數(shù)字化時(shí)代下，大量設(shè)備入網(wǎng)、業(yè)務(wù)和數(shù)據(jù)上云。軟件漏洞難以避免；大量入網(wǎng)的終端都成為外部攻擊的入口和跳板；云上連接的大量核心業(yè)務(wù)、高價(jià)值數(shù)據(jù)也引起更多黑客關(guān)注。新時(shí)代下，網(wǎng)絡(luò)攻防的主戰(zhàn)場，仍舊離不開「終端」的對(duì)抗。

在過去十多年里，端點(diǎn)安全僅僅指的是殺毒軟件一種產(chǎn)品，而從產(chǎn)品形態(tài)講：在端點(diǎn)是殺毒軟件，在網(wǎng)絡(luò)邊界側(cè)則是防火墻。業(yè)內(nèi)主要的廠商產(chǎn)品基本上都是沿著這兩條線來發(fā)展的。 

談到終端安全，那么終端安全的關(guān)鍵究竟是什么？業(yè)內(nèi)人人追捧的EDR究竟有多大能力？行業(yè)內(nèi)又給出什么樣的解決方案？真正具有實(shí)戰(zhàn)能力的終端安全產(chǎn)品是什么樣？微步一個(gè)以威脅情報(bào)起家的安全公司，為什么又跑到終端安全領(lǐng)域？ 

雷峰網(wǎng)與微步在線創(chuàng)始人兼CEO薛鋒、技術(shù)合伙人黃雅芳進(jìn)行了深入的交流。

微步在線創(chuàng)始人兼CEO薛鋒

微步品牌升級(jí)后第一槍打向終端安全市場

提到微步有些人可能很陌生、有些人也比較熟悉。但很多人一定認(rèn)識(shí)一個(gè)名為 x.threatbook.cn 的情報(bào)社區(qū)，就是下面這個(gè)搜索界面。微步在線這個(gè)社區(qū)每天生產(chǎn)的威脅情報(bào)就像是“電”一樣，源源不斷保障用戶的網(wǎng)絡(luò)安全。因此微步在線給外界的印象一直是“威脅情報(bào)的專家”。

 

去年，微步在線進(jìn)行品牌，企業(yè)定位、標(biāo)識(shí)、口號(hào)等全部煥然一新。微步曾表示未來將以數(shù)字時(shí)代網(wǎng)絡(luò)威脅應(yīng)對(duì)專家的新定位，致力于實(shí)現(xiàn)“讓安全沒有邊界”的愿景與使命。

在今年2月23日，微步終端安全管理平臺(tái)OneSEC發(fā)布會(huì)上，薛鋒表明：“大家好奇我們slogan為什么叫“讓安全沒有邊界”，因?yàn)殡S著云、人工智能、5G等技術(shù)的發(fā)展，基礎(chǔ)設(shè)施劇烈變化，網(wǎng)絡(luò)早已沒有了邊界，我們希望通過沒有邊界的安全能力幫助大家，和大家一起守護(hù)數(shù)字世界的安全，跟醫(yī)務(wù)人員一樣做后疫情時(shí)代、做數(shù)字時(shí)代最可愛的人。”

微步從早期產(chǎn)品——情報(bào)社區(qū)、API開始，后面又有很好的商業(yè)化產(chǎn)品NDR流量檢測產(chǎn)品、DNS和其他產(chǎn)品，那么為什么還要做終端安全產(chǎn)品呢？

薛鋒解釋說，這其中有兩個(gè)原因：第一，微步作為一家以客戶為中心的企業(yè)，在平時(shí)接觸到的成千上萬家企業(yè)，大量企業(yè)裝了殺毒軟件，買了很多安全產(chǎn)品，但依然會(huì)被釣魚、被勒索，很多用戶說國內(nèi)找不到一個(gè)可靠的、靠譜的終端EDR產(chǎn)品，國外最好的威脅情報(bào)廠商做了全世界最好的EDR，微步為什么不考慮做EDR呢？所以，從微步的視角來說，聽到客戶的大量需求和呼喚，所以決定做。第二，微步在聽到需求后，先看看自己有沒有能力，在情報(bào)和檢測能力上，微步有優(yōu)勢，而且有近10年的攻防演練實(shí)戰(zhàn)經(jīng)驗(yàn)，每年200多家演練單位，微步支持單位超過150家，積累了非常深厚的技術(shù)優(yōu)勢，用戶需求和微步擅長的非常契合。

