從微步在線技術(shù)合伙人黃雅芳的介紹中了解到:EDR不是殺毒軟件,但能發(fā)現(xiàn)繞過(guò)殺軟的行為;EDR不是行為管理,但能發(fā)現(xiàn)不當(dāng)操作帶來(lái)的安全威脅;EDR不是零信任,但是能用來(lái)增強(qiáng)零信任的策略控制。
她還介紹稱,EDR不能在惡意行為發(fā)生前就做防護(hù),但能檢測(cè)到攻擊者的攻擊動(dòng)作并幫助安全人員進(jìn)行快速響應(yīng)。另外,EDR不能做到完全自動(dòng)化,但是能提高運(yùn)營(yíng)效率,幫助安全人員聚焦在真實(shí)威脅上。
以應(yīng)對(duì)無(wú)文件攻擊為例來(lái)看EDR能做什么。EDR可以記錄終端上發(fā)生的所有事情,并且,能檢測(cè)到到執(zhí)行動(dòng)作的風(fēng)險(xiǎn)項(xiàng),發(fā)現(xiàn)惡意攻擊。隨后,EDR能溯源完整的攻擊過(guò)程,全面掌握攻擊的影響面。最后,還能快速響應(yīng)并遏制攻擊進(jìn)程,清理威脅源頭。
國(guó)內(nèi)EDR市場(chǎng)的空白
發(fā)布會(huì)上,微步在線的CEO創(chuàng)始人 薛鋒分享了過(guò)去三五年來(lái)安全相關(guān)基礎(chǔ)設(shè)施層面發(fā)生的變化。
從行業(yè)整體看,疫情影響下的遠(yuǎn)程辦公給整體安全帶來(lái)了新的挑戰(zhàn);從監(jiān)管層面看,行業(yè)監(jiān)管也越發(fā)重視實(shí)際效果;從攻擊者的角度看,攻擊者的技術(shù)門檻在降低,攻擊的形式也越發(fā)多種多樣。從被攻擊的主體來(lái)看,以勒索軟件為代表的安全威脅,讓許多人都感受到了切膚之痛。
以威脅檢測(cè)和響應(yīng)見(jiàn)長(zhǎng)的微步在線掌握著安全威脅方面的一手信息。從薛鋒的介紹中了解到,無(wú)論是科研院所、醫(yī)療機(jī)構(gòu)、大學(xué),還是政府單位、企業(yè)、金融機(jī)構(gòu),遭受攻擊的頻率和數(shù)量都出現(xiàn)了大幅增長(zhǎng)。
近幾年來(lái),薛鋒及其團(tuán)隊(duì)成員在接觸到成千上萬(wàn)家的企業(yè)后發(fā)現(xiàn),明明很多企業(yè)都裝了殺毒軟件,買了很多安全產(chǎn)品,但依然會(huì)被釣魚、被勒索。很多國(guó)內(nèi)企業(yè)用戶反應(yīng)說(shuō)找不到可靠的EDR產(chǎn)品,海外有一些不錯(cuò)的產(chǎn)品,但因?yàn)橐恍┰驘o(wú)法在國(guó)內(nèi)使用。
終端安全的技術(shù)盲區(qū)
從微步在線的介紹中了解到,終端安全面臨的壓力越來(lái)越大,因?yàn)?,殺毒軟件、流量檢測(cè)產(chǎn)品和日志分析類安全產(chǎn)品都有明顯盲區(qū)。
比如,殺毒軟件只能看到有問(wèn)題的文件,而不能對(duì)安全威脅的上下文有所了解;流量產(chǎn)品只能看到管道上的數(shù)據(jù),看不見(jiàn)終端內(nèi)部發(fā)生行為;日志分析類的產(chǎn)品也同樣無(wú)法高效地提供有價(jià)值的信息。
薛鋒將企業(yè)網(wǎng)絡(luò)安全防護(hù)與企業(yè)安保系統(tǒng)進(jìn)行類比。部署流量和日志類產(chǎn)品就像部署在樓道或者出口的監(jiān)控,只能看到這些地方進(jìn)出的人。然而,黑客不總是走尋常路,有可能走后門、翻窗戶、爬通風(fēng)管道,很多威脅都不一定能看得見(jiàn)。
OneSEC的發(fā)布要改變這一局面
