360潘剑锋谈“互联网安全”:真正的EDR是“看见”威胁的眼睛

【环球网科技报道 记者 郑湘琪】“看见是检测的基础。真正的EDR是看见威胁的眼睛,需要具备看见的能力。”日前,在第十届互联网安全大会(ISC 2022)未来峰会期间,360集团副总裁兼首席科学家潘剑锋在接受记者采访时表示。

如今,在数字经济时代,快速发展的大数据、云计算,无处不在的连接、应用全方面赋能人们的生活。但与此同时,全新的网络安全挑战也层出不穷。

在潘剑锋看来,数字时代大量设备入网、业务和数据上云背后,是终端作为数字化基础节点面临对抗加剧、安全挑战严峻的现状。

从业务环境来看,远程办公越来越普遍,用户使用各类终端远程访问企业网络,企业数据和员工已经走出传统边界;从技术挑战来看,终端安全面临的APT、0day攻击和勒索病毒等各类攻击技术不断升级。

潘剑锋认为,在上述挑战下,新的终端安全解决方案已经从主要应对已知威胁的终端保护软件EPP进化为主动式端点安全解决方案EDR,通过记录存储的安全事件、利用后台更复杂的分析系统、以及为安全专家提供运营分析平台,来增强检测能力、增加调查溯源功能,成为应对高级威胁的有效手段。

“看见是检测的基础。只有快速、完整地理解网络攻击事件发生的全部情节,跟踪攻击事件每一步,才能以有效的方式做出响应。真正的EDR是看见威胁的眼睛。” 潘剑锋强调,想要看见高级威胁攻击、勒索攻击、供应链攻击等各类威胁事件,需要具备全球视野、海量云端大数据的存储及处理能力、高质量事件的捕获能力、AI分析技术及实战经验丰富的安全专家团队。

据潘剑锋介绍,作为具备看见全网安全态势能力的公司,360面向数字时代打造了新一代EDR解决方案,能够帮助政企单位第一时间看见威胁,感知风险,实现快速响应、抵御攻击,成为数字时代终端安全防御的利器。

具体而言,360首创“免费安全”模式,通过全球15亿终端覆盖,实时感知全球全网安全事件。同时,作为一家云原生安全公司,360将安全数据汇聚至云端分析处理,积累了超2EB安全大数据,真正实现了数据云端打通和协作。

潘剑锋还告诉记者,面对安全大数据,360能瞬间调用百万颗以上CPU参与运算,具备超大规模安全数据存储、处理和检索技术。为了进一步提升效率,360基于充足的训练数据,应用人工智能方法实现自动化分析、筛选和关联,可快速发现攻击线索。此外,360EDR背后的安全专家团队能对数据集进行高效的人工分析并提供威胁解决方案。

值得一提的是,终端数据采集与分析能力决定了EDR的检测溯源效果。在高精度与可信度方面,360 EDR基于近20年在操作系统和安全攻防领域的技术积累,实现了多维度大数据采集能力,能直接检测内核与应用层0day漏洞利用行为,有效对抗高级威胁绕过攻击。

潘剑锋表示,“有一个说法是,摄像头应该放在攻击者碰不到的地方。也就是说,真正的EDR必须有更高维度的探针。而360 EDR基于冰刃虚拟机的探针可以从高于内核的维度来采集安全事件,是国内唯一默认为上亿用户开启的虚拟机探针,确保了事件的高可信度。”

事实上,终端安全往往被视为最后一道防线,潘剑锋坦言,面对攻击者,终端防御方案“木桶效应”明显。“EDR必须同时在全球视野、云端分析能力、高级端点能力、AI分析技术、实战专家五个方面具备顶尖实力,才能真正解决数字时代终端高级威胁防护难题,实现安全能力从被动式单点防护到主动式纵深防御的演进。”

相关新闻

    推荐阅读