0
數字化時代下,大量設備入網、業務和數據上云。軟件漏洞難以避免;大量入網的終端都成為外部攻擊的入口和跳板;云上連接的大量核心業務、高價值數據也引起更多黑客關注。新時代下,網絡攻防的主戰場,仍舊離不開「終端」的對抗。
在過去十多年里,端點安全僅僅指的是殺毒軟件一種產品,而從產品形態講:在端點是殺毒軟件,在網絡邊界側則是防火墻。業內主要的廠商產品基本上都是沿著這兩條線來發展的。
談到終端安全,那么終端安全的關鍵究竟是什么?業內人人追捧的EDR究竟有多大能力?行業內又給出什么樣的解決方案?真正具有實戰能力的終端安全產品是什么樣?微步一個以威脅情報起家的安全公司,為什么又跑到終端安全領域?
雷峰網與微步在線創始人兼CEO薛鋒、技術合伙人黃雅芳進行了深入的交流。
微步在線創始人兼CEO薛鋒
微步品牌升級后第一槍打向終端安全市場
提到微步有些人可能很陌生、有些人也比較熟悉。但很多人一定認識一個名為 x.threatbook.cn 的情報社區,就是下面這個搜索界面。微步在線這個社區每天生產的威脅情報就像是“電”一樣,源源不斷保障用戶的網絡安全。因此微步在線給外界的印象一直是“威脅情報的專家”。
去年,微步在線進行品牌,企業定位、標識、口號等全部煥然一新。微步曾表示未來將以數字時代網絡威脅應對專家的新定位,致力于實現“讓安全沒有邊界”的愿景與使命。
在今年2月23日,微步終端安全管理平臺OneSEC發布會上,薛鋒表明:“大家好奇我們slogan為什么叫“讓安全沒有邊界”,因為隨著云、人工智能、5G等技術的發展,基礎設施劇烈變化,網絡早已沒有了邊界,我們希望通過沒有邊界的安全能力幫助大家,和大家一起守護數字世界的安全,跟醫務人員一樣做后疫情時代、做數字時代最可愛的人。”
微步從早期產品——情報社區、API開始,后面又有很好的商業化產品NDR流量檢測產品、DNS和其他產品,那么為什么還要做終端安全產品呢?
薛鋒解釋說,這其中有兩個原因:第一,微步作為一家以客戶為中心的企業,在平時接觸到的成千上萬家企業,大量企業裝了殺毒軟件,買了很多安全產品,但依然會被釣魚、被勒索,很多用戶說國內找不到一個可靠的、靠譜的終端EDR產品,國外最好的威脅情報廠商做了全世界最好的EDR,微步為什么不考慮做EDR呢?所以,從微步的視角來說,聽到客戶的大量需求和呼喚,所以決定做。第二,微步在聽到需求后,先看看自己有沒有能力,在情報和檢測能力上,微步有優勢,而且有近10年的攻防演練實戰經驗,每年200多家演練單位,微步支持單位超過150家,積累了非常深厚的技術優勢,用戶需求和微步擅長的非常契合。
說到EDR,它是一個終端威脅檢測與響應的產品,在新的網絡安全威脅爆發式增長的時代下,企業對已知安全威脅的防御已經相當成熟,但對于未知威脅的防范卻成了很多企業的一大心病,很多在安全防護中不能及時發現威脅,即便是發現威脅也無法得知病毒來源于哪,因此EDR 的概念逐漸浮現在大家面前。
據介紹,微步三年前就開始做EDR類的產品,三年磨一劍,而且過去12個月有數十家用戶已經正式使用微步EDR產品,包括了基金公司、汽車、期貨公司,用戶給了一些很好功能反饋和正面反饋,所以今天有更多信心推終端安全EDR產品。
微步在線技術合伙人黃雅芳
當問及,相比于市面上其他EDR廠商,微步的核心競爭力是什么?
