從微步在線技術合伙人黃雅芳的介紹中了解到:EDR不是殺毒軟件���,但能發(fā)現(xiàn)繞過殺軟的行為�����;EDR不是行為管理�����,但能發(fā)現(xiàn)不當操作帶來的安全威脅����;EDR不是零信任��,但是能用來增強零信任的策略控制�。
她還介紹稱�����,EDR不能在惡意行為發(fā)生前就做防護�����,但能檢測到攻擊者的攻擊動作并幫助安全人員進行快速響應�����。另外���,EDR不能做到完全自動化,但是能提高運營效率��,幫助安全人員聚焦在真實威脅上���。
以應對無文件攻擊為例來看EDR能做什么���。EDR可以記錄終端上發(fā)生的所有事情,并且�,能檢測到到執(zhí)行動作的風險項,發(fā)現(xiàn)惡意攻擊。隨后�����,EDR能溯源完整的攻擊過程�,全面掌握攻擊的影響面�。最后,還能快速響應并遏制攻擊進程����,清理威脅源頭。
國內EDR市場的空白
發(fā)布會上���,微步在線的CEO創(chuàng)始人 薛鋒分享了過去三五年來安全相關基礎設施層面發(fā)生的變化��。
從行業(yè)整體看���,疫情影響下的遠程辦公給整體安全帶來了新的挑戰(zhàn);從監(jiān)管層面看����,行業(yè)監(jiān)管也越發(fā)重視實際效果;從攻擊者的角度看����,攻擊者的技術門檻在降低�,攻擊的形式也越發(fā)多種多樣�����。從被攻擊的主體來看����,以勒索軟件為代表的安全威脅,讓許多人都感受到了切膚之痛����。
以威脅檢測和響應見長的微步在線掌握著安全威脅方面的一手信息。從薛鋒的介紹中了解到�����,無論是科研院所�����、醫(yī)療機構�����、大學,還是政府單位����、企業(yè)、金融機構�,遭受攻擊的頻率和數量都出現(xiàn)了大幅增長�����。
近幾年來�����,薛鋒及其團隊成員在接觸到成千上萬家的企業(yè)后發(fā)現(xiàn)��,明明很多企業(yè)都裝了殺毒軟件�,買了很多安全產品,但依然會被釣魚���、被勒索��。很多國內企業(yè)用戶反應說找不到可靠的EDR產品����,海外有一些不錯的產品,但因為一些原因無法在國內使用���。
終端安全的技術盲區(qū)
從微步在線的介紹中了解到����,終端安全面臨的壓力越來越大�,因為,殺毒軟件�、流量檢測產品和日志分析類安全產品都有明顯盲區(qū)。
比如����,殺毒軟件只能看到有問題的文件,而不能對安全威脅的上下文有所了解�;流量產品只能看到管道上的數據,看不見終端內部發(fā)生行為�����;日志分析類的產品也同樣無法高效地提供有價值的信息��。
薛鋒將企業(yè)網絡安全防護與企業(yè)安保系統(tǒng)進行類比��。部署流量和日志類產品就像部署在樓道或者出口的監(jiān)控��,只能看到這些地方進出的人。然而�����,黑客不總是走尋常路���,有可能走后門����、翻窗戶����、爬通風管道���,很多威脅都不一定能看得見���。
OneSEC的發(fā)布要改變這一局面
而OneSEC這種EDR則在每臺終端上裝了輕量級的Agent,就像是在每個房間裝了攝像頭�����,從而能清晰地看見房間里發(fā)生的所有的行為���,帶來更高的可見度����。簡而言之,EDR可以補充終端設備上發(fā)生事件記錄嚴重缺失的問題��。
OneSEC這種EDR可以將采集來的數據送入云端或者在本地服務器做分析��,微步在線通過圖技術對數據進行高效關聯(lián)分析���,能快速發(fā)現(xiàn)更深層次的線索���,更快進行威脅溯源,為后續(xù)快速進行處置打下基礎��。
薛鋒對于未來OneSEC的市場發(fā)展還是很有信心�。在很多業(yè)內人士看來,國外最好的威脅情報廠商做了全世界最好的EDR�����,而微步在線在國內的威脅情報市場非常有優(yōu)勢����,這是微步在線被看好的先發(fā)原因��。
并且��,微步在線是國內最早專注于用網絡威脅做檢測�、做發(fā)現(xiàn)的企業(yè)�。每年200多家演練單位,微步在線支持的單位超過150家�����,在多年攻防演練中積累了大量實戰(zhàn)經驗和技術優(yōu)勢�����。薛鋒表示��,過去12個月有數十家用戶已經正式使用EDR產品����,很多用戶都給出了正面反饋�����。
微步在線推動數據技術在安全行業(yè)的應用
數據技術正在改變安全行業(yè)的形態(tài)��。以前的安全防護依靠規(guī)則特征碼的匹配,而現(xiàn)在的安全靠數據技術����,通過采集大量安全相關數據,快速對數據進行深入分析���,幫助企業(yè)盡早發(fā)現(xiàn)安全威脅���,更深入地看清安全威脅。
從成立之初做威脅情報開始�����,微步在線累積大量威脅情報相關數據�����,這些數據質量非常高�����,國內有很多大企業(yè)和機構都會基于威脅情報與微步在線進行合作���,微步在線推出很多產品也離不開威脅情報數據的支持���,新發(fā)布的OneSEC也不例外�。
OneSEC提供了SaaS和本地化兩種部署模式���,除了特意選擇本地部署的用戶以外�����,微步在線更推薦以SaaS化的方式提供服務�����。
微步在線在國內倡導訂閱式的安全服務�。如今��,很多國內機構和組織對訂閱安全服務方式的接受度也在不斷提高��,原因也很簡單�����,很多用戶如今更關注實際的安全運營效果��,不只是單純靠防御���,也不只是買幾個安全硬件了事���,而是更相信運營和實戰(zhàn)結合的效果。
在薛鋒看來���,一次性買斷盒子方式其實是綁架了用戶�,這種方式對用戶不利�,而訂閱交付的服務不僅把選擇權給到用戶,還能促使微步在線持續(xù)優(yōu)化服務�����。用戶顯然也認可了這一點����,據了解,過去7年多以來的數據顯示����,微步在線的大客戶續(xù)約率很一直能維持在98%以上。
