国际权威研究机构Gartner的专业报告素来被业内人士奉为“行业发展的风向标”，近日，360政企安全集团联合Gartner在全球发布了EDR白皮书——《数字时代EDR 技术发展趋势》。白皮书指出：面向数字时代的EDR技术应该致力于真正解决终端所面临的各类高级威胁问题，以云端能力为核心，以安全大数据、威胁情报、高精度异常数据采集等核心技术为支撑，有效规避传统终端安全产品（EPP）检测技术的弊端，打造高维度的威胁检测对抗能力，做到事前预防、事中检测和事后修复。

　　基于多年实战经验积累，360政企安全集团以体系化作战/对抗/攻防思维的新战法为指导，打造了一套以云端安全大脑为核心的数字安全能力框架。在此框架下，构建了面向未来的EDR方案——360终端检测响应系统（简称“360EDR”）。360EDR依靠云端安全大脑在数据、情报、专家等方面的赋能，以及核心安全大脑“运营商”级的分析算力支撑，构建了“云地一体化”架构，以低成本、高效率、易部署的优势满足互联网和隔离网场景下的安全防护需求。

　　下一代EDR演进方向：三大安全能力必不可少

　　2013年，Gartner首次提出了终端威胁检测与响应（Endpoint Detection & Response，EDR）的概念。2014 年，Gartner正式发布 EDR 市场指南，2016-2019 年，EDR连续进入 Gartner 的十大技术之列。

　　根据Gartner 2021年的Hyper Cycle报告中，在终端安全和风险管理领域，EDR是现阶段最成熟、采用范围最广泛的安全解决方案，能有效防止终端被攻击和突破，保证远程访问安全。EDR作为下一代终端安全的核心技术，其重点在于监视终端以检测可疑活动，并捕获可疑数据进行分析以及安全取证和调查，并提供修复建议。

　　根据Gartner的定义，EDR产品必不可少的能力是：

　　1、具备大数据存储及处理能力：安全大数据是支撑构建覆盖面足够广、精确度足够高的检测防御模型，以及发现攻击者痕迹的必要基础。

　　2、具备安全分析能力：需要有各种安全检测分析技术，能对海量多异构数据进行分析，同时结合全网高级威胁情报，确保各类威胁全面可视。

　　3、具备能够部署及使用产品的专业人士：由于产品使用对专业性要求较高，多数企业选择采用驻场或远程托管给专业人士（MSS、MDR服务）。缺少专业人士过硬的技术能力，EDR的安全分析能力将大打折扣。

　　以能力成熟度模型为准绳：360打造“特级标准”EDR产品

　　360基于Gartner对EDR定义的必要能力，从实战层面提出了360 EDR的关键功能，并将EDR能力成熟度模型定义为4个等级：初级是EPP、中级是具备有限的EDR、高级是满足Gartner定义的标准化EDR、特级是SaaS化和智能化的EDR。

　　初级：企业在只有EPP的情况下，直接面对高级威胁是非常脆弱的。不仅无法进行有效防护，还无法检测到高级威胁的攻击，包括攻击的时间点和行为方式等都没有任何记录，企业的数据和网络安全面临着极大风险。

　　中级：在有限的EDR场景下，终端能够将收集到的攻击行为数据以及系统级事件上传到云端。但云端的大数据处理能力和安全分析能力都比较欠缺，面对海量大数据，缺少安全知识和具备专业技能的安全专家，无法有效存储、处理以及利用这些安全大数据。

　　高级：满足Gartner定义的标准EDR，能够检测和调查安全事件，限制终端漏洞利用，提供安全修复指导建议。理想状态下，能够实时检测到安全攻击事件，同时基于云端的数据和安全能力分析，为终端提供快速响应，还具备一定的攻击后修复和清理能力，能够最大程度减少企业用户的损失。

