殺毒是終端安全的原始需求。最初，人們開始意識(shí)到自己的終端設(shè)備存在安全隱患，需要采取防護(hù)措施，主要是因?yàn)橛?jì)算機(jī)病毒和木馬的盛行。過去十幾年，一提到終端安全，其實(shí)大多數(shù)情況指的是殺毒軟件。

如今，隨著移動(dòng)辦公、企業(yè)上云的加速，組織內(nèi)原有的安全邊界被打破，各類終端設(shè)備成為了新的邊界，這種轉(zhuǎn)變使得終端面臨更加復(fù)雜和多樣化的安全威脅，終端安全防護(hù)亟需一種新的設(shè)計(jì)框架。

近日，在2023西湖論劍·數(shù)字安全大會(huì)上，雷峰網(wǎng)有幸拜訪到了安恒信息副總裁、終端安全負(fù)責(zé)人劉思宇。

劉思宇曾在老牌殺毒軟件廠商領(lǐng)導(dǎo)相關(guān)產(chǎn)品研發(fā)推廣，他的加入提升了安恒信息終端安全領(lǐng)域能力。他認(rèn)為，盡管在終端安全領(lǐng)域起步相對(duì)較晚，但憑借深厚的安全底蘊(yùn)積累以及持續(xù)投入的創(chuàng)新能力，安恒信息能提供更加全面、更加體系化、更加領(lǐng)先的終端安全產(chǎn)品及解決方案。

作為安全行業(yè)的資深從業(yè)者，劉思宇認(rèn)為，在市場(chǎng)、技術(shù)及安全事件的驅(qū)動(dòng)下，未來終端安全會(huì)朝著體系化、一體化的方向發(fā)展，并且這個(gè)趨勢(shì)正在加速到來。

以下為雷峰網(wǎng)與劉思宇的對(duì)話：

雷峰網(wǎng)：終端安全從提出發(fā)展至今，經(jīng)歷了很大的變化。您認(rèn)為目前階段，終端安全發(fā)展的困境和特點(diǎn)是什么？

劉思宇：安恒信息的思考與觀察主要體現(xiàn)在兩個(gè)方面：

一方面，隨著云計(jì)算、大數(shù)據(jù)以及遠(yuǎn)程辦公等新技術(shù)和應(yīng)用場(chǎng)景的興起，安全邊界變得更加模糊，越來越多的終端直接暴露在互聯(lián)網(wǎng)上，這對(duì)于互聯(lián)網(wǎng)上的壞人是一種便利。傳統(tǒng)的、單一的終端防護(hù)手段越來越不能滿足現(xiàn)在的需求。以前邊界上有各種各樣的防控設(shè)備、產(chǎn)品，可以把終端很好的隔離在內(nèi)網(wǎng)，現(xiàn)在的辦公環(huán)境已經(jīng)不允許完全按照這種方式來進(jìn)行安全能力的部署。

另一方面，用戶的終端安全需求越來越高，一臺(tái)機(jī)器需要安裝十幾種終端防護(hù)產(chǎn)品，比如終端準(zhǔn)入、防病毒、EDR、主機(jī)審計(jì)、桌面管理、數(shù)據(jù)防泄漏等。最終造成的結(jié)果是：極其占用計(jì)算機(jī)資源，甚至影響生產(chǎn)效率。究其根本，部分廠商研發(fā)和運(yùn)維能力有限，只能提供某一種安全產(chǎn)品及服務(wù)。用戶如果想構(gòu)建體系化的安全能力，需要從不同的廠商采購(gòu)一大堆不同功能的客戶端產(chǎn)品，還需要運(yùn)維工作人員進(jìn)行大量的維護(hù)工作，不僅采購(gòu)成本高、人力成本的投入也居高不下。