微步在線技術合伙人黃雅芳介紹說,市場上做EDR廠商主要可分為三類:一是綜合廠商,有殺毒、桌面管理、漏洞補丁等模塊,在終端市場上占較大份額,切入市場會有新威脅導致產品技術盲區,需要增加EDR模塊,也就是說,在傳統終端安全新增加EDR模塊;二是以EDR概念包裝但還是傳統殺毒技術部分,只是增加少量EDR,核心還是殺毒的部分;三是純粹做EDR方向廠商,市面上前兩者較多一些,而微步在線就是第三個方向。
“相比于不同類型的廠商,我們在EDR方向上的核心競爭力,一是實戰化能力更強,從投入上、時間維度上、團隊規模上、精力資源上都會更大一些;二是從實戰效果看,真正放在網絡里去檢測,我們的產品能做到‘別人看不見的威脅被我們看見,別人看得見的威脅我們看得更全’;三是兼容性更好,不管是以殺毒包裝的方式切進EDR市場,還是原來終端安全想做EDR新增的部分,目標希望占據終端的市場,我們只要做到兼容效果好,補齊終端安全缺的部分,而不是占領整個市場。”黃雅芳如是說。
新威脅形勢下,“發現”威脅的能力更重要
隨著5G、IoT、云等技術的發展,以及疫情帶來遠程辦公、混合辦公,辦公場所的移動化等基礎設施的變化,給安全帶來了新的挑戰。
薛鋒指出,首先在監管側,從以前的等保合規要求,已經變成面向結果、面向效果的要求;其次,在攻擊側,新型攻擊方式層出不窮,一些高端攻擊技術越來越平民化,企業收到威脅勒索的形勢更加嚴峻;再次,從需求側,用戶需求更注重效果、發現、運營和實戰。供給側需求的變化帶來網絡安全技術的變化,從以前依靠規則特征碼的匹配去發現威脅,到現在的發現威脅數據化、交付方式云化、服務模式SaaS化的訂閱模式、也更加注重安全效果。
在攻擊側需求變化的同時,終端安全也面臨新的威脅挑戰,因為現在服務器的注入和攻擊沒有像過去那么容易了,針對終端的攻擊越來越多。
薛鋒談及其中的原因,一方面是大型政企如果通過互聯網能夠訪問到的服務器、網站通常只有幾個或者幾十個,但在PC終端卻有成千上萬個,因此攻擊者能找到的入口也就多了幾十倍甚至幾百倍;另一方面,如果攻擊服務,對抗的是開發人員、IT安全人員對抗,但是攻擊終端,就是和普通員工對抗,例如財務人員、HR、普通員工、不太懂電腦技術的領導。“攻擊者要攻擊終端只存在想不想,不存在能不能,只要想就一定能攻陷,這是很明顯的趨勢。”薛鋒如是說。
據薛鋒介紹,目前市場上終端安全產品主要有殺毒軟件、流量檢測類產品以及日志審計類產品。但是這三類產品都有各自的盲區。他舉例說,如果要保護的單位像工廠一樣是由一個個房間、一個個業務單元組成的話,部署流量和日志類產品,就像部署在大樓的出口或者樓道里面監控探頭,看見的是南北向和東西向的流量,看見的是樓層和樓層之間和進出這棟樓的流量。但黑客和壞人不總是從大樓的正門和樓道進入,有可能從后門、窗戶、通風管道進去,也有可能是以快遞的形式帶來威脅。因此傳統基于流量檢測的產品不能解決所有問題。
而EDR則相當于在工廠內每一個房間都安裝了一個特別輕的傳感器、攝像頭,用戶能夠清晰地看見這一個房間里發生所有的行為,EDR采集完送入云端或者本地服務器做分析,可以和NDR流量檢測產品相互補充,從而更好的發現威脅。
薛鋒認為,好的終端安全,必須是是輕、準、穩、全,即用戶使用時無感知占用CPU內存小、穩定性好、精準追溯攻擊過程的分析能力、采集數據類型和上下文的豐富性。
在會后的采訪中,薛鋒表示:“我一直比較相信安全和醫療之間的映射關系,在醫療領域早發現問題很重要,但這只是一半,如何治療是更加重要。但在網絡安全領域,除了勒索軟件攻擊治不好之外,剩下百分之八十左右的問題一旦發現很容易解決,因此‘發現’能力很重要,也是安全廠商長期發展的路徑,目前微步產品沿著發現核心能力做了閉環。我們專注于解決的是一類問題就是‘檢測發現’,通過提供一些技術和產品幫助一些重點單位和關鍵基礎設施做好防護。”
集成EDR模塊的OneSEC有什么魔力?
