2月23日,微步在线发布终端安全管理平台——OneSEC,它照亮了终端安全防护技术的盲区,也补上了国内企业安全防护市场的一块空白。
EDR技术是什么?
关于这款EDR产品的整体介绍可以参考这篇文章。发布会上,微步在线希望通过OneSEC来为EDR正名,让我们看清楚,EDR是什么,能做什么,不能做什么?
从微步在线技术合伙人黄雅芳的介绍中了解到:EDR不是杀毒软件,但能发现绕过杀软的行为;EDR不是行为管理,但能发现不当操作带来的安全威胁;EDR不是零信任,但是能用来增强零信任的策略控制。
她还介绍称,EDR不能在恶意行为发生前就做防护,但能检测到攻击者的攻击动作并帮助安全人员进行快速响应。另外,EDR不能做到完全自动化,但是能提高运营效率,帮助安全人员聚焦在真实威胁上。
以应对无文件攻击为例来看EDR能做什么。EDR可以记录终端上发生的所有事情,并且,能检测到到执行动作的风险项,发现恶意攻击。随后,EDR能溯源完整的攻击过程,全面掌握攻击的影响面。最后,还能快速响应并遏制攻击进程,清理威胁源头。
国内EDR市场的空白
发布会上,微步在线的CEO创始人 薛锋分享了过去三五年来安全相关基础设施层面发生的变化。
从行业整体看,疫情影响下的远程办公给整体安全带来了新的挑战;从监管层面看,行业监管也越发重视实际效果;从攻击者的角度看,攻击者的技术门槛在降低,攻击的形式也越发多种多样。从被攻击的主体来看,以勒索软件为代表的安全威胁,让许多人都感受到了切肤之痛。
以威胁检测和响应见长的微步在线掌握着安全威胁方面的一手信息。从薛锋的介绍中了解到,无论是科研院所、医疗机构、大学,还是政府单位、企业、金融机构,遭受攻击的频率和数量都出现了大幅增长。
近几年来,薛锋及其团队成员在接触到成千上万家的企业后发现,明明很多企业都装了杀毒软件,买了很多安全产品,但依然会被钓鱼、被勒索。很多国内企业用户反应说找不到可靠的EDR产品,海外有一些不错的产品,但因为一些原因无法在国内使用。
终端安全的技术盲区
从微步在线的介绍中了解到,终端安全面临的压力越来越大,因为,杀毒软件、流量检测产品和日志分析类安全产品都有明显盲区。
比如,杀毒软件只能看到有问题的文件,而不能对安全威胁的上下文有所了解;流量产品只能看到管道上的数据,看不见终端内部发生行为;日志分析类的产品也同样无法高效地提供有价值的信息。
薛锋将企业网络安全防护与企业安保系统进行类比。部署流量和日志类产品就像部署在楼道或者出口的监控,只能看到这些地方进出的人。然而,黑客不总是走寻常路,有可能走后门、翻窗户、爬通风管道,很多威胁都不一定能看得见。
OneSEC的发布要改变这一局面
而OneSEC这种EDR则在每台终端上装了轻量级的Agent,就像是在每个房间装了摄像头,从而能清晰地看见房间里发生的所有的行为,带来更高的可见度。简而言之,EDR可以补充终端设备上发生事件记录严重缺失的问题。
OneSEC这种EDR可以将采集来的数据送入云端或者在本地服务器做分析,微步在线通过图技术对数据进行高效关联分析,能快速发现更深层次的线索,更快进行威胁溯源,为后续快速进行处置打下基础。
薛锋对于未来OneSEC的市场发展还是很有信心。在很多业内人士看来,国外最好的威胁情报厂商做了全世界最好的EDR,而微步在线在国内的威胁情报市场非常有优势,这是微步在线被看好的先发原因。
并且,微步在线是国内最早专注于用网络威胁做检测、做发现的企业。每年200多家演练单位,微步在线支持的单位超过150家,在多年攻防演练中积累了大量实战经验和技术优势。薛锋表示,过去12个月有数十家用户已经正式使用EDR产品,很多用户都给出了正面反馈。
微步在线推动数据技术在安全行业的应用
数据技术正在改变安全行业的形态。以前的安全防护依靠规则特征码的匹配,而现在的安全靠数据技术,通过采集大量安全相关数据,快速对数据进行深入分析,帮助企业尽早发现安全威胁,更深入地看清安全威胁。
从成立之初做威胁情报开始,微步在线累积大量威胁情报相关数据,这些数据质量非常高,国内有很多大企业和机构都会基于威胁情报与微步在线进行合作,微步在线推出很多产品也离不开威胁情报数据的支持,新发布的OneSEC也不例外。
OneSEC提供了SaaS和本地化两种部署模式,除了特意选择本地部署的用户以外,微步在线更推荐以SaaS化的方式提供服务。
微步在线在国内倡导订阅式的安全服务。如今,很多国内机构和组织对订阅安全服务方式的接受度也在不断提高,原因也很简单,很多用户如今更关注实际的安全运营效果,不只是单纯靠防御,也不只是买几个安全硬件了事,而是更相信运营和实战结合的效果。
在薛锋看来,一次性买断盒子方式其实是绑架了用户,这种方式对用户不利,而订阅交付的服务不仅把选择权给到用户,还能促使微步在线持续优化服务。用户显然也认可了这一点,据了解,过去7年多以来的数据显示,微步在线的大客户续约率很一直能维持在98%以上。