隨著數字化發展，網絡安全威脅不斷演進，EDR產品也被期望能夠真正解決終端面臨的APT、0day、勒索病毒等高級威脅。然而實戰證明：傳統的EDR產品面臨很多痛點，無法解決多場景安全性問題，例如傳統EDR產品對海量大數據的存儲和處理能力不足，讓EDR整體威脅識別成為空談；又如不具備從實戰中總結出知識庫和安全分析能力，使得有價值的數據在客戶側難以被有效利用；再如缺少靈活的性能調優和自適應機制，采集大量的端點信息導致消耗終端和服務器的大量寶貴資源。

為了彌補傳統EDR的不足，三六零(行情601360,診股)（601360.SH,下稱“360”）旗下政企安全集團依托360云端安全大腦提供的安全大數據、威脅情報和攻防知識庫等強大能力打造了面向未來的EDR解決方案——360終端檢測響應系統（以下簡稱“360 EDR”）。360 EDR同時具備SaaS化和智能化的特點，可以通過持續監測端點活動行為，對威脅風險進行深度檢測、智能化分析和專業化處理，大幅降低用戶成本，提升部署效率，聯動全網大數據，全方位解決用戶的終端安全問題。

17年終端安全產品領導者

打磨EDR必要能力與關鍵能力

在終端安全產品層面，360擁有17年的終端安全攻防對抗經驗，積累了海量的全網安全大數據，歷經十余年與各種木馬、APT家族、0day漏洞的攻防實戰，持續打磨終端的惡意行為檢測和響應能力，積累了全面細致的終端行為檢測技術，在終端安全產品效果上打造了行業標桿。作為終端安全產品的引領者，360從實戰層面提出了面向未來的EDR產品應該具備的關鍵能力，具體包括：

EDR產品必須具備海量大數據存儲及處理能力。安全大數據是支撐構建覆蓋面足夠廣、精確度足夠高的檢測防御模型，以及發現攻擊者痕跡的必要基礎。在EDR中，端點采集的各類安全行為數據是終端安全防御、檢測和響應的核心依據，是應對APT攻擊的重要手段，通過對多維度高質量的海量大數據進行自動化的、智能化的關聯分析和運營，可以追溯攻擊過程，尋找漏洞源和攻擊源，是有效防御和確保終端安全的有效途徑和方法。

還應具備全面專業的安全分析能力。EDR產品需要有各種安全檢測分析技術，能對海量多異構數據進行分析，同時結合全網APT情報，確保各類威脅全面可視。由于高級威脅攻擊的蛛絲馬跡往往隱蔽在常規軟件運行的類似行為當中，因此檢測需要對終端海量數據(行情603138,診股)進行安全分析，需要具備對歷史數據的反復檢測能力，這些都要求產品具備極強的大數據運算分析能力。

此外還應具備實戰攻防對抗的能力。基于最新漏洞、APT等各種攻擊方式，機器學習和大數據自動化關聯分析固然必不可少，但對收集到的數據集進行人工分析和解釋也十分重要，安全專家會通過安全知識與專業技能，以及基于多年實戰總結的威脅檢測防御模型，進行實時和持續的追蹤分析，并提供特定場景的安全解決方案。

隨著數字時代攻防對抗的不斷演化，以SaaS化和智能化EDR形式幫助企業用戶解決長期安全運營問題成為關鍵能力。通過整合云端能力和終端資源以SaaS化服務形式面向大中小客戶輸出，能增強內網端點威脅防御以及威脅對抗能力，保障各類生產和辦公業務平穩持續運行，已經成為新一代EDR應對高級攻擊可預見的趨勢。

360推出新一代EDR解決方案

多重優勢解決終端安全威脅

作為面向未來的終端安全產品，從構成上360 EDR技術架構分成三個部分：終端代理、EDR Server、360核心安全大腦。其中終端代理是360 EDR的核心組成部分，360 EDR依托于360云端核心安全大腦的持續賦能、360核心安全大腦的安全大數據平臺充分發揮終端代理的采集和處置能力，同時通過EDR Sever的高效數據分析引擎，最終實現對高級威脅的檢測和抑制。

360 EDR在產品化落地過程中具備了如下幾方面突出優勢：基于獨一無二核晶引擎的高質量數據采集能力優勢、基于海量安全大數據的全網視角優勢、完備安全分析能力和檢測能力優勢，以及SaaS化和智能化能力優勢。

優勢1：高質量數據采集能力——基于獨一無二的核晶引擎

數據采集質量，決定了EDR真正的檢測效果。360 EDR使用360十幾年積累的內核分析技術、獨一無二的核晶硬件虛擬化引擎等多種引擎來收集安全數據，一方面實現了多維度的大數據采集，時間維度包括攻擊前、攻擊中、攻擊后，行為維度包括標準行為、差異行為、破壞行為，階段維度包括感染前、感染中，感染后等。另一方面，360 EDR提供超越內核級監控能力，利用CPU的硬件虛擬化機制增強64位系統的安全防護，對進程創建、進程注入、模塊加載、注冊表值寫入、文件寫入等行為進行全面監控，規避了傳統EDR大量依賴Ring3用戶層監控技術的弊端，同時還能直接檢測內核與應用層0day漏洞利用行為，有效對抗APT繞過攻擊。

優勢2：全局視野——海量安全大數據

海量大數據作為360 EDR的持續驅動力，能夠實時同步全球威脅，持續增強對APT攻擊的檢測和感知能力。基于17年實戰經驗，360已匯集了超300億程序文件樣本，22萬億安全日志、90億域名信息、2EB 以上的安全大數據，可瞬間調用超過百萬顆CPU參與計算、檢索和關聯多維度威脅數據。這是360 EDR的核心優勢——基于巨量終端、實戰所獲得的海量安全大數據構造。

優勢3：完備的安全分析能力和檢測能力

沒有“可視”這一前提，任何威脅的處理都是一句空話，而威脅的可視化就是360 EDR的“雷達”能力。這種針對各類攻擊的“雷達”能力，需要強大的安全分析能力支撐。360作為一家具有17年歷史的數字安全領導公司，實現了從ToC到ToB/G的安全能力積累，因此具備了國內最強大的安全分析能力和技術。360 EDR通過各種檢測分析技術，對海量多異構數據進行分析，同時結合全網APT情報，確保了各類威脅全面可視。

優勢4：SaaS化和智能化

除此之外，360 EDR產品還具備實現SaaS化和智能化的能力。一方面，360 EDR可以在云端采用SaaS多租戶的部署模式，為用戶提供安全大數據的存儲、數據實時處理、關聯分析、并行查詢以及秒級響應能力，支撐安全專家隨時進行主動的威脅狩獵。另一方面，基于查殺引擎、知識圖譜和AI技術帶來的技術提升，360 EDR也越來越智能化，包括實現對海量安全事件的自動分類、自動分優先級和對攻擊行為采取自動響應等。

總體而言，360 EDR依靠360云端安全大腦在數據、情報、專家的賦能，以及云地一體的架構，能夠實現SaaS化和智能化，為政企用戶提供最強大、最全面的安全分析能力、攻擊溯源能力、可視化展現能力、快速響應能力、聯防聯動能力、定制化安全運營能力以及豐富的訂閱服務，幫助用戶大幅度提升安全風險的識別、保護、檢測、響應、恢復等各項能力。

關鍵詞： EDR發布助力政企用戶構建SaaS化、智能化防御體系