從微步在線技術合伙人黃雅芳的介紹中了解到:EDR不是殺毒軟件,但能發(fā)現(xiàn)繞過殺軟的行為����;EDR不是行為管理�����,但能發(fā)現(xiàn)不當操作帶來的安全威脅�����;EDR不是零信任�,但是能用來增強零信任的策略控制。
她還介紹稱�,EDR不能在惡意行為發(fā)生前就做防護��,但能檢測到攻擊者的攻擊動作并幫助安全人員進行快速響應����。另外,EDR不能做到完全自動化��,但是能提高運營效率���,幫助安全人員聚焦在真實威脅上���。
以應對無文件攻擊為例來看EDR能做什么�。EDR可以記錄終端上發(fā)生的所有事情���,并且��,能檢測到到執(zhí)行動作的風險項�,發(fā)現(xiàn)惡意攻擊���。隨后�,EDR能溯源完整的攻擊過程�����,全面掌握攻擊的影響面��。最后��,還能快速響應并遏制攻擊進程��,清理威脅源頭�����。
國內(nèi)EDR市場的空白
發(fā)布會上,微步在線的CEO創(chuàng)始人 薛鋒分享了過去三五年來安全相關基礎設施層面發(fā)生的變化��。
從行業(yè)整體看���,疫情影響下的遠程辦公給整體安全帶來了新的挑戰(zhàn)��;從監(jiān)管層面看��,行業(yè)監(jiān)管也越發(fā)重視實際效果���;從攻擊者的角度看,攻擊者的技術門檻在降低���,攻擊的形式也越發(fā)多種多樣�。從被攻擊的主體來看��,以勒索軟件為代表的安全威脅���,讓許多人都感受到了切膚之痛。
以威脅檢測和響應見長的微步在線掌握著安全威脅方面的一手信息�����。從薛鋒的介紹中了解到,無論是科研院所��、醫(yī)療機構(gòu)�、大學,還是政府單位��、企業(yè)�、金融機構(gòu),遭受攻擊的頻率和數(shù)量都出現(xiàn)了大幅增長�����。
近幾年來����,薛鋒及其團隊成員在接觸到成千上萬家的企業(yè)后發(fā)現(xiàn),明明很多企業(yè)都裝了殺毒軟件�����,買了很多安全產(chǎn)品����,但依然會被釣魚、被勒索。很多國內(nèi)企業(yè)用戶反應說找不到可靠的EDR產(chǎn)品���,海外有一些不錯的產(chǎn)品��,但因為一些原因無法在國內(nèi)使用��。
終端安全的技術盲區(qū)
從微步在線的介紹中了解到��,終端安全面臨的壓力越來越大��,因為����,殺毒軟件�、流量檢測產(chǎn)品和日志分析類安全產(chǎn)品都有明顯盲區(qū)。
比如��,殺毒軟件只能看到有問題的文件��,而不能對安全威脅的上下文有所了解�����;流量產(chǎn)品只能看到管道上的數(shù)據(jù)�����,看不見終端內(nèi)部發(fā)生行為���;日志分析類的產(chǎn)品也同樣無法高效地提供有價值的信息�����。
薛鋒將企業(yè)網(wǎng)絡安全防護與企業(yè)安保系統(tǒng)進行類比�����。部署流量和日志類產(chǎn)品就像部署在樓道或者出口的監(jiān)控�����,只能看到這些地方進出的人��。然而�����,黑客不總是走尋常路���,有可能走后門�����、翻窗戶�����、爬通風管道��,很多威脅都不一定能看得見�����。
OneSEC的發(fā)布要改變這一局面
而OneSEC這種EDR則在每臺終端上裝了輕量級的Agent��,就像是在每個房間裝了攝像頭����,從而能清晰地看見房間里發(fā)生的所有的行為����,帶來更高的可見度。簡而言之�,EDR可以補充終端設備上發(fā)生事件記錄嚴重缺失的問題。
OneSEC這種EDR可以將采集來的數(shù)據(jù)送入云端或者在本地服務器做分析����,微步在線通過圖技術對數(shù)據(jù)進行高效關聯(lián)分析,能快速發(fā)現(xiàn)更深層次的線索����,更快進行威脅溯源,為后續(xù)快速進行處置打下基礎����。
薛鋒對于未來OneSEC的市場發(fā)展還是很有信心。在很多業(yè)內(nèi)人士看來�����,國外最好的威脅情報廠商做了全世界最好的EDR�,而微步在線在國內(nèi)的威脅情報市場非常有優(yōu)勢,這是微步在線被看好的先發(fā)原因�。
并且,微步在線是國內(nèi)最早專注于用網(wǎng)絡威脅做檢測����、做發(fā)現(xiàn)的企業(yè)。每年200多家演練單位�,微步在線支持的單位超過150家,在多年攻防演練中積累了大量實戰(zhàn)經(jīng)驗和技術優(yōu)勢�����。薛鋒表示,過去12個月有數(shù)十家用戶已經(jīng)正式使用EDR產(chǎn)品��,很多用戶都給出了正面反饋����。
微步在線推動數(shù)據(jù)技術在安全行業(yè)的應用
數(shù)據(jù)技術正在改變安全行業(yè)的形態(tài)。以前的安全防護依靠規(guī)則特征碼的匹配��,而現(xiàn)在的安全靠數(shù)據(jù)技術�����,通過采集大量安全相關數(shù)據(jù)�����,快速對數(shù)據(jù)進行深入分析����,幫助企業(yè)盡早發(fā)現(xiàn)安全威脅,更深入地看清安全威脅���。
從成立之初做威脅情報開始��,微步在線累積大量威脅情報相關數(shù)據(jù)�����,這些數(shù)據(jù)質(zhì)量非常高��,國內(nèi)有很多大企業(yè)和機構(gòu)都會基于威脅情報與微步在線進行合作�����,微步在線推出很多產(chǎn)品也離不開威脅情報數(shù)據(jù)的支持��,新發(fā)布的OneSEC也不例外����。
OneSEC提供了SaaS和本地化兩種部署模式��,除了特意選擇本地部署的用戶以外��,微步在線更推薦以SaaS化的方式提供服務��。
微步在線在國內(nèi)倡導訂閱式的安全服務�����。如今,很多國內(nèi)機構(gòu)和組織對訂閱安全服務方式的接受度也在不斷提高�,原因也很簡單,很多用戶如今更關注實際的安全運營效果�����,不只是單純靠防御�����,也不只是買幾個安全硬件了事�,而是更相信運營和實戰(zhàn)結(jié)合的效果。
在薛鋒看來�����,一次性買斷盒子方式其實是綁架了用戶���,這種方式對用戶不利�,而訂閱交付的服務不僅把選擇權給到用戶��,還能促使微步在線持續(xù)優(yōu)化服務�。用戶顯然也認可了這一點,據(jù)了解,過去7年多以來的數(shù)據(jù)顯示���,微步在線的大客戶續(xù)約率很一直能維持在98%以上���。
