媒体丨网络安全领域千亿市场,杰思安全用技术破局

文 /逐鹿X

    10月21日,一场大规模互联网瘫痪席卷全美,Dyn公司位于美国东海岸的DNS基础设施遭受DDoS攻击,严重影响Twitter、CNN、星巴克、纽约时报等网站访问。比特币的出现改变了黑客的生存形态,网络恶意攻击事件频现,低调且更具针对性。与此同时,随着云平台、移动化办公的应用,传统边界防控及特征库防控已不能满足现代企业需求,从终端保护用户、预测未知威胁成为新需要。目前在终端安全检测与响应(EDR)领域,国外Tanium、Crowdstrikec等产品已估值数十亿美金,而在国内,作为最成熟的操作系统侧探针安全技术产品,杰思安全正通过终端检测与响应,保护着企业的网络安全。

边界失效、特征库失效


企业网络安全,终端保护才是可取之道

    在云计算出现之前,防火墙跟杀毒,是网络基础安全防护的两大核心产品,防火墙或网关的功能在于:在确定企业网络边界之处,通过“圈围栏”的方式保证安全;而内部控制上,每出现一台计算机便默认装一套杀毒软件,在过去20年里,这两个领域产生了一批安全厂商,中国每年200到400多亿的市场空间,绝大部分被做这两类产品的公司占据。
    然而,随着云计算落地,企业IT应用环境不再是固定空间,云平台的出现以及BYOD应用使得企业网络边界变得模糊,传统边界防控失效。同时,比特币出现,黑客从传统针对个人、破坏型、炫技型攻击转变为以利益为导向、针对企业、隐蔽型攻击,病毒更具针对性且独一无二,而由于企业机密信息不与外网对接,导致特征库更新不及时而失效。企业对于网络安全的需求正在演变。
    1996年开始涉猎网络安全,曾为全球顶级信息安全解决方案提供商Symantec编写终端安全软件核心代码、前Websense邮件安全产品研发总监,刘春华对于网络安全需求的演变洞察透彻而敏感;而同样深耕网络安全和数据十余年,曾任Check Point 技术总监、 锐捷网络数据中心交换机/高端路由器产品线总监,蒋波也看到了终端安全领域存在的机遇,“从供应商这块来说,安全领域会有新型技术公司出现,因为绝大部分的企业环境都IT化了,业务系统都在IT环境里跑,安全就是生命,而随着边界消失,特征库失效,网络安全没办法再去放盒子,那你就得找源头,源头在哪?其实就是在终端。”
    凭借刘春华在终端安全领域顶尖水平的研发能力,搭载着蒋波对于产品运营和团队管理运作的娴熟经验,两人的网络终端安全创业之路开始,而他们的创业想法也吸引了蒋波曾经的同事,前CheckPoint VP 刘峻以及刘春华在Websense时期的老朋友黄越的加入。
    产品线有顶级的技术团队覆盖终端安全研发,销售团队资源充沛,中间有经验丰富的运营承接,志趣相投而又互相需要,四个决心改变中国企业网络安全的互联网人,开始探索属于中国自己的企业终端网络安全之路。

操作系统内核监控


敏锐探针即时防范勒索软件与免杀木马

    “我们通过在应用层与主机操作系统内核的调用入口处部署探针,实时监测异常行为,通过异常行为分析来预测风险。这是终端安全监测最核心的内容,突破了边界的限制,更重要的是,打破特征库局限,即使特征库中没有备份的病毒与木马 ,只要它的存在引起异常行为,我们就能实时监测到,及时止损。”
    与国内诸多主打终端检测的营销概念不同,杰思安全用实实在在的产品已检测出多个全球范围唯一样本的勒索软件与免杀木马。今年5月,某国内知名互联网公司主管薪资的HR电脑遭遇勒索软件攻击,在企业内部无法解决的情况下,他们找到了杰思安全团队,当占据CPU不足1%的探针安装包装在终端之后,通过操作系统内核监控,异常行为立即凸显。单机检测效果显著,而针对企业的多技术环境,杰思安全引入横向对比,当多个主机同时进行一项任务时,一旦某一台出现行为异常,基于终端的探针也能够实时发现问题,防范于未然。
    而针对目前市面上更难对付的免杀木马,杰思安全同样也有应对之道。某国内知名保健及美容产品零售连锁店,其电商平台曾在积分对帐的时候,发现用户累计积分和兑换积分中间差额过大,杰思安全通过探针检测后发现,黑客利用免杀木马,控制了其电商平台的网站服务器,专门做了一个为用户翻倍更改积分的小生意,而这个免杀木马第一个版本出现在7年前,由于经过多次版本更改,传统特征库检测形式一直失效,却最终被杰思安全的“敏锐”探针发现。
    “不像其他领域的IT类的产品,相比国外滞后度在2到3年,在终端响应与检测这一块,我们起步几乎是跟他们差不多,目前产品化的进度,估计在一个季度的时间差上,基本上跟国外处在同一发展水平。”从终端保护用户、预测未知威胁,在安全行业的新兴分支上,杰思安全在国内处于领先地位。

