐渐升级。
潘剑锋告诉雷峰网(公众号:雷峰网):“不同于过往对于已知安全风险的预防和处置,目前客户对于终端安全的需求更多集中于对未知风险、高级威胁的监测与防范,这对安全厂商的安全数据储备、安全技术分析、安全人才建设等综合能力提出了全新挑战。”
而恰恰这是360的强项。其中赛迪顾问发布的《报告》中也提到,360拥有十多年终端安全的实战经验,以核晶引擎、QVM引擎等创新安全技术为基础,精准全面采集近百种安全行为事件以及相关文件安全属性,不仅有效对抗APT绕过攻击,同时提升数据检测能力和安全运营分析效果。同时,360具备数万终端和上亿数据的实时分析能力,结合360发现过的多个APT组织情报和数亿终端防护经验,可快速发现各种攻击痕迹,包括内存攻击、网络攻击、系统攻击、漏洞利用、横向渗透等多个场景。在深厚技术积累的基础之上,充分利用在数据、情报和专家团队方面的优势,360EDR没有墨守成规,而是在参考国际EDR标准、完整覆盖采集、检测、响应、预防四个阶段。并依托360数据安全大脑的情报赋能以及云地一体化架构,向SaaS化和智能化方向演进。
360俨然已经成为终端安全产品的引领者,具体来看360EDR已经具备了以下几种能力:
首先,在安全数据存储及处理能力上。360很早就建立了安全大数据平台,并基于17年实战经验,360已汇集了超300亿程序文件样本,22万亿安全日志、90亿域名信息、2EB 以上的安全大数据,可瞬间调用超过百万颗CPU参与计算、检索和关联多维度威胁数据。360的Netlab 专门对DNS类的情报进行生产因此360 EDR能够实时同步全球威胁,持续增强对APT攻击的检测和感知能力。
其次,具备全面专业的安全分析能力。“看见威胁”是终端防御的前提,而威胁检测能力的高低,直接影响“看见”的能力。360 EDR通过各种检测分析技术,对海量多异构数据进行分析,同时结合全网APT情报,确保了各类威胁全面可视。这种威胁监测的能力是通过服务全国上几亿用户和百万主机得来的,因此360拥有了“运营商”级别的分析能力。
最后是人,也就是安全专家团队。攻防对抗的本质就是人的对抗。至今为止,360专家已成功挖掘谷歌、微软、苹果等主流厂商CVE漏洞超3000个,获得微软、谷歌史上最高漏洞奖励,斩获中国首个“Pwnie Awards”黑客奥斯卡奖,并已成功追踪溯源海莲花、摩诃草、美人鱼、蔓灵花、蓝宝菇等针对中国的境外APT组织累计多达50个。基于最新漏洞、APT等各种攻击方式,机器学习和大数据自动化关联分析固然必不可少,但对收集到的数据集进行人工分析和解释也十分重要,通过安全专家的经验加持,进行实时和持续的追踪分析,最大化360EDR产品价值。
具备了一系列技术积累和产品能力后,还要有一双善于发现问题的眼睛。
比如,在某大型制造商的一个项目,360洞察到该企业内部的业务服务器,所承载的数据及服务的非常重要,因此成为了网络攻击的核心目标。该公司针对服务器主机的安全防护,采用的是传统防御方式,整体防御效果不足,一方面缺乏安全大数据技术支撑,“看见威胁“的能力严重受限;另一方面无法掌握主机系统的实时安全状态,无法实现完整的攻击溯源;另外还缺少自动化的威胁联动处置能力,难以最大化压缩攻击者的攻击时间。
针对以上问题,360EDR客户端程序分别部署在该企业的下属分支机构的服务器、生产服务器上及公有云服务器上,实时监控主机侧的恶意行为。对于APT攻击在内的高级网络攻击,安全分析人员可以基于360EDR所绘制的攻击链路图以及ATT&CK技战术图谱,结合EDR客户端上报的完整事件日志,可以实现全面威胁狩猎,发现潜在攻击行为。在响应处置方面,360EDR与安全运营平台的SOAR能力结合,基于预案编排实现威胁自动化处置,大大缩短MTTR时间,从而实现对全网主机事件的事前监测、事中评估和事后处理,让安全可见、可知、可控,成功构建面向主机的检测-分析-溯源-响应闭环运营体系。