而OneSEC這種EDR則在每臺(tái)終端上裝了輕量級(jí)的Agent,就像是在每個(gè)房間裝了攝像頭,從而能清晰地看見(jiàn)房間里發(fā)生的所有的行為,帶來(lái)更高的可見(jiàn)度。簡(jiǎn)而言之,EDR可以補(bǔ)充終端設(shè)備上發(fā)生事件記錄嚴(yán)重缺失的問(wèn)題。
OneSEC這種EDR可以將采集來(lái)的數(shù)據(jù)送入云端或者在本地服務(wù)器做分析,微步在線通過(guò)圖技術(shù)對(duì)數(shù)據(jù)進(jìn)行高效關(guān)聯(lián)分析,能快速發(fā)現(xiàn)更深層次的線索,更快進(jìn)行威脅溯源,為后續(xù)快速進(jìn)行處置打下基礎(chǔ)。
薛鋒對(duì)于未來(lái)OneSEC的市場(chǎng)發(fā)展還是很有信心。在很多業(yè)內(nèi)人士看來(lái),國(guó)外最好的威脅情報(bào)廠商做了全世界最好的EDR,而微步在線在國(guó)內(nèi)的威脅情報(bào)市場(chǎng)非常有優(yōu)勢(shì),這是微步在線被看好的先發(fā)原因。
并且,微步在線是國(guó)內(nèi)最早專注于用網(wǎng)絡(luò)威脅做檢測(cè)、做發(fā)現(xiàn)的企業(yè)。每年200多家演練單位,微步在線支持的單位超過(guò)150家,在多年攻防演練中積累了大量實(shí)戰(zhàn)經(jīng)驗(yàn)和技術(shù)優(yōu)勢(shì)。薛鋒表示,過(guò)去12個(gè)月有數(shù)十家用戶已經(jīng)正式使用EDR產(chǎn)品,很多用戶都給出了正面反饋。
微步在線推動(dòng)數(shù)據(jù)技術(shù)在安全行業(yè)的應(yīng)用
數(shù)據(jù)技術(shù)正在改變安全行業(yè)的形態(tài)。以前的安全防護(hù)依靠規(guī)則特征碼的匹配,而現(xiàn)在的安全靠數(shù)據(jù)技術(shù),通過(guò)采集大量安全相關(guān)數(shù)據(jù),快速對(duì)數(shù)據(jù)進(jìn)行深入分析,幫助企業(yè)盡早發(fā)現(xiàn)安全威脅,更深入地看清安全威脅。
從成立之初做威脅情報(bào)開(kāi)始,微步在線累積大量威脅情報(bào)相關(guān)數(shù)據(jù),這些數(shù)據(jù)質(zhì)量非常高,國(guó)內(nèi)有很多大企業(yè)和機(jī)構(gòu)都會(huì)基于威脅情報(bào)與微步在線進(jìn)行合作,微步在線推出很多產(chǎn)品也離不開(kāi)威脅情報(bào)數(shù)據(jù)的支持,新發(fā)布的OneSEC也不例外。
OneSEC提供了SaaS和本地化兩種部署模式,除了特意選擇本地部署的用戶以外,微步在線更推薦以SaaS化的方式提供服務(wù)。
微步在線在國(guó)內(nèi)倡導(dǎo)訂閱式的安全服務(wù)。如今,很多國(guó)內(nèi)機(jī)構(gòu)和組織對(duì)訂閱安全服務(wù)方式的接受度也在不斷提高,原因也很簡(jiǎn)單,很多用戶如今更關(guān)注實(shí)際的安全運(yùn)營(yíng)效果,不只是單純靠防御,也不只是買幾個(gè)安全硬件了事,而是更相信運(yùn)營(yíng)和實(shí)戰(zhàn)結(jié)合的效果。
在薛鋒看來(lái),一次性買斷盒子方式其實(shí)是綁架了用戶,這種方式對(duì)用戶不利,而訂閱交付的服務(wù)不僅把選擇權(quán)給到用戶,還能促使微步在線持續(xù)優(yōu)化服務(wù)。用戶顯然也認(rèn)可了這一點(diǎn),據(jù)了解,過(guò)去7年多以來(lái)的數(shù)據(jù)顯示,微步在線的大客戶續(xù)約率很一直能維持在98%以上。