0
数字化时代下,大量设备入网、业务和数据上云。软件漏洞难以避免;大量入网的终端都成为外部攻击的入口和跳板;云上连接的大量核心业务、高价值数据也引起更多黑客关注。新时代下,网络攻防的主战场,仍旧离不开「终端」的对抗。
在过去十多年里,端点安全仅仅指的是杀毒软件一种产品,而从产品形态讲:在端点是杀毒软件,在网络边界侧则是防火墙。业内主要的厂商产品基本上都是沿着这两条线来发展的。
谈到终端安全,那么终端安全的关键究竟是什么?业内人人追捧的EDR究竟有多大能力?行业内又给出什么样的解决方案?真正具有实战能力的终端安全产品是什么样?微步一个以威胁情报起家的安全公司,为什么又跑到终端安全领域?
雷峰网与微步在线创始人兼CEO薛锋、技术合伙人黄雅芳进行了深入的交流。
微步在线创始人兼CEO薛锋
微步品牌升级后第一枪打向终端安全市场
提到微步有些人可能很陌生、有些人也比较熟悉。但很多人一定认识一个名为 x.threatbook.cn 的情报社区,就是下面这个搜索界面。微步在线这个社区每天生产的威胁情报就像是“电”一样,源源不断保障用户的网络安全。因此微步在线给外界的印象一直是“威胁情报的专家”。
去年,微步在线进行品牌,企业定位、标识、口号等全部焕然一新。微步曾表示未来将以数字时代网络威胁应对专家的新定位,致力于实现“让安全没有边界”的愿景与使命。
在今年2月23日,微步终端安全管理平台OneSEC发布会上,薛锋表明:“大家好奇我们slogan为什么叫“让安全没有边界”,因为随着云、人工智能、5G等技术的发展,基础设施剧烈变化,网络早已没有了边界,我们希望通过没有边界的安全能力帮助大家,和大家一起守护数字世界的安全,跟医务人员一样做后疫情时代、做数字时代最可爱的人。”
微步从早期产品——情报社区、API开始,后面又有很好的商业化产品NDR流量检测产品、DNS和其他产品,那么为什么还要做终端安全产品呢?
薛锋解释说,这其中有两个原因:第一,微步作为一家以客户为中心的企业,在平时接触到的成千上万家企业,大量企业装了杀毒软件,买了很多安全产品,但依然会被钓鱼、被勒索,很多用户说国内找不到一个可靠的、靠谱的终端EDR产品,国外最好的威胁情报厂商做了全世界最好的EDR,微步为什么不考虑做EDR呢?所以,从微步的视角来说,听到客户的大量需求和呼唤,所以决定做。第二,微步在听到需求后,先看看自己有没有能力,在情报和检测能力上,微步有优势,而且有近10年的攻防演练实战经验,每年200多家演练单位,微步支持单位超过150家,积累了非常深厚的技术优势,用户需求和微步擅长的非常契合。
说到EDR,它是一个终端威胁检测与响应的产品,在新的网络安全威胁爆发式增长的时代下,企业对已知安全威胁的防御已经相当成熟,但对于未知威胁的防范却成了很多企业的一大心病,很多在安全防护中不能及时发现威胁,即便是发现威胁也无法得知病毒来源于哪,因此EDR 的概念逐渐浮现在大家面前。
据介绍,微步三年前就开始做EDR类的产品,三年磨一剑,而且过去12个月有数十家用户已经正式使用微步EDR产品,包括了基金公司、汽车、期货公司,用户给了一些很好功能反馈和正面反馈,所以今天有更多信心推终端安全EDR产品。
微步在线技术合伙人黄雅芳
当问及,相比于市面上其他EDR厂商,微步的核心竞争力是什么?
微步在线技术合伙人黄雅芳介绍说,市场上做EDR厂商主要可分为三类:一是综合厂商,有杀毒、桌面管理、漏洞补丁等模块,在终端市场上占较大份额,切入市场会有新威胁导致产品技术盲区,需要增加EDR模块,也就是说,在传统终端安全新增加EDR模块;二是以EDR概念包装但还是传统杀毒技术部分,只是增加少量EDR,核心还是杀毒的部分;三是纯粹做EDR方向厂商,市面上前两者较多一些,而微步在线就是第三个方向。
“相比于不同类型的厂商,我们在EDR方向上的核心竞争力,一是实战化能力更强,从投入上、时间维度上、团队规模上、精力资源上都会更大一些;二是从实战效果看,真正放在网络里去检测,我们的产品能做到‘别人看不见的威胁被我们看见,别人看得见的威胁我们看得更全’;三是兼容性更好,不管是以杀毒包装的方式切进EDR市场,还是原来终端安全想做EDR新增的部分,目标希望占据终端的市场,我们只要做到兼容效果好,补齐终端安全缺的部分,而不是占领整个市场。”黄雅芳如是说。
新威胁形势下,“发现”威胁的能力更重要
随着5G、IoT、云等技术的发展,以及疫情带来远程办公、混合办公,办公场所的移动化等基础设施的变化,给安全带来了新的挑战。
薛锋指出,首先在监管侧,从以前的等保合规要求,已经变成面向结果、面向效果的要求;其次,在攻击侧,新型攻击方式层出不穷,一些高端攻击技术越来越平民化,企业收到威胁勒索的形势更加严峻;再次,从需求侧,用户需求更注重效果、发现、运营和实战。供给侧需求的变化带来网络安全技术的变化,从以前依靠规则特征码的匹配去发现威胁,到现在的发现威胁数据化、交付方式云化、服务模式SaaS化的订阅模式、也更加注重安全效果。
在攻击侧需求变化的同时,终端安全也面临新的威胁挑战,因为现在服务器的注入和攻击没有像过去那么容易了,针对终端的攻击越来越多。