由此可见360数字安全集团能够在EDR市场上突出重围绝不是偶然,在产品和技术实力,360拥有较为深厚的基础并经过长年的实践检验,能深刻洞察用户需求,并已拥有丰富的成功经验,这是基础。另一方面,基于360多年在安全行业的品牌积累,并多次参与国家级安全事件和分析和防御,还有安全大数据和技术积累,都提高了客户和行业对于360以及旗下产品的认可。最后,在商业模式方面,360拥有相对完善的渠道建设、更多直客资源,对产品销售、市场扩张更为有利,且目前360的轻量级EDR产品已经开始以SaaS化服务形式面向全行业客户输出。
四、从EDR到XDR,360扮演什么角色
目前国内EDR市场还处于起步阶段,终端安全市场仍然以被动防御为主,正在向主动防御阶段过渡。在这一阶段到底什么是真正的EDR,众说纷纭。就在EDR这个故事还没讲完的时候,Gartner在2020年提出了XDR扩展检测响应的概念,而业内确实有不少人也开始做XDR产品。
这里打个不恰当的比喻,比如一个导弹,假设EDR是它的发动机,NDR是它的导航模块,如果发动机好,导航模块好,导弹就能非常精准的集中目标,这才是一个好的XDR。但如果发动机不行,或者是导航模块不行,把它凑在一起,肯定也不行。潘剑锋指出,“XDR需要在EDR的基础上扩展”这种观点我是很赞同的,我认为XDR和EDR不是矛盾或进阶,它可以是EDR的丰富,这是并行进展的两条线。EDR、NDR都发展了,合起来XDR才有更好的效果。
因此,360选择了一条SaaS化和智能化的EDR之路,把EDR做到最好。360认为未来EDR发展的两大关键词是:SaaS化和智能化。通过SaaS化提供云EDR的能力,同时可以将云端强大的数据存储、分析以及实时情报能力及时赋能到终端,实现终端和云端的实时交互。
在Gartner与360联合发布的《数字时代EDR技术发展趋势》白皮书中,也指出整合云端能力和终端资源以 SaaS 化的形式面向不同规模的客户提供服务将成为未来EDR发展的重要方向。并把EDR能力成熟度模型定义为4个等级,初级是EPP、中级是具备有限的EDR、高级是满足Gartner定义的标准化EDR规范要求、特级是SaaS化和智能化的EDR。
潘剑锋表示:“目前360EDR已经进化到特级阶段。”
这种“云端SaaS轻量级”EDR部署模式,天然具备的低成本、高效率、易部署等优势。其次,针对高级威胁的事件检测和溯源能力也将被大幅提升,并且这种能力是持续的,还能进行自我快速修正和迭代。此外,云端能力还可下沉到本地网络,实现自运营的EDR管理能力。因此,SaaS化的EDR也将成为未来终端最有效的防护方式之一。
另外,从国外市场来看,云化EDR逐渐成为主流的趋势。以CrowdStrike为代表的EDR厂商在EDR SaaS上发现了大量的市场需求。EDR SaaS可以借助厂商在云端的能力,得到更多的计算分析能力,同时可以借助云端专家和威胁情报的能力,进一步提升安全分析能力。
这一次,SaaS 化智能化的360EDR走在了前面。360是国内最先开始涉足这个方向的安全厂商,并打造了基于“云地双栈EDR”的整体安全解决方案。
尽管说国内不少企业和机关单位对公有云依然保持怀疑态度,但是行业云的发展可以弥补公有云在这些机构中的乏力。因此,行业云、政务云是EDR SaaS未来的巨大市场。一旦相关的行业云、政务云的供应商意识到了EDR SaaS能够给行业内企业带来的巨大安全价值,EDR SaaS的落地也自然水到渠成。
据介绍,360EDR未来还会整合云端能力和终端资源以SaaS化服务形式面向大中小客户输出,增强内网端点威胁防御以及威胁对抗能力,保障各类生产和办公业务平稳持续运行。
360作为EDR的先行者、领导者,一直踩在终端安全守护的脉搏上,面对当前威胁形势的不断发展,勒索软件和其他高级持续威胁攻击,EDR也不是新瓶装旧酒,只有能真正对抗APT攻击的EDR才能抵御风险,因此企业部署正确的EDR解决方案比以往任何时候都来得重要。(雷峰网)