360潘劍鋒談“互聯網安全”：真正的EDR是“看見”威脅的眼睛

【環球網科技報道 記者 鄭湘琪】“看見是檢測的基礎。真正的EDR是看見威脅的眼睛，需要具備看見的能力。”日前，在第十屆互聯網安全大會（ISC 2022）未來峯會期間，360集團副總裁兼首席科學家潘劍鋒在接受記者採訪時表示。

如今，在數字經濟時代，快速發展的大數據、雲計算，無處不在的連接、應用全方面賦能人們的生活。但與此同時，全新的網絡安全挑戰也層出不窮。

在潘劍鋒看來，數字時代大量設備入網、業務和數據上雲背後，是終端作為數字化基礎節點面臨對抗加劇、安全挑戰嚴峻的現狀。

從業務環境來看，遠程辦公越來越普遍，用户使用各類終端遠程訪問企業網絡，企業數據和員工已經走出傳統邊界；從技術挑戰來看，終端安全面臨的APT、0day攻擊和勒索病毒等各類攻擊技術不斷升級。

潘劍鋒認為，在上述挑戰下，新的終端安全解決方案已經從主要應對已知威脅的終端保護軟件EPP進化為主動式端點安全解決方案EDR，通過記錄存儲的安全事件、利用後台更復雜的分析系統、以及為安全專家提供運營分析平台，來增強檢測能力、增加調查溯源功能，成為應對高級威脅的有效手段。

“看見是檢測的基礎。只有快速、完整地理解網絡攻擊事件發生的全部情節，跟蹤攻擊事件每一步，才能以有效的方式做出響應。真正的EDR是看見威脅的眼睛。” 潘劍鋒強調，想要看見高級威脅攻擊、勒索攻擊、供應鏈攻擊等各類威脅事件，需要具備全球視野、海量雲端大數據的存儲及處理能力、高質量事件的捕獲能力、AI分析技術及實戰經驗豐富的安全專家團隊。

據潘劍鋒介紹，作為具備看見全網安全態勢能力的公司，360面向數字時代打造了新一代EDR解決方案，能夠幫助政企單位第一時間看見威脅，感知風險，實現快速響應、抵禦攻擊，成為數字時代終端安全防禦的利器。

具體而言，360首創“免費安全”模式，通過全球15億終端覆蓋，即時感知全球全網安全事件。同時，作為一家雲原生安全公司，360將安全數據匯聚至雲端分析處理，積累了超2EB安全大數據，真正實現了數據雲端打通和協作。

潘劍鋒還告訴記者，面對安全大數據，360能瞬間調用百萬顆以上CPU參與運算，具備超大規模安全數據存儲、處理和檢索技術。為了進一步提升效率，360基於充足的訓練數據，應用人工智能方法實現自動化分析、篩選和關聯，可快速發現攻擊線索。此外，360EDR背後的安全專家團隊能對數據集進行高效的人工分析並提供威脅解決方案。

值得一提的是，終端數據採集與分析能力決定了EDR的檢測溯源效果。在高精度與可信度方面，360 EDR基於近20年在操作系統和安全攻防領域的技術積累，實現了多維度大數據採集能力，能直接檢測內核與應用層0day漏洞利用行為，有效對抗高級威脅繞過攻擊。

潘劍鋒表示，“有一個説法是，攝像頭應該放在攻擊者碰不到的地方。也就是説，真正的EDR必須有更高維度的探針。而360 EDR基於冰刃虛擬機的探針可以從高於內核的維度來採集安全事件，是國內唯一默認為上億用户開啓的虛擬機探針，確保了事件的高可信度。”

事實上，終端安全往往被視為最後一道防線，潘劍鋒坦言，面對攻擊者，終端防禦方案“木桶效應”明顯。“EDR必須同時在全球視野、雲端分析能力、高級端點能力、AI分析技術、實戰專家五個方面具備頂尖實力，才能真正解決數字時代終端高級威脅防護難題，實現安全能力從被動式單點防護到主動式縱深防禦的演進。”