雷峰網(wǎng)：針對(duì)現(xiàn)階段網(wǎng)絡(luò)邊界模糊，終端安全防護(hù)更加脆弱的問題。安恒信息有什么解決方案？

劉思宇：安恒信息的終端安全管理系統(tǒng)從兩個(gè)不同的角度去解決終端上的安全問題。

首先，在終端設(shè)備接入網(wǎng)絡(luò)之初，就會(huì)從安全視角，對(duì)組織內(nèi)需要保護(hù)的終端資產(chǎn)進(jìn)行智能化的識(shí)別；其次，給這些資產(chǎn)部署防護(hù)產(chǎn)品，形成完整生命周期的保護(hù)。

在對(duì)資產(chǎn)做深度識(shí)別時(shí)，會(huì)針對(duì)包括軟件、硬件、外部接入設(shè)備、甚至軟件中的各類組成成分進(jìn)行識(shí)別和保障，讓安全運(yùn)維人員可以準(zhǔn)確掌握自己內(nèi)網(wǎng)的資產(chǎn)數(shù)量和類別。資產(chǎn)清點(diǎn)完畢后，按照相應(yīng)的策略去部署安全軟件，并對(duì)這些資產(chǎn)進(jìn)行全面的體檢。這樣就能發(fā)現(xiàn)存在哪些入侵風(fēng)險(xiǎn)，是否存在安全漏洞，存在什么樣的安全漏洞，有沒有使用開源的應(yīng)用。通過打補(bǔ)丁、微隔離等工具智能化的幫助用戶攔截端口風(fēng)險(xiǎn)。

安恒信息幫助用戶進(jìn)行終端資產(chǎn)全生命周期監(jiān)控，通過我們豐富的威脅情報(bào)數(shù)據(jù)支持，對(duì)不同的安全事件關(guān)聯(lián)分析，讓組織內(nèi)部的安全事件可視化的展現(xiàn)在安全運(yùn)維人員面前。這對(duì)于制定整個(gè)終端體系化的防御策略與整體終端安全態(tài)勢(shì)可視化具有重大意義。

雷峰網(wǎng)：為什么要進(jìn)行可視化溯源回放？對(duì)于用戶的意義是什么？

劉思宇：可視化溯源回放有個(gè)洋氣的名字—“attack movie ”，就是從攻擊者的視角全面展示內(nèi)網(wǎng)中發(fā)生的攻擊行為的全過程，像放電影一樣清晰。比如攻擊者是從哪臺(tái)機(jī)器發(fā)起的攻擊？利用的是什么威脅手段？攻擊被攔截的情況如何？

以前企業(yè)內(nèi)部網(wǎng)絡(luò)出現(xiàn)安全問題，很難第一時(shí)間掌握。需要高級(jí)的安全分析人員去分析系統(tǒng)內(nèi)部的日志等信息，可能需要花幾個(gè)小時(shí)，甚至幾天才能知道這個(gè)病毒是哪里來的、做了什么。通過“attack movie”這個(gè)安全能力，普通的安全分析人員一眼就可以看出來“是什么病毒，訪問過什么系統(tǒng)文件，造成了哪些影響”，現(xiàn)在我們只需要幾分鐘，就可以把分析報(bào)告提交給用戶，大大提升了響應(yīng)效率，讓用戶在更短的時(shí)間完成風(fēng)險(xiǎn)處置，大大降低安全風(fēng)險(xiǎn)。

雷峰網(wǎng)：安恒信息的入侵檢測(cè)平臺(tái)有什么不同？

劉思宇：一、在防御監(jiān)控準(zhǔn)確性更高；二、展示出的行為數(shù)據(jù)更準(zhǔn)確。

第一點(diǎn)，針對(duì)于各種各樣的安全事件，傳統(tǒng)的入侵檢測(cè)類產(chǎn)品，進(jìn)行掃描后，報(bào)給用戶非常多的告警。但是用戶結(jié)合自己的生產(chǎn)環(huán)境，并不了解哪些是真正的風(fēng)險(xiǎn)，哪些信息是有價(jià)值的，哪些需要處置，自己到底安全不安全，報(bào)告的價(jià)值在哪。安恒信息通過近二十年的攻防、國(guó)際賽事等經(jīng)驗(yàn)，總結(jié)了一套攻擊技戰(zhàn)行為防御模型，在防御監(jiān)控上非常準(zhǔn)確，有效解決上述問題。

