12月29日，三六零（股票代碼：601360.SH）旗下的360政企安全集團正式發(fā)布360高級持續(xù)性威脅預警系統(tǒng)全新版本（R5版本）。該版本重點針對攻防實戰(zhàn)場景中面臨的攻擊檢測難、告警誤報率高、處置效率低等關鍵問題提出相應的解決方案，同時新版本依托360云端安全大腦在威脅情報數(shù)據(jù)、樣本數(shù)據(jù)、特征數(shù)據(jù)、全景攻防知識庫等方面持續(xù)化賦能，幫助客戶有效提升高級網絡威脅的發(fā)現(xiàn)分析能力及響應處置效率。 

????

高級威脅攻擊打開“潘多拉魔盒”

360NDR應運而生 

數(shù)字化浪潮在催生巨大生產力的同時，也打開了網絡攻擊威脅的“潘多拉魔盒”。針對數(shù)字系統(tǒng)的各類網絡攻擊（尤其是APT攻擊）持續(xù)對我國黨政機關、國防軍工、科研院所等核心單位的業(yè)務運行及敏感數(shù)據(jù)形成威脅。360政企安全集團發(fā)布的《2021年上半年全球高級持續(xù)性威脅（APT）研究報告》顯示，僅今年上半年，360就捕獲到12個境外APT組織對我國重點領域發(fā)起攻擊。

此外，從近年來各類實戰(zhàn)型攻防演練和APT事件來看，攻防雙方開啟了全面對抗的時代。傳統(tǒng)“被動式”、“單一化”的防御體系對有情報支持的新型攻擊網絡攻擊防御已經力不從心，面臨著攻擊者大量使用自研工具逃避現(xiàn)有檢測技術，攻擊檢測不全面；各類安全告警信息含有大量重復報警和誤報警，事件分效率及告警準確率低；安全威脅無法及時響應處理，安全運營效率低等痛點。

作為數(shù)字安全的領導者，360政企安全集團很早就意識到了未來APT攻擊對數(shù)字化建設和運營的潛在威脅，并多年來對全球范圍的APT組織進行持續(xù)跟蹤和研究，同時利用網絡流量分析，結合行為分析、機器學習、全球威脅情報等創(chuàng)新技術打造了新一代NDR系統(tǒng)，通過實現(xiàn)網絡攻擊事件的檢測告警、分析確認、聯(lián)防聯(lián)動、全局監(jiān)測等，幫助客戶建立針對網絡高級威脅的監(jiān)測和響應能力。

四大創(chuàng)新技術 重構高級威脅應對能力

360政企安全集團NDR產品負責人表示，此次發(fā)布的新版本以實戰(zhàn)對抗為目標，在云端持續(xù)賦能、本地響應聯(lián)動、體系化攻擊檢測、場景化分析、海量告警分析確認、等方面都取得了突破性改進。

1. 云端賦能、本地聯(lián)動

云端持續(xù)賦能：360NDR全面的高級威脅檢測分析與溯源能力離不開360云端安全大腦提供的安全大數(shù)據(jù)、威脅情報和專家服務持續(xù)賦能。360政企安全集團擁有超2EB的安全大數(shù)據(jù)、全球獨有的實戰(zhàn)攻防樣本庫、300億樣本文件，通過攻防情報數(shù)據(jù)、特征數(shù)據(jù)、樣本數(shù)據(jù)和攻防全景知識庫等賦能后，360NDR全面實現(xiàn)對攻擊組織的追蹤溯源，基于EB級別數(shù)據(jù)所提煉的威脅情報、檢測規(guī)則，模型訓練等正是打磨出360NDR差異化能力的基礎。

本地響應聯(lián)動：360NDR通過與防火墻、態(tài)勢感知、終端安全等本地安全產品的聯(lián)動響應，實現(xiàn)對高級威脅的自動化分析和閉環(huán)處置，有效提升事件響應和處置效率，如聯(lián)動防火墻實現(xiàn)攻擊源阻斷；聯(lián)動360終端安全防護系統(tǒng)實現(xiàn)單點檢測、網絡檢測溯源、單點處置閉環(huán)等。

2. 體系化攻擊檢測

新版本以ATT&CK技戰(zhàn)術體系為基礎，在360威脅情報、360漏洞平臺等能力賦能下，持續(xù)進行攻擊檢測能力覆蓋和擴展。不僅支持數(shù)百種以上主流黑客工具的識別、典型遠程控制軟件及代理攻擊異常行為的識別、千種木馬家族遠控行為，同時在虛擬化沙箱檢測、隱蔽隧道檢測、AI算法等未知威脅檢測方面均已達到國內領先水平。

??

3. 場景化分析

基于360EB級別的安全數(shù)據(jù)，360新一代NDR通過對攻擊者或受害者IP進行數(shù)據(jù)匯聚分析，形成數(shù)十類異常訪問場景和行為分析，如應用弱口令行為、內對外/外對內的非法外聯(lián)行為、郵件場景化檢測、加密通信異常等。同時支持通過基于時間線和KillChain的可視化分析模型，將相關告警進行關聯(lián)分析來分析確認攻擊行為及影響范圍。 

??

圖：時間序列分析                 

??

圖：KillChain攻殺鏈分析

4. 攻擊告警分析確認

新增會話級攻擊確認能力。系統(tǒng)支持全量攻擊告警的自動分析確認，對每條告警結果進行是否成功的分析和標注，同時對每條告警的攻擊特征進行自動化可視，不僅有效提升安全告警準度、降低誤報率，還可以提升分析優(yōu)先級和易用性，提升分析效率。 

據(jù)360政企安全集團消息，360NDR新版本已正式對外發(fā)售，開始服務于政府、金融、能源、電力、科研、監(jiān)管等重要行業(yè)用戶。未來，360NDR將不斷完善攻防實戰(zhàn)對抗和自動化、智能化能力，為政企用戶的數(shù)字化轉型提供安全底座。