從微步在線技術(shù)合伙人黃雅芳的介紹中了解到:EDR不是殺毒軟件,但能發(fā)現(xiàn)繞過(guò)殺軟的行為����;EDR不是行為管理,但能發(fā)現(xiàn)不當(dāng)操作帶來(lái)的安全威脅;EDR不是零信任����,但是能用來(lái)增強(qiáng)零信任的策略控制。
她還介紹稱�,EDR不能在惡意行為發(fā)生前就做防護(hù),但能檢測(cè)到攻擊者的攻擊動(dòng)作并幫助安全人員進(jìn)行快速響應(yīng)����。另外,EDR不能做到完全自動(dòng)化����,但是能提高運(yùn)營(yíng)效率�,幫助安全人員聚焦在真實(shí)威脅上。
以應(yīng)對(duì)無(wú)文件攻擊為例來(lái)看EDR能做什么��。EDR可以記錄終端上發(fā)生的所有事情����,并且,能檢測(cè)到到執(zhí)行動(dòng)作的風(fēng)險(xiǎn)項(xiàng)���,發(fā)現(xiàn)惡意攻擊���。隨后�����,EDR能溯源完整的攻擊過(guò)程���,全面掌握攻擊的影響面。最后��,還能快速響應(yīng)并遏制攻擊進(jìn)程��,清理威脅源頭�����。
國(guó)內(nèi)EDR市場(chǎng)的空白
發(fā)布會(huì)上����,微步在線的CEO創(chuàng)始人 薛鋒分享了過(guò)去三五年來(lái)安全相關(guān)基礎(chǔ)設(shè)施層面發(fā)生的變化。
從行業(yè)整體看�,疫情影響下的遠(yuǎn)程辦公給整體安全帶來(lái)了新的挑戰(zhàn);從監(jiān)管層面看��,行業(yè)監(jiān)管也越發(fā)重視實(shí)際效果����;從攻擊者的角度看��,攻擊者的技術(shù)門檻在降低����,攻擊的形式也越發(fā)多種多樣�����。從被攻擊的主體來(lái)看,以勒索軟件為代表的安全威脅����,讓許多人都感受到了切膚之痛。
以威脅檢測(cè)和響應(yīng)見(jiàn)長(zhǎng)的微步在線掌握著安全威脅方面的一手信息�。從薛鋒的介紹中了解到,無(wú)論是科研院所�����、醫(yī)療機(jī)構(gòu)、大學(xué)�����,還是政府單位�、企業(yè)、金融機(jī)構(gòu)�����,遭受攻擊的頻率和數(shù)量都出現(xiàn)了大幅增長(zhǎng)��。
近幾年來(lái)��,薛鋒及其團(tuán)隊(duì)成員在接觸到成千上萬(wàn)家的企業(yè)后發(fā)現(xiàn)��,明明很多企業(yè)都裝了殺毒軟件�,買了很多安全產(chǎn)品,但依然會(huì)被釣魚��、被勒索�。很多國(guó)內(nèi)企業(yè)用戶反應(yīng)說(shuō)找不到可靠的EDR產(chǎn)品,海外有一些不錯(cuò)的產(chǎn)品�,但因?yàn)橐恍┰驘o(wú)法在國(guó)內(nèi)使用。
終端安全的技術(shù)盲區(qū)
從微步在線的介紹中了解到���,終端安全面臨的壓力越來(lái)越大���,因?yàn)?��,殺毒軟件、流量檢測(cè)產(chǎn)品和日志分析類安全產(chǎn)品都有明顯盲區(qū)����。
比如,殺毒軟件只能看到有問(wèn)題的文件��,而不能對(duì)安全威脅的上下文有所了解���;流量產(chǎn)品只能看到管道上的數(shù)據(jù)����,看不見(jiàn)終端內(nèi)部發(fā)生行為�;日志分析類的產(chǎn)品也同樣無(wú)法高效地提供有價(jià)值的信息��。
薛鋒將企業(yè)網(wǎng)絡(luò)安全防護(hù)與企業(yè)安保系統(tǒng)進(jìn)行類比�����。部署流量和日志類產(chǎn)品就像部署在樓道或者出口的監(jiān)控,只能看到這些地方進(jìn)出的人�。然而,黑客不總是走尋常路�,有可能走后門、翻窗戶���、爬通風(fēng)管道�,很多威脅都不一定能看得見(jiàn)����。
OneSEC的發(fā)布要改變這一局面