聽說好?賣的好?用的好?完全是不一樣的概念,那么微步集成EDR模塊的OneSEC到底有什么魔力?
大多數企業想要EDR功能確實不假,但是一些客戶部署了一堆威脅檢測盒子,告警量一天達到千萬級以上,無法有效的識別有價值的告警;而且,告警量的增加勢必需要投入更多的人員進行安全運營,無形中增加了安全的成本。其次,大多數EDR,其實都是一個個孤島,沒有數據積累,采什么樣的數據?怎么采?其實是很難的一件事情。
做好EDR的關鍵一方面需要更加精準的檢測,另一方面還需要協同聯動;同時還得輕便,不能占用太多電腦資源。
據介紹,OneSEC的EDR模塊利用安裝在終端上的輕量級Agent,實時收集終端上的全量行為日志數據并上傳云端,利用云端強大的計算資源進行IOA行為特征檢測。同時,EDR模塊還集成了包括威脅情報IOC、攻擊行為IOA、云端百億級樣本庫與圖關聯檢測等檢測方式,從多個維度交叉檢測,綜合評判,可全面、精準發現各類威脅事件。經過VB100的評測,OneSEC的檢出率可達99.94%。
此外,OneSEC采用云端訂閱模式交付,無需采購硬件,企業只需申請一個賬號,即可將分散在全國的辦公終端納入統一管理,并可隨企業終端數量增加而隨需采購。可以實現輕量化的終端管理,開箱即用。
而SaaS化部署安全的模式,微步一直走在行業的前列,老客戶續費率超過100%,大客戶超過120%,相比于美國同行這個指標也算是優秀的了。
據黃雅芳介紹,SaaS模式本身對于腰部客戶來說或者中小客戶更友好,不需要買高昂軟件,或者放專人去運維和運營,只要一個賬號,用戶就知道管哪些人,推一個小工具上去就不用管到底用兩臺服務器還是四臺服務器,因為SaaS化交付的模式就是減去了大家關注業務本身底層IT運維的部分,用戶只用關心安全業務就好了,更具有普適性、普惠性。另外,在功能全面性上,補齊了中小客戶希望一體化解決日常終端安全輕量性產品需求。
最后就是端網聯動能力,OneSEC能從網絡和終端兩個維度保證辦公終端安全。如OneDNS通過將云端威脅情報與DNS相結合,可從網絡流量側檢測威脅,通過阻斷惡意樣本反連、阻止新樣本下載、防止打開釣魚鏈接等方式保護企業終端安全;EDR模塊則利用IOA行為檢測、圖檢測等技術對終端行為日志進行檢測分析,提供包括隔離進程、文件、網絡乃至終端等多種處置策略。通過將終端行為與網絡流量相結合,OneSEC可以對終端威脅進行更全面威脅覆蓋,處置策略更豐富、更靈活,隨時隨地為終端提供全面、精準、高效的安全防護能力。
在談及微步在線未來還會在哪方面發力?薛鋒表示:“威脅情報是微步的底層能力,這是最基礎的。但是流量、終端和網關還是網絡安全的主陣地,雖然在這三個位置已經有大量的產品,但是我們也會圍繞這三個方面布局,做一些創新性的產品,還是以輕量化、云化為主,我們更多定位在戰斗核心位置,用新的方式解決沒有解決的問題,這是未來長期的發展規劃方向。”
(雷峰網雷峰網(公眾號:雷峰網))
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