第二點(diǎn)，通過將攻擊行為可視化，讓安全分析人員很清晰看到，惡意行為威脅有沒有被攔截，客戶系統(tǒng)是否安全或者威脅造成了什么危害？

雷峰網(wǎng)：一個(gè)EDR平臺(tái)？能做到如此精準(zhǔn)，背后依靠的是那些能力？

劉思宇：一個(gè)完整的EDR一定是需要多種安全能力支撐，安恒EDR基于安恒信息16年來在各大重?；顒?dòng)中積累的安全攻防服務(wù)經(jīng)驗(yàn)，數(shù)十億級(jí)別的威脅情報(bào)數(shù)據(jù)。依托AI大數(shù)據(jù)分析技術(shù)，可對(duì)威脅告警的攻擊鏈進(jìn)行全面分析，完整展示攻擊鏈路，相對(duì)基于流量高噪聲的若關(guān)聯(lián)分析，精準(zhǔn)度更高、更靠譜。

總結(jié)就是，安恒EDR是結(jié)合安恒信息16年來在安全服務(wù)、安全攻防、入侵檢測(cè)、威脅情報(bào)等各方面積累，并通過新技術(shù)、新能力的加持，而研制出的適合用戶的“終端威脅檢測(cè)與響應(yīng)”產(chǎn)品。

雷峰網(wǎng)：國(guó)內(nèi)因?yàn)檎婕貳DR爭(zhēng)辯不休，您怎么看？

劉思宇：大家說假EDR，是因?yàn)橐郧昂芏喈a(chǎn)品只套用了 EDR 概念，本質(zhì)上只是一個(gè)殺毒軟件，無法給用戶提供一個(gè)合規(guī)、安全的終端安全使用環(huán)境。伴隨行業(yè)發(fā)展，用戶需求從合規(guī)變成實(shí)戰(zhàn)化，這也客觀促進(jìn)各廠商不斷提升和完善能力，做出真正的EDR產(chǎn)品。

雷峰網(wǎng)：您覺得企業(yè)組織架構(gòu)復(fù)雜，終端數(shù)量龐大、終端管理難的問題該如何解決？

劉思宇：未來，安全的發(fā)展趨勢(shì)是終端一體化?，F(xiàn)在客戶實(shí)際需求是多樣化的，比如殺毒、數(shù)據(jù)防泄露、 主機(jī)審計(jì)與終端準(zhǔn)入等。安恒信息現(xiàn)在已經(jīng)實(shí)現(xiàn)了用戶按需購(gòu)買并進(jìn)行安全能力組合，但只需一個(gè)客戶端即可。此外，更多的安全能力板塊還在持續(xù)研發(fā)和上線中，我們始終希望把簡(jiǎn)單留給客戶，把復(fù)雜留給自己。

雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))：您如何看待人工智能在安全行業(yè)的應(yīng)用？

劉思宇：人工智能是一把雙刃劍。對(duì)于攻擊者來說，他們可以僅通過輸入一些自然語言，便輕易地生成各種攻擊工具，比如勒索病毒等惡意攻擊程序。

雷峰網(wǎng):  那我們應(yīng)該如何應(yīng)對(duì)呢？

劉思宇：人工智能濫用，未來這個(gè)問題有可能會(huì)越來越嚴(yán)重。針對(duì)勒索防御，需要構(gòu)建事前、事中、事后全流程檢測(cè)、監(jiān)控和防御體系。

安恒終端安全已近打造了一套針對(duì)于勒索病毒的攻擊技戰(zhàn)術(shù)，提供勒索行為檢測(cè)引擎，不論是已知的病毒還是未知的病毒，都可以準(zhǔn)確的識(shí)別出來，并進(jìn)行相應(yīng)的攔截保障，提高了對(duì)勒索病毒防護(hù)的上限。

