威胁情报驱动：每一个端点都应该得到最好的守护

现阶段，企业的端点资产越来越多，其中脆弱的端点很容易成为黑客突破企业防线的关键。随着近年针对特定地域、特定行业发起的高级威胁事件持续曝光，APT攻击开始被大家所熟知。

传统的杀毒防护解决方案主要基于历史已知威胁的对抗经验，依靠已知样本来识别恶意文件、URL等相关信息，主要针对样本静态代码特征进行对比分析，同时依靠特征库的更新来发现较新的恶意威胁。当高级威胁通过增加混淆、沙盒对抗、0day漏洞利用等技术后，攻击者可以轻松绕过现有的防护体系进行进一步入侵。

由于国内大型的政企客户多是隔离网环境，数据相对封闭，安全厂商很难针对企业内部数据进行高级威胁分析，并做出快速的威胁检测与响应。

因此，采取主动防御的方式保护端点安全越来越有必要，这种方法应该兼备实时监控、检测、高级威胁分析及响应等多种功能。在2014年，Gartner就将端点检测与响应技术（EDR）放在了十大网络安全技术之中，并将其列入五种检测高级威胁的技术之一。

值得注意的是，在2016年和2017年，EDR同样入选了榜单。Gartner预测，到2020年，80%的大型企业，25%的中型企业和10%的小型企业将投资EDR能力。

早在2016年，360企业安集团就推出了EDR产品——360终端检测响应系统（以下简称360 EDR），以弥补传统EPP产品的不足。

360 EDR围绕着检测能力与响应能力而设计，并与360威胁情报中心进行联动，将威胁安全情报落地到360 EDR产品中，帮助客户解决安全对抗经验不断更新的问题，同时基于终端的背景数据、恶意软件的行为以及整体的高级威胁的生命周期角度进行全面的检测和响应,进行快速、自动化的阻止、补救、取证，为终端提供真正有效的防护。

通常，一次高级威胁定位是从恰当的线头开始的，线头包括文件MD5、运行命令参数、IP、域名等。而线头的来源既可以是企业内部运行规则，也可以是360威胁情报中心推送的威胁情报。

360 EDR通过数据采集引擎，持续采集终端各类动态行为数据与静态属性信息,并上报到360硬件大数据分析平台，结合威胁情报进行自动化分析判断，进而精确定位到沦陷终端。通过360 EDR的进程树还原功能，对沦陷终端进行追本溯源，包括攻击步骤和影响范围，还原攻击者的整个入侵过程。

与此同时，对未知威胁的捕猎也是EDR产品的一个重要功能方向。基于所有终端采集数据，360 EDR提供了丰富的数据聚合与筛选语法，帮助分析人员快速获取到终端的异常行为数据，再结合上下文数据以及360威胁情报推送的IOC信息，最终实现对威胁的确定。