杰思CEO蒋波:主机安全应用场景 云与端一个都不能少

2019-01-18

文/赛迪网 孙姗姗

随着云计算、BYOD应用的普及,网络边界的消失,安全防护的重点已经从边界转向端点。为了弥补传统安全防护体系的不足,以EDR为核心的主机安全防护引起越来越多用户的关注。

作为中国第一家专注EDR的安全公司,杰思CEO蒋波认为,应用环境不同,安全的方法论和安全产品的构建就会不同。对主机安全的要求有很大差异,需要不同的解决方案。蒋波详细分析了主机场景差异,理解用户所处的主机环境,帮助用户找到最适合自己的主机安全解决方案。

杰思CEO 蒋波

主机场景分为两类,一类是服务器,一类是PC。

在服务器侧,不论什么业务系统装在服务器上,其运行状态,操作环境以及操作权限是相对稳态的。杰思就根据服务器的角色逻辑来构建安全模型,通过EDR核心技术,融合其他相关技术,实现了服务器主机安全的控制,同时借助资产清点,漏洞清点,建立安全基线等基本管控手段的辅助,能对超出环境和角色范围的风险项快速加以识别,有效保障了服务器安全的实施检测能力。更重要的是,杰思在服务器安全产品场景化中定义了另一个关键能力——发现风险后能够主动响应,并为之提供了多种从网络层到主机系统层的不同响应手段。

相对服务器侧,PC主机场景还可分为企业办公PC和专用PC。通常来说,办公PC与个人PC安全需求类似,以杀毒软件+EDR组合较为常见。而诸如医疗设备、工控机、ATM机和生产线的控制主机等专用PC则与生产密切相关。由于专用PC计算和存储资源有限,安装杀毒软件不现实,亦不能连接外网实时更新病毒库;随着网络的普遍和人为因素,纯粹的物理隔离已不再安全。近年来爆发的勒索病毒,乌克兰电厂事件令行业用户惊心不已。一旦中招,无计可施。

专用PC用户的在采用安全产品时首先要解决轻量化的问题。杰思针对专用PC处于相对静态环境的特点,用零信任+动态锁定的模式来做安全。它支持定制版的系统,支持Windows和Linux全版本(包括较早的低版本),无需用户升级系统或更换硬件,即可使用。超轻量化探针,客户端小于10MB,终端内存占用10MB左右,CPU占用小于1%,对业务系统的占用极少,完全不影响业务的运行。强锁定,采用“白名单”+“白行为”的方式,锁定网络运行环境、应用运行环境及系统运行环境。提供最小权限的安全运行环境及准入控制。据蒋波介绍,在专用PC上,杰思已经拿到能源、电力、医院、汽车制造等行业的订单。

另外,服务器+PC的应用十分广泛,很多管理终端必定要连接云端,存在互相访问关系,也随之带来安全威胁。蒋波认为,云和端、服务器和PC两者之间安全关系不能割裂,需要有全局视图。即便服务器安全的生意最赚钱,杰思在PC主机场景的安全研发投入也从未松懈。

杰思在应用场景上贴近用户,持续形成产品和解决方案的转化,解决方案已形成明显优势。他们采用微隔离技术,可对云主机、物理主机等进行灵活分组防御。资源按需分配,灵活调用。超轻量化探针,对资源占用极小。整个安装、部署、运行全都在后台静默运行,不占资源,对前端业务完全无影响。不挑平台。方案支持混合云平台统一部署管理,兼容Windows/Linux主机系统及国产操作系统所有版本。

目前,杰思猎鹰的产品及解决方案已逐渐扩大到云计算、工控主机、物联网终端等领域。针对行业和应用场景,杰思的产品和研发团队会根据应用需求特点的不同做深入的研究,立足自身技术特长,贴近用户场景开发相应的技术解决方案。如云安全解决方案、视频监控安全解决方案、工控安全解决方案、一体化云平台等。

蒋波表示,在与行业客户的深入沟通中,客户认同杰思的安全方法论,给机会证明创业中的杰思有能力与同业一较高下。在与行业客户并肩前行的过程中,结下信任和友情。

例如,在某市教委,用集中式威胁及数据分析和对操作系统入口级防护技术,解决了现代教育信息中心网络内存在恶意程序导致网络出口出流量过大问题。这是用户原有网络中安装的杀毒软件无法解决的难题。杰思应用横向比对机制等技术,快速定位异常文件并进一步分析发现病毒源头,最终得已解决使用户网络即时恢复畅通,并获得百万量级的订单。

在某大型汽车配件制造厂,通过系统漏洞防护和威胁事件溯源技术,解决了利用“永恒之蓝”漏洞横向传播WMAMiner挖矿蠕虫问题。用户网络内部被感染主机超过120台,杰思通过行为溯源机制检测挖矿蠕虫程序调用关系,1小时内定位感染范围并快速清除及时恢复生产线运行,帮助用户直接挽回经济损失超过1000万元。

在某省交通厅,部署应用于3万余台内外网业务主机,对设备进行统一管理并应用微隔离技术实现基于安全域的东西向流量访问控制。采用零信任+动态锁定管控机制,解决了视频监控安全系统组件以及应用程序存在大量漏洞和非法外连问题。杰思的横向文件分析机制配合防护策略,在使用过程中500余次实时发现并响应关键文件变化和入侵威胁,大大改善了用户的安全运营与应急响应能力。