安恒信息也是首家提供智能備份引擎的安全廠商。傳統(tǒng)情況下，用戶需要部署復(fù)雜的備份系統(tǒng)，智能備份引擎基于AI機(jī)器學(xué)習(xí)和內(nèi)核級(jí)技術(shù)，實(shí)現(xiàn)對(duì)關(guān)鍵數(shù)據(jù)的高效識(shí)別，并進(jìn)行及時(shí)、低能耗的備份。我們的目標(biāo)是，即使用戶沒有做任何防護(hù)，或者遭遇了勒索病毒，都會(huì)保護(hù)住核心數(shù)據(jù)資產(chǎn)，這也提高了用戶終端安全能力的下線。

雷峰網(wǎng)：現(xiàn)在重點(diǎn)推進(jìn)的或者研發(fā)的是哪些技術(shù)和產(chǎn)品？

劉思宇：目前，勒索行為檢測(cè)引擎和智能備份引擎已經(jīng)完成技術(shù)儲(chǔ)備，很快能推向市場(chǎng)，大家可以期待一下。

雷峰網(wǎng)：如何平衡大企業(yè)和中小企業(yè)之間的服務(wù)？

劉思宇：針對(duì)大型企業(yè)，我們提供私有化的部署方式；針對(duì)中小企業(yè)，我們提供 SaaS 版本產(chǎn)品， SaaS 版本不需要用戶再去部署運(yùn)維繁瑣的管理中心，通過云端租戶的方式管理自己的資產(chǎn)，成本對(duì)于中小企業(yè)很友好。

雷峰網(wǎng)：安恒信息選擇從EDR切入終端安全市場(chǎng)的緣由是什么？目前在終端安全的領(lǐng)域取得了哪些成績(jī)？

劉思宇：安恒信息是一家綜合性的平臺(tái)廠商，在終端上的策略也是如此，給用戶提供終端安全一體化產(chǎn)品和解決方案。而自身在EDR方面的技術(shù)沉淀和能力儲(chǔ)備都有，從優(yōu)勢(shì)點(diǎn)出發(fā)，也是為了快速響應(yīng)對(duì)客戶高質(zhì)量終端安全服務(wù)的需求。

就公開數(shù)據(jù)，賽迪顧問去年發(fā)布的《中國(guó)終端安全檢測(cè)與響應(yīng)產(chǎn)品市場(chǎng)研究報(bào)告（2022）》，安恒EDR占全國(guó)市場(chǎng)份額5%，排名第三。還榮獲了2019年最佳創(chuàng)新產(chǎn)品獎(jiǎng)、2021年ISC終端安全領(lǐng)域創(chuàng)新100強(qiáng)、2021年、2022年賽可達(dá)優(yōu)秀產(chǎn)品獎(jiǎng)、賽可達(dá)東方之星、2021年數(shù)世咨詢EDR安全能力圖譜排名前三等榮譽(yù)。此外，我們?cè)谛艅?chuàng)方面也已經(jīng)和數(shù)十個(gè)國(guó)產(chǎn)軟硬件以及操作系統(tǒng)進(jìn)行了適配和產(chǎn)品互認(rèn)。

所以總結(jié)下來，安恒信息終端安全雖然起步晚，但也正因?yàn)榇?，在產(chǎn)品設(shè)計(jì)之初就有有一套完整的解決方案—無極架構(gòu)，避免了通過產(chǎn)品堆砌造成的管理割裂、數(shù)據(jù)孤島等問題；再加之安信信息十余年國(guó)家級(jí)大型賽事、會(huì)議的安保支撐工作等實(shí)戰(zhàn)經(jīng)驗(yàn)的積累，反而在產(chǎn)品設(shè)計(jì)、研發(fā)、市場(chǎng)需求了解等方面更具優(yōu)勢(shì)。

安恒信息終端安全的定位是數(shù)字資產(chǎn)守門人，為新時(shí)代用戶數(shù)字資產(chǎn)安全保駕護(hù)航。在未來也會(huì)持續(xù)通過科技創(chuàng)新、優(yōu)秀的產(chǎn)品架構(gòu)設(shè)計(jì)理念來推動(dòng)終端安全行業(yè)不斷發(fā)展，為用戶提供更好、更智能、更簡(jiǎn)單的終端安全產(chǎn)品。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。