傑思安全以EDR為核心延伸更多安全應用,為客戶提供全景式安全洞察
【51CTO.com原創稿件】“早在四年前,我們就已經意識到,傳統的安全防護手段已經不能解決雲時代下的安全隱患。必須開拓一種新的安全思路去防護模糊邊界下的資訊保安。”這句話是北京傑思安全科技有限公司(以下簡稱“傑思安全”)董事長兼首席安全專家劉春華見到記者時開口談的第一句話,當年的他是這麼思考的,也是這麼行動的。
2015年,劉春華敏銳地捕捉到市場的變化:當越來越多的企業業務被遷移到雲端,以PC為主的傳統網路也逐漸開始向智慧手機、汽車、攝像頭、智慧家居等IOT終端轉移,隨之而來的是新型安全威脅層出不窮——APT攻擊、0day漏洞、勒索軟體……他預見到,當時安全廠商遵循的“重邊界輕終端”的網路防護常規必將被打破。如何在雲時代給客戶提供安全威脅的檢測防護,以及主機安全感知與事件精準溯源?劉春華幾經比較後,將目光鎖定在EDR(端點檢測與響應)技術上。2015年,傑思安全成立,研發的重點就是以EDR技術為核心的產品及解決方案。
選擇正確的方向方可事半功倍
事實證明,劉春華的眼光非常獨到。
從2016年開始,連續爆發的“豐收行動”、“摩訶草事件”、“蔓靈花行動”等針對我國國家單位、科研院所和政企部門的APT攻擊事件,以及層出不窮的各類勒索事件等,都將未知威脅防禦話題提到了空前的高度。
而傑思安全推出的獵鷹主機安全響應產品以EDR端點檢測與響應技術理念為核心,結合CWPP、微隔離、自適應安全等前沿技術,能實時檢測未知威脅並快速響應。適用於伺服器、雲主機、PC、移動/智慧終端、工控主機、物聯網終端等,支援Windows、Linux及國產作業系統,能輕鬆適應各種規模和IT架構的企業,大大提升使用者的安全主動防護能力,贏得了政府、運營商、金融、能源、交通、醫療、教育等行業使用者的高度認可。
對於當時為什麼會瞄準EDR技術進行研發,劉春華的解釋非常直白:第一點原因是因為EDR技術門檻比較高,他舉例說明,防毒軟體更偏重的是根據病毒庫做病毒查殺,市場後入者比較容易複製。但是EDR不同,它更多的是觀察攻擊者的行為來判斷行為是否異常,整個過程涉及到攔截、隔離、追溯、審計等多個環節,對產品研發能力要求非常高。第二點原因則是從使用者角度出發,劉春華認為EDR可以幫助使用者真正地解決雲時代終端安全防護問題。
其實,劉春華對於國內安全發展趨勢的判斷和Gartner也不謀而合,Gartner近幾年來一直十分推崇EDR技術,幾乎每年都將其納入頂級技術之列。
深耕行業多年,對客戶安全賦能
這幾年,EDR技術在國內發展勢頭逐漸高漲,也有不少安全廠商開始涉足。雖然競爭逐漸激烈,但是劉春華對傑思安全的EDR產品卻非常有信心。他告訴記者,傑思安全研究EDR技術的應用近4年,在技術方面,傑思獵鷹主機安全響應系統不僅支援Windows作業系統,還支援Linux以及其他國產作業系統,在客戶應用中實用性非常強;在應用場景方面,傑思安全不僅提供單機版本,還更關注全網安全,即使黑客攻破一臺電腦,傑思安全也可以通過伺服器給管理人員告警,保證其他聯網電腦的安全。
傑思安全的優勢不僅於此,還在於對使用者更多應用細節的把握,這是深耕行業多年的經驗積累。“使用者已經意識到必須採用新的手段應對安全威脅,但是對如何去做還不是非常清晰。”劉春華告訴記者,安全和效能始終是在博弈中尋求最佳平衡點,使用者可以接受去消耗一些資源去實現安全優化,但是其中檢測的尺度需要把握。例如不是所有的程式都需要去檢測,正常軟體的很多行為都不需要去觀察,這個時候就需要廠商去深刻了解使用者的實際應用場景,儘量不去影響使用者的應用,確保執行無感知,只有當觀察到出現威脅行為時才去做干預和內控檢查。
立足客戶需求,2019將為客戶提供全景式安全洞察
很多人對2017年4月的那場全球永恆之藍勒索病毒浩劫心有餘悸,採訪中劉春華就提到了傑思安全曾遇到的一家特別幸運的客戶。他們之前與這位客戶接觸了幾次,客戶對於是否要安裝EDR安全裝置仍在猶豫不定,最後客戶決定試裝一下,結果在安裝完成的第二天就爆發了WannaCry勒索病毒。客戶的不少同行都中招了,但是客戶由於安裝了傑思安全EDR產品,所有裝置都正常運轉,完全沒受影響。後來這位客戶一口氣定了好幾套傑思安全的產品。“永恆之藍的爆發讓很多企業客戶意識到EDR的價值,從那以後主動找到我們諮詢的客戶越來越多。”劉春華透露。
當然,傑思安全並沒有滿足於“一招鮮吃遍天”,這幾年他們圍繞這EDR又研發了不少延伸技術和產品,例如CWPP(雲工作負載保護平臺)、微隔離、自適應安全架構等等。劉春華告訴記者,這些都是互相關聯的技術,團隊協同作戰,可以讓客戶的系統更加安全。“例如CWPP就是側重於對日常雲端安全常規性的檢查,如跑什麼軟體,開了什麼埠,元件是否有漏洞,是否存在弱密碼等。”
他還以微隔離為例,當EDR檢測到黑客已經黑入客戶電腦系統,那麼在進入主機前,如果安裝了微隔離產品,那麼資料庫服務只能訪問資料庫,快取伺服器只能訪問快取,這讓使用者核心資料如同黑洞一般完全不可見,把黑客入侵渠道減到最少,大大增加了攻擊成本和難度。“微隔離支援Windows和Linux,等於把平臺打通了,非常適合混合雲部署,前端伺服器和資料庫伺服器規則自適應,不需要再做配置,對硬體也沒有太多要求,在運維上還可以避免人為操作風險。”
採訪最後,劉春華表示,很多客戶買了非常多的安全產品但是產品之間無法關聯分析,而這正是傑思安全的價值所在——使用者通過終端採集到最全的資料,在控制檯上將所有資料做全網分析,發現異常行為之後,立刻進行攔截,並實現與閘道器聯動,與雲聯動,在更遠端實現攔截。“未來傑思安全將更加關注全景分析,給客戶提供一個全域性解決方案。”
【51CTO原創稿件,合作站點轉載請註明原文作者和出處為51CTO.com】
【責任編輯:周雪 TEL:(010)68476606】