說到EDR，它是一個(gè)終端威脅檢測與響應(yīng)的產(chǎn)品，在新的網(wǎng)絡(luò)安全威脅爆發(fā)式增長的時(shí)代下，企業(yè)對(duì)已知安全威脅的防御已經(jīng)相當(dāng)成熟，但對(duì)于未知威脅的防范卻成了很多企業(yè)的一大心病，很多在安全防護(hù)中不能及時(shí)發(fā)現(xiàn)威脅，即便是發(fā)現(xiàn)威脅也無法得知病毒來源于哪，因此EDR 的概念逐漸浮現(xiàn)在大家面前。

據(jù)介紹，微步三年前就開始做EDR類的產(chǎn)品，三年磨一劍，而且過去12個(gè)月有數(shù)十家用戶已經(jīng)正式使用微步EDR產(chǎn)品，包括了基金公司、汽車、期貨公司，用戶給了一些很好功能反饋和正面反饋，所以今天有更多信心推終端安全EDR產(chǎn)品。

微步在線技術(shù)合伙人黃雅芳

當(dāng)問及，相比于市面上其他EDR廠商，微步的核心競爭力是什么？

微步在線技術(shù)合伙人黃雅芳介紹說，市場上做EDR廠商主要可分為三類：一是綜合廠商，有殺毒、桌面管理、漏洞補(bǔ)丁等模塊，在終端市場上占較大份額，切入市場會(huì)有新威脅導(dǎo)致產(chǎn)品技術(shù)盲區(qū)，需要增加EDR模塊，也就是說，在傳統(tǒng)終端安全新增加EDR模塊；二是以EDR概念包裝但還是傳統(tǒng)殺毒技術(shù)部分，只是增加少量EDR，核心還是殺毒的部分；三是純粹做EDR方向廠商，市面上前兩者較多一些，而微步在線就是第三個(gè)方向。

“相比于不同類型的廠商，我們?cè)贓DR方向上的核心競爭力，一是實(shí)戰(zhàn)化能力更強(qiáng)，從投入上、時(shí)間維度上、團(tuán)隊(duì)規(guī)模上、精力資源上都會(huì)更大一些；二是從實(shí)戰(zhàn)效果看，真正放在網(wǎng)絡(luò)里去檢測，我們的產(chǎn)品能做到‘別人看不見的威脅被我們看見，別人看得見的威脅我們看得更全’；三是兼容性更好，不管是以殺毒包裝的方式切進(jìn)EDR市場，還是原來終端安全想做EDR新增的部分，目標(biāo)希望占據(jù)終端的市場，我們只要做到兼容效果好，補(bǔ)齊終端安全缺的部分，而不是占領(lǐng)整個(gè)市場。”黃雅芳如是說。 

新威脅形勢下，“發(fā)現(xiàn)”威脅的能力更重要

隨著5G、IoT、云等技術(shù)的發(fā)展，以及疫情帶來遠(yuǎn)程辦公、混合辦公，辦公場所的移動(dòng)化等基礎(chǔ)設(shè)施的變化，給安全帶來了新的挑戰(zhàn)。

薛鋒指出，首先在監(jiān)管側(cè)，從以前的等保合規(guī)要求，已經(jīng)變成面向結(jié)果、面向效果的要求；其次，在攻擊側(cè)，新型攻擊方式層出不窮，一些高端攻擊技術(shù)越來越平民化，企業(yè)收到威脅勒索的形勢更加嚴(yán)峻；再次，從需求側(cè)，用戶需求更注重效果、發(fā)現(xiàn)、運(yùn)營和實(shí)戰(zhàn)。供給側(cè)需求的變化帶來網(wǎng)絡(luò)安全技術(shù)的變化，從以前依靠規(guī)則特征碼的匹配去發(fā)現(xiàn)威脅，到現(xiàn)在的發(fā)現(xiàn)威脅數(shù)據(jù)化、交付方式云化、服務(wù)模式SaaS化的訂閱模式、也更加注重安全效果。

