杰思安全以EDR為核心延伸更多安全應用,為客戶提供全景式安全洞察
原創【51CTO.com原創稿件】“早在四年前,我們就已經意識到,傳統的安全防護手段已經不能解決云時代下的安全隱患。必須開拓一種新的安全思路去防護模糊邊界下的信息安全。”這句話是北京杰思安全科技有限公司(以下簡稱“杰思安全”)董事長兼首席安全專家劉春華見到記者時開口談的第一句話,當年的他是這么思考的,也是這么行動的。
2015年,劉春華敏銳地捕捉到市場的變化:當越來越多的企業業務被遷移到云端,以PC為主的傳統網絡也逐漸開始向智能手機、汽車、攝像頭、智能家居等IOT終端轉移,隨之而來的是新型安全威脅層出不窮——APT攻擊、0day漏洞、勒索軟件……他預見到,當時安全廠商遵循的“重邊界輕終端”的網絡防護常規必將被打破。如何在云時代給客戶提供安全威脅的檢測防護,以及主機安全感知與事件精準溯源?劉春華幾經比較后,將目光鎖定在EDR(端點檢測與響應)技術上。2015年,杰思安全成立,研發的重點就是以EDR技術為核心的產品及解決方案。
選擇正確的方向方可事半功倍
事實證明,劉春華的眼光非常獨到。
從2016年開始,連續爆發的“豐收行動”、“摩訶草事件”、“蔓靈花行動”等針對我國國家單位、科研院所和政企部門的APT攻擊事件,以及層出不窮的各類勒索事件等,都將未知威脅防御話題提到了空前的高度。
而杰思安全推出的獵鷹主機安全響應產品以EDR端點檢測與響應技術理念為核心,結合CWPP、微隔離、自適應安全等前沿技術,能實時檢測未知威脅并快速響應。適用于服務器、云主機、PC、移動/智能終端、工控主機、物聯網終端等,支持Windows、Linux及國產操作系統,能輕松適應各種規模和IT架構的企業,大大提升用戶的安全主動防護能力,贏得了政府、運營商、金融、能源、交通、醫療、教育等行業用戶的高度認可。
對于當時為什么會瞄準EDR技術進行研發,劉春華的解釋非常直白:第一點原因是因為EDR技術門檻比較高,他舉例說明,殺毒軟件更偏重的是根據病毒庫做病毒查殺,市場后入者比較容易復制。但是EDR不同,它更多的是觀察攻擊者的行為來判斷行為是否異常,整個過程涉及到攔截、隔離、追溯、審計等多個環節,對產品研發能力要求非常高。第二點原因則是從用戶角度出發,劉春華認為EDR可以幫助用戶真正地解決云時代終端安全防護問題。
其實,劉春華對于國內安全發展趨勢的判斷和Gartner也不謀而合,Gartner近幾年來一直十分推崇EDR技術,幾乎每年都將其納入頂級技術之列。
深耕行業多年,對客戶安全賦能
這幾年,EDR技術在國內發展勢頭逐漸高漲,也有不少安全廠商開始涉足。雖然競爭逐漸激烈,但是劉春華對杰思安全的EDR產品卻非常有信心。他告訴記者,杰思安全研究EDR技術的應用近4年,在技術方面,杰思獵鷹主機安全響應系統不僅支持Windows操作系統,還支持Linux以及其他國產操作系統,在客戶應用中實用性非常強;在應用場景方面,杰思安全不僅提供單機版本,還更關注全網安全,即使黑客攻破一臺電腦,杰思安全也可以通過服務器給管理人員告警,保證其他聯網電腦的安全。
杰思安全的優勢不僅于此,還在于對用戶更多應用細節的把握,這是深耕行業多年的經驗積累。“用戶已經意識到必須采用新的手段應對安全威脅,但是對如何去做還不是非常清晰。”劉春華告訴記者,安全和性能始終是在博弈中尋求最佳平衡點,用戶可以接受去消耗一些資源去實現安全優化,但是其中檢測的尺度需要把握。例如不是所有的程序都需要去檢測,正常軟件的很多行為都不需要去觀察,這個時候就需要廠商去深刻了解用戶的實際應用場景,盡量不去影響用戶的應用,確保運行無感知,只有當觀察到出現威脅行為時才去做干預和內控檢查。
立足客戶需求,2019將為客戶提供全景式安全洞察
很多人對2017年4月的那場全球永恒之藍勒索病毒浩劫心有余悸,采訪中劉春華就提到了杰思安全曾遇到的一家特別幸運的客戶。他們之前與這位客戶接觸了幾次,客戶對于是否要安裝EDR安全設備仍在猶豫不定,最后客戶決定試裝一下,結果在安裝完成的第二天就爆發了WannaCry勒索病毒。客戶的不少同行都中招了,但是客戶由于安裝了杰思安全EDR產品,所有設備都正常運轉,完全沒受影響。后來這位客戶一口氣定了好幾套杰思安全的產品。“永恒之藍的爆發讓很多企業客戶意識到EDR的價值,從那以后主動找到我們咨詢的客戶越來越多。”劉春華透露。
當然,杰思安全并沒有滿足于“一招鮮吃遍天”,這幾年他們圍繞這EDR又研發了不少延伸技術和產品,例如CWPP(云工作負載保護平臺)、微隔離、自適應安全架構等等。劉春華告訴記者,這些都是互相關聯的技術,團隊協同作戰,可以讓客戶的系統更加安全。“例如CWPP就是側重于對日常云端安全常規性的檢查,如跑什么軟件,開了什么端口,組件是否有漏洞,是否存在弱密碼等。”
他還以微隔離為例,當EDR檢測到黑客已經黑入客戶電腦系統,那么在進入主機前,如果安裝了微隔離產品,那么數據庫服務只能訪問數據庫,緩存服務器只能訪問緩存,這讓用戶核心數據如同黑洞一般完全不可見,把黑客入侵渠道減到最少,大大增加了攻擊成本和難度。“微隔離支持Windows和Linux,等于把平臺打通了,非常適合混合云部署,前端服務器和數據庫服務器規則自適應,不需要再做配置,對硬件也沒有太多要求,在運維上還可以避免人為操作風險。”
采訪最后,劉春華表示,很多客戶買了非常多的安全產品但是產品之間無法關聯分析,而這正是杰思安全的價值所在——用戶通過終端采集到最全的數據,在控制臺上將所有數據做全網分析,發現異常行為之后,立刻進行攔截,并實現與網關聯動,與云聯動,在更遠端實現攔截。“未來杰思安全將更加關注全景分析,給客戶提供一個全局解決方案。”
【51CTO原創稿件,合作站點轉載請注明原文作者和出處為51CTO.com】
