重构实战攻防及高级威胁应对能力 360新一代NDR正式发布

12月29日，三六零（股票代码：601360.SH）旗下的360政企安全集团正式发布360高级持续性威胁预警系统全新版本（R5版本）。该版本重点针对攻防实战场景中面临的攻击检测难、告警误报率高、处置效率低等关键问题提出相应的解决方案，同时新版本依托360云端安全大脑在威胁情报数据、样本数据、特征数据、全景攻防知识库等方面持续化赋能，帮助客户有效提升高级网络威胁的发现分析能力及响应处置效率。

高级威胁攻击打开“潘多拉魔盒”

360NDR应运而生

数字化浪潮在催生巨大生产力的同时，也打开了网络攻击威胁的“潘多拉魔盒”。针对数字系统的各类网络攻击（尤其是APT攻击）持续对我国党政机关、国防军工、科研院所等核心单位的业务运行及敏感数据形成威胁。360政企安全集团发布的《2021年上半年全球高级持续性威胁（APT）研究报告》显示，仅今年上半年，360就捕获到12个境外APT组织对我国重点领域发起攻击。

此外，从近年来各类实战型攻防演练和APT事件来看，攻防双方开启了全面对抗的时代。传统“被动式”、“单一化”的防御体系对有情报支持的新型攻击网络攻击防御已经力不从心，面临着攻击者大量使用自研工具逃避现有检测技术，攻击检测不全面；各类安全告警信息含有大量重复报警和误报警，事件分效率及告警准确率低；安全威胁无法及时响应处理，安全运营效率低等痛点。

作为数字安全的领导者，360政企安全集团很早就意识到了未来APT攻击对数字化建设和运营的潜在威胁，并多年来对全球范围的APT组织进行持续跟踪和研究，同时利用网络流量分析，结合行为分析、机器学习、全球威胁情报等创新技术打造了新一代NDR系统，通过实现网络攻击事件的检测告警、分析确认、联防联动、全局监测等，帮助客户建立针对网络高级威胁的监测和响应能力。

四大创新技术 重构高级威胁应对能力

360政企安全集团NDR产品负责人表示，此次发布的新版本以实战对抗为目标，在云端持续赋能、本地响应联动、体系化攻击检测、场景化分析、海量告警分析确认、等方面都取得了突破性改进。

云端赋能、本地联动

云端持续赋能：360NDR全面的高级威胁检测分析与溯源能力离不开360云端安全大脑提供的安全大数据、威胁情报和专家服务持续赋能。360政企安全集团拥有超2EB的安全大数据、全球独有的实战攻防样本库、300亿样本文件，通过攻防情报数据、特征数据、样本数据和攻防全景知识库等赋能后，360NDR全面实现对攻击组织的追踪溯源，基于EB级别数据所提炼的威胁情报、检测规则，模型训练等正是打磨出360NDR差异化能力的基础。

本地响应联动：360NDR通过与防火墙、态势感知、终端安全等本地安全产品的联动响应，实现对高级威胁的自动化分析和闭环处置，有效提升事件响应和处置效率，如联动防火墙实现攻击源阻断；联动360终端安全防护系统实现单点检测、网络检测溯源、单点处置闭环等。

体系化攻击检测

新版本以ATT&CK技战术体系为基础，在360威胁情报、360漏洞平台等能力赋能下，持续进行攻击检测能力覆盖和扩展。不仅支持数百种以上主流黑客工具的识别、典型远程控制软件及代理攻击异常行为的识别、千种木马家族远控行为，同时在虚拟化沙箱检测、隐蔽隧道检测、AI算法等未知威胁检测方面均已达到国内领先水平。

场景化分析

基于360EB级别的安全数据，360新一代NDR通过对攻击者或受害者IP进行数据汇聚分析，形成数十类异常访问场景和行为分析，如应用弱口令行为、内对外/外对内的非法外联行为、邮件场景化检测、加密通信异常等。同时支持通过基于时间线和KillChain的可视化分析模型，将相关告警进行关联分析来分析确认攻击行为及影响范围。

图：时间序列分析 图：KillChain攻杀链分析

攻击告警分析确认

新增会话级攻击确认能力。系统支持全量攻击告警的自动分析确认，对每条告警结果进行是否成功的分析和标注，同时对每条告警的攻击特征进行自动化可视，不仅有效提升安全告警准度、降低误报率，还可以提升分析优先级和易用性，提升分析效率。

据360政企安全集团消息，360NDR新版本已正式对外发售，开始服务于政府、金融、能源、电力、科研、监管等重要行业用户。未来，360NDR将不断完善攻防实战对抗和自动化、智能化能力，为政企用户的数字化转型提供安全底座。