在攻擊側(cè)需求變化的同時(shí)，終端安全也面臨新的威脅挑戰(zhàn)，因?yàn)楝F(xiàn)在服務(wù)器的注入和攻擊沒有像過去那么容易了，針對(duì)終端的攻擊越來越多。

薛鋒談及其中的原因，一方面是大型政企如果通過互聯(lián)網(wǎng)能夠訪問到的服務(wù)器、網(wǎng)站通常只有幾個(gè)或者幾十個(gè)，但在PC終端卻有成千上萬個(gè)，因此攻擊者能找到的入口也就多了幾十倍甚至幾百倍；另一方面，如果攻擊服務(wù)，對(duì)抗的是開發(fā)人員、IT安全人員對(duì)抗，但是攻擊終端，就是和普通員工對(duì)抗，例如財(cái)務(wù)人員、HR、普通員工、不太懂電腦技術(shù)的領(lǐng)導(dǎo)?！肮粽咭艚K端只存在想不想，不存在能不能，只要想就一定能攻陷，這是很明顯的趨勢?！毖︿h如是說。 

據(jù)薛鋒介紹，目前市場上終端安全產(chǎn)品主要有殺毒軟件、流量檢測類產(chǎn)品以及日志審計(jì)類產(chǎn)品。但是這三類產(chǎn)品都有各自的盲區(qū)。他舉例說，如果要保護(hù)的單位像工廠一樣是由一個(gè)個(gè)房間、一個(gè)個(gè)業(yè)務(wù)單元組成的話，部署流量和日志類產(chǎn)品，就像部署在大樓的出口或者樓道里面監(jiān)控探頭，看見的是南北向和東西向的流量，看見的是樓層和樓層之間和進(jìn)出這棟樓的流量。但黑客和壞人不總是從大樓的正門和樓道進(jìn)入，有可能從后門、窗戶、通風(fēng)管道進(jìn)去，也有可能是以快遞的形式帶來威脅。因此傳統(tǒng)基于流量檢測的產(chǎn)品不能解決所有問題。

而EDR則相當(dāng)于在工廠內(nèi)每一個(gè)房間都安裝了一個(gè)特別輕的傳感器、攝像頭，用戶能夠清晰地看見這一個(gè)房間里發(fā)生所有的行為，EDR采集完送入云端或者本地服務(wù)器做分析，可以和NDR流量檢測產(chǎn)品相互補(bǔ)充，從而更好的發(fā)現(xiàn)威脅。

薛鋒認(rèn)為，好的終端安全，必須是是輕、準(zhǔn)、穩(wěn)、全，即用戶使用時(shí)無感知占用CPU內(nèi)存小、穩(wěn)定性好、精準(zhǔn)追溯攻擊過程的分析能力、采集數(shù)據(jù)類型和上下文的豐富性。

在會(huì)后的采訪中，薛鋒表示：“我一直比較相信安全和醫(yī)療之間的映射關(guān)系，在醫(yī)療領(lǐng)域早發(fā)現(xiàn)問題很重要，但這只是一半，如何治療是更加重要。但在網(wǎng)絡(luò)安全領(lǐng)域，除了勒索軟件攻擊治不好之外，剩下百分之八十左右的問題一旦發(fā)現(xiàn)很容易解決，因此‘發(fā)現(xiàn)’能力很重要，也是安全廠商長期發(fā)展的路徑，目前微步產(chǎn)品沿著發(fā)現(xiàn)核心能力做了閉環(huán)。我們專注于解決的是一類問題就是‘檢測發(fā)現(xiàn)’，通過提供一些技術(shù)和產(chǎn)品幫助一些重點(diǎn)單位和關(guān)鍵基礎(chǔ)設(shè)施做好防護(hù)?！?/p>

集成EDR模塊的OneSEC有什么魔力？

聽說好？賣的好？用的好？完全是不一樣的概念，那么微步集成EDR模塊的OneSEC到底有什么魔力？ 

大多數(shù)企業(yè)想要EDR功能確實(shí)不假，但是一些客戶部署了一堆威脅檢測盒子，告警量一天達(dá)到千萬級(jí)以上，無法有效的識(shí)別有價(jià)值的告警；而且，告警量的增加勢必需要投入更多的人員進(jìn)行安全運(yùn)營，無形中增加了安全的成本。其次，大多數(shù)EDR，其實(shí)都是一個(gè)個(gè)孤島，沒有數(shù)據(jù)積累，采什么樣的數(shù)據(jù)？怎么采？其實(shí)是很難的一件事情。

