杰思安全以EDR为核心延伸更多安全应用 提供全景式安全洞察

2019-01-28

“早在四年前,我们就已经意识到,传统的安全防护手段已经不能解决云时代下的安全隐患。必须开拓一种新的安全思路去防护模糊边界下的信息安全。”这句话是北京杰思安全科技有限公司(以下简称“杰思安全”)董事长兼首席安全专家刘春华见到记者时开口谈的第一句话,当年的他是这么思考的,也是这么行动的。

2015年,刘春华敏锐地捕捉到市场的变化:当越来越多的企业业务被迁移到云端,以PC为主的传统网络也逐渐开始向智能手机、汽车、摄像头、智能家居等IOT终端转移,随之而来的是新型安全威胁层出不穷——APT攻击、0day漏洞、勒索软件……他预见到,当时安全厂商遵循的“重边界轻终端”的网络防护常规必将被打破。如何在云时代给客户提供安全威胁的检测防护,以及主机安全感知与事件精准溯源?刘春华几经比较后,将目光锁定在EDR(端点检测与响应)技术上。2015年,杰思安全成立,研发的重点就是以EDR技术为核心的产品及解决方案。

选择正确的方向方可事半功倍

事实证明,刘春华的眼光非常独到。

从2016年开始,连续爆发的“丰收行动”、“摩诃草事件”、“蔓灵花行动”等针对我国国家单位、科研院所和政企部门的APT攻击事件,以及层出不穷的各类勒索事件等,都将未知威胁防御话题提到了空前的高度。

而杰思安全推出的猎鹰主机安全响应产品以EDR端点检测与响应技术理念为核心,结合CWPP、微隔离、自适应安全等前沿技术,能实时检测未知威胁并快速响应。适用于服务器、云主机、PC、移动/智能终端、工控主机、物联网终端等,支持Windows、Linux及国产操作系统,能轻松适应各种规模和IT架构的企业,大大提升用户的安全主动防护能力,赢得了政府、运营商、金融、能源、交通、医疗、教育等行业用户的高度认可。

对于当时为什么会瞄准EDR技术进行研发,刘春华的解释非常直白:第一点原因是因为EDR技术门槛比较高,他举例说明,杀毒软件更偏重的是根据病毒库做病毒查杀,市场后入者比较容易复制。但是EDR不同,它更多的是观察攻击者的行为来判断行为是否异常,整个过程涉及到拦截、隔离、追溯、审计等多个环节,对产品研发能力要求非常高。第二点原因则是从用户角度出发,刘春华认为EDR可以帮助用户真正地解决云时代终端安全防护问题。

其实,刘春华对于国内安全发展趋势的判断和Gartner也不谋而合,Gartner近几年来一直十分推崇EDR技术,几乎每年都将其纳入顶级技术之列。

深耕行业多年,对客户安全赋能

这几年,EDR技术在国内发展势头逐渐高涨,也有不少安全厂商开始涉足。虽然竞争逐渐激烈,但是刘春华对杰思安全的EDR产品却非常有信心。他告诉记者,杰思安全研究EDR技术的应用近4年,在技术方面,杰思猎鹰主机安全响应系统不仅支持Windows操作系统,还支持Linux以及其他国产操作系统,在客户应用中实用性非常强;在应用场景方面,杰思安全不仅提供单机版本,还更关注全网安全,即使黑客攻破一台电脑,杰思安全也可以通过服务器给管理人员告警,保证其他联网电脑的安全。

杰思安全的优势不仅于此,还在于对用户更多应用细节的把握,这是深耕行业多年的经验积累。“用户已经意识到必须采用新的手段应对安全威胁,但是对如何去做还不是非常清晰。”刘春华告诉记者,安全和性能始终是在博弈中寻求最佳平衡点,用户可以接受去消耗一些资源去实现安全优化,但是其中检测的尺度需要把握。例如不是所有的程序都需要去检测,正常软件的很多行为都不需要去观察,这个时候就需要厂商去深刻了解用户的实际应用场景,尽量不去影响用户的应用,确保运行无感知,只有当观察到出现威胁行为时才去做干预和内控检查。

立足客户需求,2019将为客户提供全景式安全洞察

很多人对2017年4月的那场全球永恒之蓝勒索病毒浩劫心有余悸,采访中刘春华就提到了杰思安全曾遇到的一家特别幸运的客户。他们之前与这位客户接触了几次,客户对于是否要安装EDR安全设备仍在犹豫不定,最后客户决定试装一下,结果在安装完成的第二天就爆发了WannaCry勒索病毒。客户的不少同行都中招了,但是客户由于安装了杰思安全EDR产品,所有设备都正常运转,完全没受影响。后来这位客户一口气定了好几套杰思安全的产品。“永恒之蓝的爆发让很多企业客户意识到EDR的价值,从那以后主动找到我们咨询的客户越来越多。”刘春华透露。

当然,杰思安全并没有满足于“一招鲜吃遍天”,这几年他们围绕这EDR又研发了不少延伸技术和产品,例如CWPP(云工作负载保护平台)、微隔离、自适应安全架构等等。刘春华告诉记者,这些都是互相关联的技术,团队协同作战,可以让客户的系统更加安全。“例如CWPP就是侧重于对日常云端安全常规性的检查,如跑什么软件,开了什么端口,组件是否有漏洞,是否存在弱密码等。”

他还以微隔离为例,当EDR检测到黑客已经黑入客户电脑系统,那么在进入主机前,如果安装了微隔离产品,那么数据库服务只能访问数据库,缓存服务器只能访问缓存,这让用户核心数据如同黑洞一般完全不可见,把黑客入侵渠道减到最少,大大增加了攻击成本和难度。“微隔离支持Windows和Linux,等于把平台打通了,非常适合混合云部署,前端服务器和数据库服务器规则自适应,不需要再做配置,对硬件也没有太多要求,在运维上还可以避免人为操作风险。”

采访最后,刘春华表示,很多客户买了非常多的安全产品但是产品之间无法关联分析,而这正是杰思安全的价值所在——用户通过终端采集到最全的数据,在控制台上将所有数据做全网分析,发现异常行为之后,立刻进行拦截,并实现与网关联动,与云联动,在更远端实现拦截。“未来杰思安全将更加关注全景分析,给客户提供一个全局解决方案。”