12月29日，三六零（股票代碼：601360.SH）旗下的360政企安全集團(tuán)正式發(fā)布360高級(jí)持續(xù)性威脅預(yù)警系統(tǒng)全新版本（R5版本）。該版本重點(diǎn)針對(duì)攻防實(shí)戰(zhàn)場(chǎng)景中面臨的攻擊檢測(cè)難、告警誤報(bào)率高、處置效率低等關(guān)鍵問(wèn)題提出相應(yīng)的解決方案，同時(shí)新版本依托360云端安全大腦在威脅情報(bào)數(shù)據(jù)、樣本數(shù)據(jù)、特征數(shù)據(jù)、全景攻防知識(shí)庫(kù)等方面持續(xù)化賦能，幫助客戶有效提升高級(jí)網(wǎng)絡(luò)威脅的發(fā)現(xiàn)分析能力及響應(yīng)處置效率。 

????

高級(jí)威脅攻擊打開(kāi)“潘多拉魔盒”

360NDR應(yīng)運(yùn)而生 

數(shù)字化浪潮在催生巨大生產(chǎn)力的同時(shí)，也打開(kāi)了網(wǎng)絡(luò)攻擊威脅的“潘多拉魔盒”。針對(duì)數(shù)字系統(tǒng)的各類(lèi)網(wǎng)絡(luò)攻擊（尤其是APT攻擊）持續(xù)對(duì)我國(guó)黨政機(jī)關(guān)、國(guó)防軍工、科研院所等核心單位的業(yè)務(wù)運(yùn)行及敏感數(shù)據(jù)形成威脅。360政企安全集團(tuán)發(fā)布的《2021年上半年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告》顯示，僅今年上半年，360就捕獲到12個(gè)境外APT組織對(duì)我國(guó)重點(diǎn)領(lǐng)域發(fā)起攻擊。

此外，從近年來(lái)各類(lèi)實(shí)戰(zhàn)型攻防演練和APT事件來(lái)看，攻防雙方開(kāi)啟了全面對(duì)抗的時(shí)代。傳統(tǒng)“被動(dòng)式”、“單一化”的防御體系對(duì)有情報(bào)支持的新型攻擊網(wǎng)絡(luò)攻擊防御已經(jīng)力不從心，面臨著攻擊者大量使用自研工具逃避現(xiàn)有檢測(cè)技術(shù)，攻擊檢測(cè)不全面；各類(lèi)安全告警信息含有大量重復(fù)報(bào)警和誤報(bào)警，事件分效率及告警準(zhǔn)確率低；安全威脅無(wú)法及時(shí)響應(yīng)處理，安全運(yùn)營(yíng)效率低等痛點(diǎn)。

作為數(shù)字安全的領(lǐng)導(dǎo)者，360政企安全集團(tuán)很早就意識(shí)到了未來(lái)APT攻擊對(duì)數(shù)字化建設(shè)和運(yùn)營(yíng)的潛在威脅，并多年來(lái)對(duì)全球范圍的APT組織進(jìn)行持續(xù)跟蹤和研究，同時(shí)利用網(wǎng)絡(luò)流量分析，結(jié)合行為分析、機(jī)器學(xué)習(xí)、全球威脅情報(bào)等創(chuàng)新技術(shù)打造了新一代NDR系統(tǒng)，通過(guò)實(shí)現(xiàn)網(wǎng)絡(luò)攻擊事件的檢測(cè)告警、分析確認(rèn)、聯(lián)防聯(lián)動(dòng)、全局監(jiān)測(cè)等，幫助客戶建立針對(duì)網(wǎng)絡(luò)高級(jí)威脅的監(jiān)測(cè)和響應(yīng)能力。

四大創(chuàng)新技術(shù) 重構(gòu)高級(jí)威脅應(yīng)對(duì)能力

360政企安全集團(tuán)NDR產(chǎn)品負(fù)責(zé)人表示，此次發(fā)布的新版本以實(shí)戰(zhàn)對(duì)抗為目標(biāo)，在云端持續(xù)賦能、本地響應(yīng)聯(lián)動(dòng)、體系化攻擊檢測(cè)、場(chǎng)景化分析、海量告警分析確認(rèn)、等方面都取得了突破性改進(jìn)。

1. 云端賦能、本地聯(lián)動(dòng)