做好EDR的關(guān)鍵一方面需要更加精準(zhǔn)的檢測，另一方面還需要協(xié)同聯(lián)動(dòng)；同時(shí)還得輕便，不能占用太多電腦資源。

據(jù)介紹，OneSEC的EDR模塊利用安裝在終端上的輕量級(jí)Agent，實(shí)時(shí)收集終端上的全量行為日志數(shù)據(jù)并上傳云端，利用云端強(qiáng)大的計(jì)算資源進(jìn)行IOA行為特征檢測。同時(shí)，EDR模塊還集成了包括威脅情報(bào)IOC、攻擊行為IOA、云端百億級(jí)樣本庫與圖關(guān)聯(lián)檢測等檢測方式，從多個(gè)維度交叉檢測，綜合評(píng)判，可全面、精準(zhǔn)發(fā)現(xiàn)各類威脅事件。經(jīng)過VB100的評(píng)測，OneSEC的檢出率可達(dá)99.94%。

此外，OneSEC采用云端訂閱模式交付，無需采購硬件，企業(yè)只需申請(qǐng)一個(gè)賬號(hào)，即可將分散在全國的辦公終端納入統(tǒng)一管理，并可隨企業(yè)終端數(shù)量增加而隨需采購?？梢詫?shí)現(xiàn)輕量化的終端管理，開箱即用。

而SaaS化部署安全的模式，微步一直走在行業(yè)的前列，老客戶續(xù)費(fèi)率超過100%，大客戶超過120%，相比于美國同行這個(gè)指標(biāo)也算是優(yōu)秀的了。

據(jù)黃雅芳介紹，SaaS模式本身對(duì)于腰部客戶來說或者中小客戶更友好，不需要買高昂軟件，或者放專人去運(yùn)維和運(yùn)營，只要一個(gè)賬號(hào)，用戶就知道管哪些人，推一個(gè)小工具上去就不用管到底用兩臺(tái)服務(wù)器還是四臺(tái)服務(wù)器，因?yàn)镾aaS化交付的模式就是減去了大家關(guān)注業(yè)務(wù)本身底層IT運(yùn)維的部分，用戶只用關(guān)心安全業(yè)務(wù)就好了，更具有普適性、普惠性。另外，在功能全面性上，補(bǔ)齊了中小客戶希望一體化解決日常終端安全輕量性產(chǎn)品需求。

最后就是端網(wǎng)聯(lián)動(dòng)能力，OneSEC能從網(wǎng)絡(luò)和終端兩個(gè)維度保證辦公終端安全。如OneDNS通過將云端威脅情報(bào)與DNS相結(jié)合，可從網(wǎng)絡(luò)流量側(cè)檢測威脅，通過阻斷惡意樣本反連、阻止新樣本下載、防止打開釣魚鏈接等方式保護(hù)企業(yè)終端安全；EDR模塊則利用IOA行為檢測、圖檢測等技術(shù)對(duì)終端行為日志進(jìn)行檢測分析，提供包括隔離進(jìn)程、文件、網(wǎng)絡(luò)乃至終端等多種處置策略。通過將終端行為與網(wǎng)絡(luò)流量相結(jié)合，OneSEC可以對(duì)終端威脅進(jìn)行更全面威脅覆蓋，處置策略更豐富、更靈活，隨時(shí)隨地為終端提供全面、精準(zhǔn)、高效的安全防護(hù)能力。

在談及微步在線未來還會(huì)在哪方面發(fā)力？薛鋒表示：“威脅情報(bào)是微步的底層能力，這是最基礎(chǔ)的。但是流量、終端和網(wǎng)關(guān)還是網(wǎng)絡(luò)安全的主陣地，雖然在這三個(gè)位置已經(jīng)有大量的產(chǎn)品，但是我們也會(huì)圍繞這三個(gè)方面布局，做一些創(chuàng)新性的產(chǎn)品，還是以輕量化、云化為主，我們更多定位在戰(zhàn)斗核心位置，用新的方式解決沒有解決的問題，這是未來長期的發(fā)展規(guī)劃方向?！?/p>

（雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))雷峰網(wǎng)）

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。