薛锋谈及其中的原因,一方面是大型政企如果通过互联网能够访问到的服务器、网站通常只有几个或者几十个,但在PC终端却有成千上万个,因此攻击者能找到的入口也就多了几十倍甚至几百倍;另一方面,如果攻击服务,对抗的是开发人员、IT安全人员对抗,但是攻击终端,就是和普通员工对抗,例如财务人员、HR、普通员工、不太懂电脑技术的领导。“攻击者要攻击终端只存在想不想,不存在能不能,只要想就一定能攻陷,这是很明显的趋势。”薛锋如是说。
据薛锋介绍,目前市场上终端安全产品主要有杀毒软件、流量检测类产品以及日志审计类产品。但是这三类产品都有各自的盲区。他举例说,如果要保护的单位像工厂一样是由一个个房间、一个个业务单元组成的话,部署流量和日志类产品,就像部署在大楼的出口或者楼道里面监控探头,看见的是南北向和东西向的流量,看见的是楼层和楼层之间和进出这栋楼的流量。但黑客和坏人不总是从大楼的正门和楼道进入,有可能从后门、窗户、通风管道进去,也有可能是以快递的形式带来威胁。因此传统基于流量检测的产品不能解决所有问题。
而EDR则相当于在工厂内每一个房间都安装了一个特别轻的传感器、摄像头,用户能够清晰地看见这一个房间里发生所有的行为,EDR采集完送入云端或者本地服务器做分析,可以和NDR流量检测产品相互补充,从而更好的发现威胁。
薛锋认为,好的终端安全,必须是是轻、准、稳、全,即用户使用时无感知占用CPU内存小、稳定性好、精准追溯攻击过程的分析能力、采集数据类型和上下文的丰富性。
在会后的采访中,薛锋表示:“我一直比较相信安全和医疗之间的映射关系,在医疗领域早发现问题很重要,但这只是一半,如何治疗是更加重要。但在网络安全领域,除了勒索软件攻击治不好之外,剩下百分之八十左右的问题一旦发现很容易解决,因此‘发现’能力很重要,也是安全厂商长期发展的路径,目前微步产品沿着发现核心能力做了闭环。我们专注于解决的是一类问题就是‘检测发现’,通过提供一些技术和产品帮助一些重点单位和关键基础设施做好防护。”
集成EDR模块的OneSEC有什么魔力?
听说好?卖的好?用的好?完全是不一样的概念,那么微步集成EDR模块的OneSEC到底有什么魔力?
大多数企业想要EDR功能确实不假,但是一些客户部署了一堆威胁检测盒子,告警量一天达到千万级以上,无法有效的识别有价值的告警;而且,告警量的增加势必需要投入更多的人员进行安全运营,无形中增加了安全的成本。其次,大多数EDR,其实都是一个个孤岛,没有数据积累,采什么样的数据?怎么采?其实是很难的一件事情。
做好EDR的关键一方面需要更加精准的检测,另一方面还需要协同联动;同时还得轻便,不能占用太多电脑资源。
据介绍,OneSEC的EDR模块利用安装在终端上的轻量级Agent,实时收集终端上的全量行为日志数据并上传云端,利用云端强大的计算资源进行IOA行为特征检测。同时,EDR模块还集成了包括威胁情报IOC、攻击行为IOA、云端百亿级样本库与图关联检测等检测方式,从多个维度交叉检测,综合评判,可全面、精准发现各类威胁事件。经过VB100的评测,OneSEC的检出率可达99.94%。
此外,OneSEC采用云端订阅模式交付,无需采购硬件,企业只需申请一个账号,即可将分散在全国的办公终端纳入统一管理,并可随企业终端数量增加而随需采购。可以实现轻量化的终端管理,开箱即用。
而SaaS化部署安全的模式,微步一直走在行业的前列,老客户续费率超过100%,大客户超过120%,相比于美国同行这个指标也算是优秀的了。
据黄雅芳介绍,SaaS模式本身对于腰部客户来说或者中小客户更友好,不需要买高昂软件,或者放专人去运维和运营,只要一个账号,用户就知道管哪些人,推一个小工具上去就不用管到底用两台服务器还是四台服务器,因为SaaS化交付的模式就是减去了大家关注业务本身底层IT运维的部分,用户只用关心安全业务就好了,更具有普适性、普惠性。另外,在功能全面性上,补齐了中小客户希望一体化解决日常终端安全轻量性产品需求。
最后就是端网联动能力,OneSEC能从网络和终端两个维度保证办公终端安全。如OneDNS通过将云端威胁情报与DNS相结合,可从网络流量侧检测威胁,通过阻断恶意样本反连、阻止新样本下载、防止打开钓鱼链接等方式保护企业终端安全;EDR模块则利用IOA行为检测、图检测等技术对终端行为日志进行检测分析,提供包括隔离进程、文件、网络乃至终端等多种处置策略。通过将终端行为与网络流量相结合,OneSEC可以对终端威胁进行更全面威胁覆盖,处置策略更丰富、更灵活,随时随地为终端提供全面、精准、高效的安全防护能力。
在谈及微步在线未来还会在哪方面发力?薛锋表示:“威胁情报是微步的底层能力,这是最基础的。但是流量、终端和网关还是网络安全的主阵地,虽然在这三个位置已经有大量的产品,但是我们也会围绕这三个方面布局,做一些创新性的产品,还是以轻量化、云化为主,我们更多定位在战斗核心位置,用新的方式解决没有解决的问题,这是未来长期的发展规划方向。”
(雷峰网雷峰网(公众号:雷峰网))
雷峰网原创文章,未经授权禁止转载。详情见转载须知。