技术达标 解决刚需


创造规模商业价值

    今年6月,杰思安全的第一个商用版产品发布,目前已有数十个付费客户,累计营收近千万。之所以能够在短时间能获得可观订单,用蒋波的话说是市场有迫切的刚需。
    “首先,在云平台这块的迫切性最强。我们走访大量的客户,发现目前政府、大企业、运营商,都大量地采用了云平台,当业务上到虚拟机环境后带来了一系列问题:物理机、VMware、OpenStack等各种环境共存,以前公司在做云安全的时候,安全防范是割裂开的,自成体系,终端是终端安全的产品,云端是云端的那套产品,这是因为不同端口的产品供应商也需要打造自己的生态链以获得利润。同时,企业里混合云的形态非常多,统一安全管理问题耗费人力物力。但是杰思所做的是针对操作系统,你只要有操作系统的地方,我都能把探针植入,所以无论是云端还是终端,都能覆盖,而且是基础安全防控。”
    在以往云平台安全监测中,需要全盘扫文件,逐一进行特征库的比对,甚至还需要加防火墙IPS,一旦开启多安全功能,整体CPU占用直奔80-90%,性能大幅下降,以至于采用Linux系统的客户,常常明知有安全风险,也不得不偶尔选择“裸奔”运行以保证系统性能。而杰思安全的产品通过终端探针内测的形式,进行异常行为监测,省去了扫描与比对的耗费,同时兼容Windows和Linux的所有版本,CPU占用在1%以内,节省性能耗费的同时,保证系统正常运作。
    除云平台的应用外,触发型需求也是杰思产品变现的价值所在。“触发型有两个方面,一个是事件型的,就像我之前介绍互联网公司以及零售商这种事件,只要我们拿出效果,解决问题,就能够完成签单,但这种事件比较随机,我们后续会在这块做探索,从随机里找出一些热点和共性的东西:比如某一个客户出了这样的事件之后,那在这种行业内,或者类似的体量、业务系统下,别的客户会不会也遇到这种情况,我们就可以由点带面地去做营销,找出规律性,创造更大的规模价值。”
    最后一种刚需,是被蒋波称为特色市场的Web网站防护。目前一些政府网站或企业网站,经常遇到黑客通过图片替换或用Flash动画的形式入侵,达到反宣传的目的。传统的关键词检测根本无法响应,政府和企业蒙受损失,而对于决策者来说,一旦遇到这样的问题,他们有两点核心需求,即“不扩散”、“可回溯”。针对这样的问题,杰思安全通过微创新的尝试,解决了目前的一些难题。首先,针对关键词检测失效的问题,杰思安全采用的策略是管理服务器,把探针推到web网站上,部署系统级的防护。同时,通过“人眼识别”的探针技术对网站进行实时拍照,一旦发现问题便即时“熔断”,保证恶意行为不扩散,同时通过5分钟访问流量缓存采集数据,获取黑客的攻击路径,第一时间找到漏洞。
    看似简单的技术,然而它的实现,凭借的是团队深厚的技术积累以及在终端安全领域沉淀了数十年的敏锐经验。这一次“人眼识别”技术的“跨界”应用也为杰思安全团队增添了动力,“技术一直不断在进步,我们也正在结合各种方式尝试能够应用起来的微创新,应用层的东西,大家可以玩很high,但越到底层的东西越枯燥。只有常年做这个,掌握的比较好的人,才会觉得有乐趣,才会更想去钻研。”
    目前,杰思安全已完成与国家互联网应急中心达成合作,在进一步研发产品的同时,意向营收已达到数千万级别。中国的网络安全服务丞待升级,千亿规模市场终会属于那些尝试让它变得更好的人。

Copyright © 2015-2017 北京杰思安全科技有限公司   备案号:京ICP备15050687 京公网安备 11010502032105号