360 EDR三大优势高效应对网络威胁
2021-01-13沈雅
沈雅
伴随着数字化转型的稳步推进,各行各业在享受数字化变革红利的同时,也面临着更加严峻的安全挑战。网络威胁由简单的个体炫技逐渐演变为有组织的网络犯罪和有情报支持的高级网络攻击,传统被动式、单一化的防御产品已疲于应对。
近日,360旗下的政企安全集团依托360安全大脑在安全大数据、人工智能分析和攻击溯源等功能,推出360新一代终端检测响应系统(以下简称360 EDR)。基于十余年的SaaS版EDR实践服务经验,360 EDR通过持续监测终端活动行为、检测安全风险、深度调查威胁风险和提供补救响应手段等方式,补充了传统终端安全产品防御高级威胁能力的不足,能够在对抗高级威胁中压缩攻击者的攻击时间,减少高级威胁最终达到目的可能性,以获得更快速、高效的防御效果。
三大产品优势
2013年,Gartner首次提出了终端威胁检测与响应的概念,被认为是一种面向未来的终端安全解决方案,不同于传统的签名检测或启发式技术,EDR通过观察行为将检测技术提升到新的层次。此后连续多年,EDR都被Gartner列为十大技术之一。
360终端安全产品自2011年发布云主防体系以来,历经十余年与各种木马、APT家族的攻防实战,持续打磨终端的恶意行为检测和响应能力,积累了全面细致的终端行为检测技术,在产品效果上打造了行业标杆。2021年,累积拦截36万次钓鱼攻击、1 200万次僵尸网络攻击、38万次网页漏洞攻击、上万勒索攻击IP、数千万次服务器弱口令扫描等,已经成为解决数字化安全问题的重要利器。
此次发布的360 EDR是威胁情报驱动的新一代终端安全产品,采用了完整的终端安全监测方案,具备了精准检测、快速溯源和高效运维三大产品优势。
精准检测
360 EDR针对终端实时提供的威胁大数据日志与告警,融合机器学习技术,贴合用户业务场景,不断优化行为检测与响应模型,持续提升监测能力和精度,迅速发现和响应企业遇到的安全风险。
快速溯源
360 EDR核心检测中心通过各种检测分析技术,对海量多异构数据进行分析,确保了各类威胁全面可视和快速溯源。
高效运维
360 EDR同步支持通过手动、定时触发自动化流程,提高安全威胁处置效率,并结合数据分析、图表分析等方式,可全面呈现可视化的主机威胁攻击链路图,帮助用户在复杂的网络内实现风险主机的秒级定位,大大降低了运维成本。
化被动为主动敏锐“嗅探”高级威胁
从“震网”病毒到乌克兰“电力门事件”,从“棱镜门”到“永恒之蓝”事件,以及針对我国的“蔓灵花”“海莲花”“蓝宝菇”APT攻击事件等,充分说明了高级网络攻击大多会利用操作系统上未公开的漏洞,通过以长期潜伏、持续渗透和隐蔽性更强的攻击手段,实现针对各类终端设备的“爆破”。而传统基于已有经验或者已知特征进行被动式防御的终端安全防护软件,面对0day漏洞攻击往往会失效。
为降低国家、城市、行业和企事业等未知高级威胁,360 EDR打造了集高级攻击发现、横向渗透防护、无文件攻击防护及软件劫持防护于一体的全方位高级威胁防护壁垒。
其中在高级攻击发现方面,360 EDR集态势感知、溯源分析于一体,以细粒度的动态行为识别主动发现APT高级持续攻击行为,全方位应对未知网络威胁。在横向渗透防护方面,360 EDR具备横向渗透防护功能,可通过远程服务创建、远程计划任务创建、远程注册表篡改、远程WMI命令执行、远程COM组件调用和远程系统工具进程启动等六大防御举措,在网络攻击渗入内网之前,全域洞察阻断威胁发生。在无文件攻击防护方面,360 EDR部署多项安全阻断策略,建立深层防护体系,实时阻断恶意代码注入内存,在网络攻击之前,为广大用户筑起无文件威胁防护的“隔离墙”;在软件劫持防护方面,360 EDR具备多层防御壁垒,能第一时间感知威胁攻击,从被动防御到主动防御,实现全方位、全天候的守护网络空间。
360安全大脑助力威胁定位溯源能力跃升
360 EDR的全面威胁检测分析与溯源能力离不开360云端安全大脑提供的安全大数据、威胁情报和专家服务持续赋能。基于16年实战经验,360积累了总存储数量超2 EB的安全大数据,以及全球独有的实战攻防样本库,样本文件数总量已达到300亿,炼就全球顶尖的网络攻防专家团队。
360 EDR利用流行APT的行为特征和环境特征,对实时行为数据进行深度关联分析与人工狩猎排查,可精准定位溯源各类网络威胁。截止目前,共助力360捕获境外46个国家级黑客,监测到3 600多次攻击,涉及2万余个攻击目标。
数字化转型浪潮下,安全问题已升级为大数据安全、云安全、物联网安全、新终端安全、网络通信安全、供应链安全和应用安全等复杂的安全挑战。而EDR以其独特优势,成为解决终端安全痛点的主要手段。作为数字化安全的领导者,360政企安全集团此次推出新一代终端检测响应系统,将为国家、城市、行业、企事业建立起更加贴合业务需求、高效应对高级网络威胁的安全能力,提升了我国网络空间的综合防御水平。