　　特级：SaaS化和智能化的EDR，在云端采用SaaS部署模式，提供安全大数据的存储、数据实时处理、关联分析、并行查询以及秒级响应能力，支撑安全专家随时进行主动的威胁狩猎。同时基于查杀引擎、知识图谱和AI技术实现技术提升，使得EDR越来越智能化，包括对海量安全事件的自动分类、自动分优先级和对攻击行为采取自动响应等，极大地体现了下一代EDR的智能化特点。

　　随着数字时代下网络威胁持续演进，政企用户需要更加全面、主动、以新技术驱动威胁发现的终端防御能力。EDR能力成熟度模型能够帮助政企用户追踪终端安全领域的创新技术和实践，对于应对终端安全的问题和挑战具有重要参考意义。而要具备“特级”EDR产品的能力门槛极高，考验的是前端数据采集能力，后端的安全大数据支撑及分析和策略控制能力，这正是360 EDR的独特优势所在。

　　数字时代终端防御利器：360 EDR如何落地“特级”标准？

　　360 EDR是基于360云端安全大脑EB级数据情报赋能、360核心安全大脑“运营商”级分析算力、超内核级的精准威胁捕获技术、以及360安全团队17年威胁狩猎的实战攻防对抗知识打磨而成的，面向未来的EDR产品。

　　360 EDR能帮助政企用户消除视觉盲点、认清风险的同时，自动化处置藏匿其中的恶意行为，深度追踪溯源取证攻击源头。同时，还支持轻量化部署，打造出一套超智能终端防御模式。具体而言：

　　360 EDR 能为政企用户提供云端轻量级部署（SaaS化）和本地私有化两种部署模式，满足互联网和隔离网双场景的安全防护需求。SaaS 化EDR是未来终端最有效的防护方式，除了天然具备的低成本、高效率、易部署优势，更通过终端各类安全事件和云端大数据的联动，使得针对高级威胁的事件检测和溯源能力大幅提升，实现了安全能力从孤岛式、被动式的单点防护到主动式、全局式的纵深防御的有序演进。对于隔离网终端安全防御场景，360 EDR 提供了本地私有化部署方式，可以把云端能力下沉到本地网络中，实现自运营的 EDR 管理模式。

　　360 EDR 将政企用户的风险处置能力指数级提升，实现了安全事件零损失。仅在 2021 年，360EDR发现并处理了勒索病毒、暴力破解、挖矿木马、WebShell 后门、恶意程序等重大攻击事件数百起；在用户内部风险管控方面，发现并处理了异常邮件发送，数据泄露，账号异常、违规外联等严重违规事件近百起。保障了多家用户关键业务运行安全，关键数据不受影响，从根本上解决了用户对网络安全的隐忧。

　　360 EDR 提供安全风险综合评估、SOAR 自动化响应处置能力，可以实现自动化安全事件闭环处置流程，提高安全事件处置效率和效果。利用 360 核心安全大脑提供的威胁情报自动关联分析能力，360 EDR 让高级威胁不再隐匿，攻击过程中所有关键环节全部可视，防护效果不再模糊，实现防护指标全部量化，让用户业务运行的更安全、更稳定、更高效。

　　此次360政企安全集团联合Gartner发布的白皮书，实际上更加明确了EDR未来的发展方向，面对数字时代高级威胁层出不穷的现状，传统终端安全产品依托本地有限的检测能力往往束手无措，因此EDR需要以更全面的安全分析能力、攻击溯源能力、可视化展现能力、快速响应能力、以及丰富的订阅服务等各类安全能力，帮助政企用户实时检测并防御高级威胁、防范内部风险、保障业务连续、提升处置效率等，这是真正面向未来终端安全防御理念的革新。

　　目前，360 EDR已经凭借云端轻量级部署和超智能分析算力，以SaaS化、智能化的方式服务于广大政企用户，帮助用户大幅度提升安全风险的识别、保护、检测、响应、恢复等各项能力，是真正面向未来的防御新一代终端防护利器！

　　阅读白皮书原文，链接：https://www.gartner.com/technology/media-products/pdf.jsp?g=Qihu-1-297FFQ0W-CHS

　　(刘佳)