ISC 2022 | 360潘剑锋:真正的EDR是“看见”威胁的眼睛
2022-08-01
“真正的EDR是看见威胁的眼睛,需要具备看见的能力。” 360集团副总裁兼首席科学家潘剑锋在第十届互联网安全大会(ISC 2022)未来峰会上谈到。
7月31日,第十届互联网安全大会(ISC 2022)未来峰会在新一代聚会元宇宙——N世界重磅启幕。众多行业领袖、安全智囊、技术专家齐聚一堂,围绕“护航数字文明,开创数字安全新时代”的主题,共探前瞻技术和战略发展。
数字时代大量设备入网、业务和数据上云背后,是终端作为数字化基础节点面临对抗加剧、安全挑战严峻的现状。
从业务环境来看,远程办公越来越普遍,用户使用各类终端远程访问企业网络,企业数据和员工已经走出传统边界;从技术挑战来看,终端安全面临的APT、0day攻击和勒索病毒等各类攻击技术不断升级;从国际形势来看,数字空间的斗争已成大国博弈焦点,网络战愈演愈烈。
种种挑战下,新的终端安全解决方案已经从主要应对已知威胁的终端保护软件EPP进化为主动式端点安全解决方案EDR,通过记录存储的安全事件、利用后台更复杂的分析系统、以及为安全专家提供运营分析平台,来增强检测能力、增加调查溯源功能,成为应对高级威胁的有效手段。
“看见是检测的基础。只有快速、完整地理解网络攻击事件发生的全部情节,跟踪攻击事件每一步,才能以有效的方式做出响应。真正的EDR是看见威胁的眼睛。” 潘剑锋表示,想要看见高级威胁攻击、勒索攻击、供应链攻击等各类威胁事件,需要具备全球视野、海量云端大数据的存储及处理能力、高质量事件的捕获能力、AI分析技术及实战经验丰富的安全专家团队。
360是唯一具备看见全网安全态势能力的公司,面向数字时代打造了新一代EDR解决方案,能够帮助政企单位第一时间看见威胁,感知风险,实现快速响应、抵御攻击。是数字时代终端安全防御的真正利器。
具体而言,作为首创“免费安全”模式的公司,360通过全球15亿终端覆盖,能够实时感知全球全网安全事件。360也是全球首家云原生公司,将安全数据汇聚至云端分析处理,积累超2EB安全大数据,真正实现了数据云端打通和协作。
面对浩如烟海的安全大数据,360能瞬间调用百万颗以上CPU参与运算,具备超大规模安全数据存储、处理和检索技术。为了进一步提升效率,360基于充足的训练数据,应用人工智能方法实现自动化分析、筛选和关联,快速发现攻击线索。此外,360EDR的背后是一支持续17年与国家级高级威胁组织攻防对抗的安全专家团队,能对数据集进行高效的人工分析并提供威胁解决方案。
最后,终端数据采集与分析能力决定了EDR的检测溯源效果。360 EDR在高精度与可信度方面具备独一无二的能力。基于近20年在操作系统和安全攻防领域的技术积累,360 EDR实现了多维度大数据采集能力,能直接检测内核与应用层0day漏洞利用行为,有效对抗高级威胁绕过攻击。
“有一个说法是,摄像头应该放在攻击者碰不到的地方。也就是说,真正的EDR必须有更高维度的探针,360 EDR基于冰刃虚拟机的探针可以从高于内核的维度来采集安全事件,是国内唯一默认为上亿用户开启的虚拟机探针,确保了事件的高可信度。”潘剑锋表示。
终端安全往往被视为最后一道防线,面对穷凶极恶的攻击者,终端防御方案“木桶效应”明显。EDR必须同时在全球视野、云端分析能力、高级端点能力、AI分析技术、实战专家五个方面具备顶尖实力,才能真正解决数字时代终端高级威胁防护难题,实现安全能力从被动式单点防护到主动式纵深防御的演进。