【51CTO.com原創(chuàng)稿件】通過防火墻或者防病毒軟件來把惡意攻擊攔截在企業(yè)環(huán)境之外的防疫手段顯然已經(jīng)不足以應對當今復雜的安全環(huán)境。因為大多數(shù)的黑客都能夠利用定制的惡意軟件繞過傳統(tǒng)的防毒解決方案，所以，采取主動防御的方式保護端點安全越來越有必要。

EDR技術憑借檢測更為深入、不間斷性、實時可視化程度更高等強大的功能，受到了眾多企業(yè)的青睞。在國內，EDR產(chǎn)品經(jīng)過五年的發(fā)展，已經(jīng)成為各大安全廠商和新興安全公司持續(xù)發(fā)力的方向。致力于成為企業(yè)客戶的威脅發(fā)現(xiàn)和響應專家的微步在線，于近日正式發(fā)布了主機威脅檢測響應產(chǎn)品OneEDR，與微步在線旗下基于網(wǎng)絡流量檢測的威脅感知平臺TDP、互聯(lián)網(wǎng)安全接入服務OneDNS、本地多源威脅情報管理平臺TIP等共同構成微步在線的“云+流量+端點”威脅檢測響應產(chǎn)品矩陣。

那么，微步在線的OneEDR有何不同呢？

重磅推出OneEDR：邁向XDR的一大步

據(jù)OneEDR的產(chǎn)品負責人介紹，OneEDR 是一款關注于主機入侵檢測的新型檢測與響應平臺，基于輕量級的終端采集和分析Agent，通過收集終端的網(wǎng)絡、進程、文件等行為事件，在平臺側利用威脅情報，文件檢測與行為分析等技術手段，實現(xiàn)對主機入侵行為的精準發(fā)現(xiàn)、攻擊路徑自動化回溯，并支持對終端海量行為進行檢索，同時支持對惡意入侵行為進行響應阻斷。

的確，近年來隨著網(wǎng)絡規(guī)模不的斷擴大，業(yè)務服務部署模式日益復雜，傳統(tǒng)IDC 機房、私有云、公有云通常在一個企業(yè)中以混合結構出現(xiàn)。且云架構帶來的多層的工作負載環(huán)境產(chǎn)生了數(shù)以萬計的服務器，伴隨而來的問題便是保障服務器主機安全的難度增大。服務器主機作為企業(yè)的核心資產(chǎn)，沒有服務器主機安全就沒有業(yè)務安全。無論是云主機還是傳統(tǒng)IDC 中的實體服務器，其安全保障受到越來越多的關注，已經(jīng)成為企業(yè)安全的“最后一道防線”。服務器失守帶來的安全失控，不僅影響潛在的系統(tǒng)穩(wěn)定性，導致業(yè)務運行可能出現(xiàn)終端，更有可能帶來信息泄露，進一步導致經(jīng)濟和品牌價值的損失。對主機入侵的實時檢測和快速
響，是目前企業(yè)安全建設的重要方向，在傳統(tǒng)殺毒之外，更加有效的針對服務器設計的EDR是當前安全環(huán)境下的大勢所趨。這也正是微步在線推出OneEDR產(chǎn)品的初衷。

目前OneEDR能夠全面檢測Webshell、反彈Shell、木馬后門、主機提權、僵尸網(wǎng)絡、挖礦威脅、勒索病毒、虛假內核、遠控工具、惡意環(huán)境變量、漏洞利用、惡意進程、賬號爆破等多種幾十種威脅類型，全面檢測已知和未知的攻擊和威脅。同時能將安全運營人員的處置記錄作為反饋信息，利用機器學習算法持續(xù)優(yōu)化、自適應更新檢測算法，打造專屬該企業(yè)的檢測引擎系統(tǒng)，有針對性地加強企業(yè)檢測能力。

值得一提的是，OneEDR和微步在線的流量檢測響應產(chǎn)品TDP具備深度結合的能力，不僅能讓安全運維人員“看到”終端和流量中的網(wǎng)絡威脅，還能夠把終端和流量中獲得的威脅信息統(tǒng)一管理、分析，聚合出安全事件的完整攻擊鏈。