云端持續(xù)賦能：360NDR全面的高級(jí)威脅檢測(cè)分析與溯源能力離不開(kāi)360云端安全大腦提供的安全大數(shù)據(jù)、威脅情報(bào)和專(zhuān)家服務(wù)持續(xù)賦能。360政企安全集團(tuán)擁有超2EB的安全大數(shù)據(jù)、全球獨(dú)有的實(shí)戰(zhàn)攻防樣本庫(kù)、300億樣本文件，通過(guò)攻防情報(bào)數(shù)據(jù)、特征數(shù)據(jù)、樣本數(shù)據(jù)和攻防全景知識(shí)庫(kù)等賦能后，360NDR全面實(shí)現(xiàn)對(duì)攻擊組織的追蹤溯源，基于EB級(jí)別數(shù)據(jù)所提煉的威脅情報(bào)、檢測(cè)規(guī)則，模型訓(xùn)練等正是打磨出360NDR差異化能力的基礎(chǔ)。

本地響應(yīng)聯(lián)動(dòng)：360NDR通過(guò)與防火墻、態(tài)勢(shì)感知、終端安全等本地安全產(chǎn)品的聯(lián)動(dòng)響應(yīng)，實(shí)現(xiàn)對(duì)高級(jí)威脅的自動(dòng)化分析和閉環(huán)處置，有效提升事件響應(yīng)和處置效率，如聯(lián)動(dòng)防火墻實(shí)現(xiàn)攻擊源阻斷；聯(lián)動(dòng)360終端安全防護(hù)系統(tǒng)實(shí)現(xiàn)單點(diǎn)檢測(cè)、網(wǎng)絡(luò)檢測(cè)溯源、單點(diǎn)處置閉環(huán)等。

2. 體系化攻擊檢測(cè)

新版本以ATT&CK技戰(zhàn)術(shù)體系為基礎(chǔ)，在360威脅情報(bào)、360漏洞平臺(tái)等能力賦能下，持續(xù)進(jìn)行攻擊檢測(cè)能力覆蓋和擴(kuò)展。不僅支持?jǐn)?shù)百種以上主流黑客工具的識(shí)別、典型遠(yuǎn)程控制軟件及代理攻擊異常行為的識(shí)別、千種木馬家族遠(yuǎn)控行為，同時(shí)在虛擬化沙箱檢測(cè)、隱蔽隧道檢測(cè)、AI算法等未知威脅檢測(cè)方面均已達(dá)到國(guó)內(nèi)領(lǐng)先水平。

??

3. 場(chǎng)景化分析

基于360EB級(jí)別的安全數(shù)據(jù)，360新一代NDR通過(guò)對(duì)攻擊者或受害者IP進(jìn)行數(shù)據(jù)匯聚分析，形成數(shù)十類(lèi)異常訪問(wèn)場(chǎng)景和行為分析，如應(yīng)用弱口令行為、內(nèi)對(duì)外/外對(duì)內(nèi)的非法外聯(lián)行為、郵件場(chǎng)景化檢測(cè)、加密通信異常等。同時(shí)支持通過(guò)基于時(shí)間線和KillChain的可視化分析模型，將相關(guān)告警進(jìn)行關(guān)聯(lián)分析來(lái)分析確認(rèn)攻擊行為及影響范圍。 

??

圖：時(shí)間序列分析                 

??

圖：KillChain攻殺鏈分析

4. 攻擊告警分析確認(rèn)

新增會(huì)話級(jí)攻擊確認(rèn)能力。系統(tǒng)支持全量攻擊告警的自動(dòng)分析確認(rèn)，對(duì)每條告警結(jié)果進(jìn)行是否成功的分析和標(biāo)注，同時(shí)對(duì)每條告警的攻擊特征進(jìn)行自動(dòng)化可視，不僅有效提升安全告警準(zhǔn)度、降低誤報(bào)率，還可以提升分析優(yōu)先級(jí)和易用性，提升分析效率。 

據(jù)360政企安全集團(tuán)消息，360NDR新版本已正式對(duì)外發(fā)售，開(kāi)始服務(wù)于政府、金融、能源、電力、科研、監(jiān)管等重要行業(yè)用戶。未來(lái)，360NDR將不斷完善攻防實(shí)戰(zhàn)對(duì)抗和自動(dòng)化、智能化能力，為政企用戶的數(shù)字化轉(zhuǎn)型提供安全底座。