杰思安全以EDR為核心延伸更多安全應(yīng)用,為客戶提供全景式安全洞察
原創(chuàng)【51CTO.com原創(chuàng)稿件】“早在四年前,我們就已經(jīng)意識到,傳統(tǒng)的安全防護手段已經(jīng)不能解決云時代下的安全隱患。必須開拓一種新的安全思路去防護模糊邊界下的信息安全。”這句話是北京杰思安全科技有限公司(以下簡稱“杰思安全”)董事長兼首席安全專家劉春華見到記者時開口談的第一句話,當年的他是這么思考的,也是這么行動的。
2015年,劉春華敏銳地捕捉到市場的變化:當越來越多的企業(yè)業(yè)務(wù)被遷移到云端,以PC為主的傳統(tǒng)網(wǎng)絡(luò)也逐漸開始向智能手機、汽車、攝像頭、智能家居等IOT終端轉(zhuǎn)移,隨之而來的是新型安全威脅層出不窮——APT攻擊、0day漏洞、勒索軟件……他預(yù)見到,當時安全廠商遵循的“重邊界輕終端”的網(wǎng)絡(luò)防護常規(guī)必將被打破。如何在云時代給客戶提供安全威脅的檢測防護,以及主機安全感知與事件精準溯源?劉春華幾經(jīng)比較后,將目光鎖定在EDR(端點檢測與響應(yīng))技術(shù)上。2015年,杰思安全成立,研發(fā)的重點就是以EDR技術(shù)為核心的產(chǎn)品及解決方案。
選擇正確的方向方可事半功倍
事實證明,劉春華的眼光非常獨到。
從2016年開始,連續(xù)爆發(fā)的“豐收行動”、“摩訶草事件”、“蔓靈花行動”等針對我國國家單位、科研院所和政企部門的APT攻擊事件,以及層出不窮的各類勒索事件等,都將未知威脅防御話題提到了空前的高度。
而杰思安全推出的獵鷹主機安全響應(yīng)產(chǎn)品以EDR端點檢測與響應(yīng)技術(shù)理念為核心,結(jié)合CWPP、微隔離、自適應(yīng)安全等前沿技術(shù),能實時檢測未知威脅并快速響應(yīng)。適用于服務(wù)器、云主機、PC、移動/智能終端、工控主機、物聯(lián)網(wǎng)終端等,支持Windows、Linux及國產(chǎn)操作系統(tǒng),能輕松適應(yīng)各種規(guī)模和IT架構(gòu)的企業(yè),大大提升用戶的安全主動防護能力,贏得了政府、運營商、金融、能源、交通、醫(yī)療、教育等行業(yè)用戶的高度認可。
對于當時為什么會瞄準EDR技術(shù)進行研發(fā),劉春華的解釋非常直白:第一點原因是因為EDR技術(shù)門檻比較高,他舉例說明,殺毒軟件更偏重的是根據(jù)病毒庫做病毒查殺,市場后入者比較容易復制。但是EDR不同,它更多的是觀察攻擊者的行為來判斷行為是否異常,整個過程涉及到攔截、隔離、追溯、審計等多個環(huán)節(jié),對產(chǎn)品研發(fā)能力要求非常高。第二點原因則是從用戶角度出發(fā),劉春華認為EDR可以幫助用戶真正地解決云時代終端安全防護問題。
其實,劉春華對于國內(nèi)安全發(fā)展趨勢的判斷和Gartner也不謀而合,Gartner近幾年來一直十分推崇EDR技術(shù),幾乎每年都將其納入頂級技術(shù)之列。
深耕行業(yè)多年,對客戶安全賦能
這幾年,EDR技術(shù)在國內(nèi)發(fā)展勢頭逐漸高漲,也有不少安全廠商開始涉足。雖然競爭逐漸激烈,但是劉春華對杰思安全的EDR產(chǎn)品卻非常有信心。他告訴記者,杰思安全研究EDR技術(shù)的應(yīng)用近4年,在技術(shù)方面,杰思獵鷹主機安全響應(yīng)系統(tǒng)不僅支持Windows操作系統(tǒng),還支持Linux以及其他國產(chǎn)操作系統(tǒng),在客戶應(yīng)用中實用性非常強;在應(yīng)用場景方面,杰思安全不僅提供單機版本,還更關(guān)注全網(wǎng)安全,即使黑客攻破一臺電腦,杰思安全也可以通過服務(wù)器給管理人員告警,保證其他聯(lián)網(wǎng)電腦的安全。