而OneSEC這種EDR則在每臺(tái)終端上裝了輕量級(jí)的Agent,就像是在每個(gè)房間裝了攝像頭�,從而能清晰地看見(jiàn)房間里發(fā)生的所有的行為,帶來(lái)更高的可見(jiàn)度����。簡(jiǎn)而言之,EDR可以補(bǔ)充終端設(shè)備上發(fā)生事件記錄嚴(yán)重缺失的問(wèn)題��。
OneSEC這種EDR可以將采集來(lái)的數(shù)據(jù)送入云端或者在本地服務(wù)器做分析�����,微步在線通過(guò)圖技術(shù)對(duì)數(shù)據(jù)進(jìn)行高效關(guān)聯(lián)分析��,能快速發(fā)現(xiàn)更深層次的線索,更快進(jìn)行威脅溯源�,為后續(xù)快速進(jìn)行處置打下基礎(chǔ)。
薛鋒對(duì)于未來(lái)OneSEC的市場(chǎng)發(fā)展還是很有信心�����。在很多業(yè)內(nèi)人士看來(lái)�,國(guó)外最好的威脅情報(bào)廠商做了全世界最好的EDR,而微步在線在國(guó)內(nèi)的威脅情報(bào)市場(chǎng)非常有優(yōu)勢(shì)�����,這是微步在線被看好的先發(fā)原因����。
并且,微步在線是國(guó)內(nèi)最早專注于用網(wǎng)絡(luò)威脅做檢測(cè)�、做發(fā)現(xiàn)的企業(yè)。每年200多家演練單位�,微步在線支持的單位超過(guò)150家,在多年攻防演練中積累了大量實(shí)戰(zhàn)經(jīng)驗(yàn)和技術(shù)優(yōu)勢(shì)���。薛鋒表示�����,過(guò)去12個(gè)月有數(shù)十家用戶已經(jīng)正式使用EDR產(chǎn)品�,很多用戶都給出了正面反饋����。
微步在線推動(dòng)數(shù)據(jù)技術(shù)在安全行業(yè)的應(yīng)用
數(shù)據(jù)技術(shù)正在改變安全行業(yè)的形態(tài)。以前的安全防護(hù)依靠規(guī)則特征碼的匹配�����,而現(xiàn)在的安全靠數(shù)據(jù)技術(shù)����,通過(guò)采集大量安全相關(guān)數(shù)據(jù),快速對(duì)數(shù)據(jù)進(jìn)行深入分析����,幫助企業(yè)盡早發(fā)現(xiàn)安全威脅,更深入地看清安全威脅�。
從成立之初做威脅情報(bào)開(kāi)始,微步在線累積大量威脅情報(bào)相關(guān)數(shù)據(jù)����,這些數(shù)據(jù)質(zhì)量非常高,國(guó)內(nèi)有很多大企業(yè)和機(jī)構(gòu)都會(huì)基于威脅情報(bào)與微步在線進(jìn)行合作����,微步在線推出很多產(chǎn)品也離不開(kāi)威脅情報(bào)數(shù)據(jù)的支持��,新發(fā)布的OneSEC也不例外��。
OneSEC提供了SaaS和本地化兩種部署模式�����,除了特意選擇本地部署的用戶以外�,微步在線更推薦以SaaS化的方式提供服務(wù)�����。
微步在線在國(guó)內(nèi)倡導(dǎo)訂閱式的安全服務(wù)�����。如今����,很多國(guó)內(nèi)機(jī)構(gòu)和組織對(duì)訂閱安全服務(wù)方式的接受度也在不斷提高,原因也很簡(jiǎn)單�����,很多用戶如今更關(guān)注實(shí)際的安全運(yùn)營(yíng)效果,不只是單純靠防御����,也不只是買幾個(gè)安全硬件了事����,而是更相信運(yùn)營(yíng)和實(shí)戰(zhàn)結(jié)合的效果。
在薛鋒看來(lái)�����,一次性買斷盒子方式其實(shí)是綁架了用戶���,這種方式對(duì)用戶不利��,而訂閱交付的服務(wù)不僅把選擇權(quán)給到用戶���,還能促使微步在線持續(xù)優(yōu)化服務(wù)。用戶顯然也認(rèn)可了這一點(diǎn)��,據(jù)了解��,過(guò)去7年多以來(lái)的數(shù)據(jù)顯示,微步在線的大客戶續(xù)約率很一直能維持在98%以上��。