同時，OneEDR占用戶網(wǎng)絡和軟硬件資源極小。OneEDR對用戶Agent CPU消耗控制在1%以下，內存消耗控制在70MB，同時在終端上應用數(shù)據(jù)過濾和壓縮技術，可控制采集數(shù)據(jù)量平均在每天10M左右，對CPU性能和網(wǎng)絡帶寬的影響極小。據(jù)介紹，目前，OneEDR能夠精準發(fā)現(xiàn)入侵，威脅事件檢出率高達99%，情報引擎準確率達99.9%。

內核級的結合，打造“端點+流量”的檢測響應模式

針對“無效報警太多的痛點”，微步在線正式對外發(fā)布旗下威脅感知平臺Threat Detection Platform（TDP）的新版本，在該版本中，基于流量做檢測響應的TDP能夠實現(xiàn)與微步在線旗下終端檢測響應產(chǎn)品OneEDR的內核級結合，形成“端點+流量”的檢測響應模式。

據(jù)微步在線技術合伙人、TDP產(chǎn)品負責人趙林林介紹，微步在線將TDP與OneEDR結合，是將網(wǎng)絡流量監(jiān)測和端點監(jiān)測兩部分聯(lián)動，可以相互告知已獲得的告警和敏感行為。 “一般NDR和EDR的聯(lián)動，只能做到兩者互為彼此的眼睛，但卻無法使用同一個大腦來分析”。而微步在線實現(xiàn)的聯(lián)動，不僅能讓兩者共享數(shù)據(jù)，還能在分析層面參照兩方面的信息，其背后正是微步在線強大的“云安全大腦”——基于海量數(shù)據(jù)和分析的情報引擎。

[[390320]]

微步在線技術合伙人、TDP產(chǎn)品負責人趙林林

全面邁向XDR

在Gartner《Innovation Insight for Extended Detection and Response》報告中，XDR被描述為安全威脅檢測和事件響應SaaS工具，它從終端、流量、蜜罐、網(wǎng)關等處發(fā)現(xiàn)網(wǎng)絡威脅，并與云端威脅情報、簽名、規(guī)則庫、特征庫等數(shù)據(jù)進行聯(lián)動比對，通過機器學習等技術，過濾數(shù)據(jù)噪聲，減少誤報和漏報，將告警自動聚合為完整安全事件，并實現(xiàn)一鍵處置。

目前，微步在線旗下的基于網(wǎng)絡流量檢測的威脅感知平臺TDP、主機威脅檢測響應產(chǎn)品OneEDR、互聯(lián)網(wǎng)安全接入服務OneDNS、本地多源威脅情報管理平臺TIP等產(chǎn)品，共同構成微步在線的“云+流量+端點”威脅檢測響應產(chǎn)品矩陣，為全面邁向XDR打下了堅持基礎。

微步在線創(chuàng)始人兼CEO薛鋒表示：“為應對未知的網(wǎng)絡安全威脅，微步在線正在邁向“XDR”，“XDR”代表了一種檢測技術的大融合，因為在任何一個單點上，看到的東西都是不全面的，有失偏頗的。所以“XDR”的“X”代表了拓展，它能把很多不同方向東西匯集在一起進行全面檢測。這個是未來的大的方向。”

微步在線創(chuàng)始人兼CEO薛鋒

3月17日，微步在線宣布完成E輪5億元人民幣融資，此前，微步在線于2020年9月完成了3億元人民幣的D輪融資。僅僅半年時間，完成兩次融資，金額累積達8億。在2017-2020年，微步在線連續(xù)三次入選Gartner《全球威脅情報市場指南》。這些亮眼的成績，也是對微步在線對未來安全趨勢的把控、產(chǎn)品的打磨，以及商業(yè)模式、市場布局的肯定。

【51CTO原創(chuàng)稿件，合作站點轉載請注明原文作者和出處為51CTO.com】