杰思安全的優(yōu)勢不僅于此,還在于對用戶更多應(yīng)用細節(jié)的把握,這是深耕行業(yè)多年的經(jīng)驗積累。“用戶已經(jīng)意識到必須采用新的手段應(yīng)對安全威脅,但是對如何去做還不是非常清晰。”劉春華告訴記者,安全和性能始終是在博弈中尋求最佳平衡點,用戶可以接受去消耗一些資源去實現(xiàn)安全優(yōu)化,但是其中檢測的尺度需要把握。例如不是所有的程序都需要去檢測,正常軟件的很多行為都不需要去觀察,這個時候就需要廠商去深刻了解用戶的實際應(yīng)用場景,盡量不去影響用戶的應(yīng)用,確保運行無感知,只有當觀察到出現(xiàn)威脅行為時才去做干預(yù)和內(nèi)控檢查。
立足客戶需求,2019將為客戶提供全景式安全洞察
很多人對2017年4月的那場全球永恒之藍勒索病毒浩劫心有余悸,采訪中劉春華就提到了杰思安全曾遇到的一家特別幸運的客戶。他們之前與這位客戶接觸了幾次,客戶對于是否要安裝EDR安全設(shè)備仍在猶豫不定,最后客戶決定試裝一下,結(jié)果在安裝完成的第二天就爆發(fā)了WannaCry勒索病毒。客戶的不少同行都中招了,但是客戶由于安裝了杰思安全EDR產(chǎn)品,所有設(shè)備都正常運轉(zhuǎn),完全沒受影響。后來這位客戶一口氣定了好幾套杰思安全的產(chǎn)品。“永恒之藍的爆發(fā)讓很多企業(yè)客戶意識到EDR的價值,從那以后主動找到我們咨詢的客戶越來越多。”劉春華透露。
當然,杰思安全并沒有滿足于“一招鮮吃遍天”,這幾年他們圍繞這EDR又研發(fā)了不少延伸技術(shù)和產(chǎn)品,例如CWPP(云工作負載保護平臺)、微隔離、自適應(yīng)安全架構(gòu)等等。劉春華告訴記者,這些都是互相關(guān)聯(lián)的技術(shù),團隊協(xié)同作戰(zhàn),可以讓客戶的系統(tǒng)更加安全。“例如CWPP就是側(cè)重于對日常云端安全常規(guī)性的檢查,如跑什么軟件,開了什么端口,組件是否有漏洞,是否存在弱密碼等。”
他還以微隔離為例,當EDR檢測到黑客已經(jīng)黑入客戶電腦系統(tǒng),那么在進入主機前,如果安裝了微隔離產(chǎn)品,那么數(shù)據(jù)庫服務(wù)只能訪問數(shù)據(jù)庫,緩存服務(wù)器只能訪問緩存,這讓用戶核心數(shù)據(jù)如同黑洞一般完全不可見,把黑客入侵渠道減到最少,大大增加了攻擊成本和難度。“微隔離支持Windows和Linux,等于把平臺打通了,非常適合混合云部署,前端服務(wù)器和數(shù)據(jù)庫服務(wù)器規(guī)則自適應(yīng),不需要再做配置,對硬件也沒有太多要求,在運維上還可以避免人為操作風險。”
采訪最后,劉春華表示,很多客戶買了非常多的安全產(chǎn)品但是產(chǎn)品之間無法關(guān)聯(lián)分析,而這正是杰思安全的價值所在——用戶通過終端采集到最全的數(shù)據(jù),在控制臺上將所有數(shù)據(jù)做全網(wǎng)分析,發(fā)現(xiàn)異常行為之后,立刻進行攔截,并實現(xiàn)與網(wǎng)關(guān)聯(lián)動,與云聯(lián)動,在更遠端實現(xiàn)攔截。“未來杰思安全將更加關(guān)注全景分析,給客戶提供一個全局解決方案。”
【51CTO原創(chuàng)稿件,合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】
