從防火墻到下一代防火墻（NGFW），從邊界信任認(rèn)證到零信任架構(gòu)（ZTA），從手動(dòng)安全運(yùn)營(yíng)到自動(dòng)化安全運(yùn)營(yíng)（SOAR），從靜態(tài)威脅檢測(cè)到AI/ML、威脅情報(bào)驅(qū)動(dòng)的主動(dòng)與動(dòng)態(tài)防御……

有沒有發(fā)現(xiàn)，網(wǎng)絡(luò)安全是一個(gè)特別喜歡顛覆的領(lǐng)域。也正是這種顛覆和創(chuàng)新催生了如Palo Alto、CrowdStrike、Fortinet、Zscaler、Splunk、Tenable等一眾新銳和明星安全公司。

說(shuō)到緣由并不難理解，一方面源于企業(yè)IT架構(gòu)和環(huán)境的不斷變化，導(dǎo)致風(fēng)險(xiǎn)點(diǎn)不斷增加；另一方面原因在于網(wǎng)絡(luò)攻擊的產(chǎn)業(yè)化發(fā)展越來(lái)越明顯，且攻擊者的技術(shù)手段在不斷升級(jí)。所以，防與攻的對(duì)抗要求前者需不斷升級(jí)裝備、提升技術(shù)能力，這也解釋了為什么安全圈在很多人看來(lái)總是新名詞、新概念不斷產(chǎn)生的原因。

用一句玩笑話說(shuō)，真不是安全人喜歡造詞、炒概念，而是完全“被逼的”，因?yàn)榭偸怯幸蝗翰粩唷斑M(jìn)步”的對(duì)手追著自己。

從安全產(chǎn)業(yè)的角度來(lái)看，“長(zhǎng)江后浪推前浪”的故事不斷上演，而“前浪避免被拍在沙灘上，對(duì)后來(lái)者的收購(gòu)兼并”也在不斷發(fā)生。

顛覆者，微步

視角回到國(guó)內(nèi)，在安全硬件、軟件和服務(wù)領(lǐng)域，同樣誕生了一批“后浪”創(chuàng)新型公司。

以威脅情報(bào)起家的微步就是其中之一。

2015年，專注于威脅情報(bào)的CrowdStrike在美國(guó)炙手可熱，當(dāng)時(shí)威脅情報(bào)領(lǐng)域在國(guó)內(nèi)還是空白，這一年微步成立，從搭建成立綜合性威脅情報(bào)共享社區(qū)開始，開創(chuàng)并引領(lǐng)中國(guó)威脅情報(bào)行業(yè)的發(fā)展，并連續(xù)四次入選Gartner《全球威脅情報(bào)市場(chǎng)指南》。

威脅情報(bào)平臺(tái)、威脅感知平臺(tái)、威脅防御網(wǎng)關(guān)、托管檢測(cè)與響應(yīng)服務(wù)……此后的幾年，微步陸續(xù)發(fā)布了一系列以威脅情報(bào)能力賦能的新產(chǎn)品，覆蓋從流量到網(wǎng)關(guān)，再到安全服務(wù)等，可以觀察到，它們其中多項(xiàng)獲得Gartner、IDC、Forrester等國(guó)際機(jī)構(gòu)的認(rèn)可。

在前瞻技術(shù)創(chuàng)新上，微步初露鋒芒。微步技術(shù)合伙人黃雅芳直言，“我們的底層邏輯就是用新技術(shù)去顛覆老產(chǎn)品?！?/p>

的確，在網(wǎng)絡(luò)安全領(lǐng)域，吃老本、技術(shù)的原地踏步解決不了攻防對(duì)抗的新問題。

終端安全，走出殺軟時(shí)代

2023年2月，微步的又一款基于EDR（Endpoint Detection & Response，端點(diǎn)檢測(cè)與響應(yīng)）理念的顛覆式產(chǎn)品OneSEC發(fā)布，從而補(bǔ)齊了其“云+流量+邊界+端點(diǎn)”產(chǎn)品發(fā)展規(guī)劃的重要拼圖——辦公終端安全。

眾所周知，終端安全是整個(gè)IT安全體系的重要組成部分。根據(jù)IDC發(fā)布的《全球網(wǎng)絡(luò)安全支出指南》數(shù)據(jù)，2023年全球網(wǎng)絡(luò)安全I(xiàn)T總投資規(guī)模為2150億美元，其中終端安全軟件市場(chǎng)占比達(dá)到10%以上。

所以，終端安全不僅是歷史最悠久也是權(quán)重占比較大的網(wǎng)安品類。

值得一說(shuō)的是，過去30年，在終端側(cè)對(duì)抗病毒程序和惡意軟件的主要技術(shù)是殺軟。然而隨著惡意軟件的對(duì)抗性變得更強(qiáng)、性能更好、隱蔽性越來(lái)越越強(qiáng)，殺軟防護(hù)的主流技術(shù)均遇到了不同程度的挑戰(zhàn)。

黃雅芳將這些主流殺軟防護(hù)技術(shù)總結(jié)為六大類：文件靜態(tài)特征掃描、基于行為特征的主防、動(dòng)態(tài)內(nèi)存掃描、啟發(fā)式+AI引擎、云查Hash檢測(cè)、動(dòng)態(tài)沙箱。從靜態(tài)到動(dòng)態(tài)、從磁盤到內(nèi)存、從單模到多模等，盡管殺軟技術(shù)不斷迭代，但面對(duì)惡意軟件的混淆、編碼、加殼、棧混淆、文件膨脹、unhook、sleep、syscall等技術(shù)進(jìn)行免殺、隱藏和繞過，殺軟防護(hù)挑戰(zhàn)重重。

在此過程中，EDR逐漸成為反惡意軟件中的變革型技術(shù)。

不同于殺軟的針對(duì)文件檢測(cè)，EDR更側(cè)重于行為分析。按照Gartner的定義，EDR旨在持續(xù)監(jiān)控并收集終端設(shè)備上的安全數(shù)據(jù)，通過檢測(cè)、調(diào)查和響應(yīng)來(lái)保護(hù)終端環(huán)境。利用行為分析、機(jī)器學(xué)習(xí)、威脅情報(bào)等方法識(shí)別已知威脅、未知威脅、甚至0day攻擊是其具備的新技術(shù)特點(diǎn)。

用通俗的話說(shuō)，殺軟是“安檢門衛(wèi)”，執(zhí)行的是對(duì)進(jìn)出物品進(jìn)行檢測(cè)；EDR則是房間里的“攝像頭”，通過實(shí)時(shí)監(jiān)控動(dòng)作行為，發(fā)現(xiàn)惡意活動(dòng)與威脅。

EDR理念自推出以來(lái)，在國(guó)際上已經(jīng)成為非常成熟的應(yīng)用。“甚至一批EDR創(chuàng)新企業(yè)完全顛覆了像賽門鐵克、卡巴斯基等這些傳統(tǒng)的終端安全公司。”黃雅芳說(shuō)。

真假EDR，OneSEC撥亂反正

EDR在國(guó)外的大火，吸引國(guó)內(nèi)安全廠商蜂擁而至。它們其中有傳統(tǒng)殺軟廠商、綜合性網(wǎng)絡(luò)安全廠商和云服務(wù)商等，但到底是AV套殼、新瓶裝舊酒，還是有獨(dú)門絕技真本事，亦或就是包裝概念、蹭熱點(diǎn)，市場(chǎng)評(píng)價(jià)不一。

“從我們的觀察來(lái)看，客戶對(duì)于EDR的選型是比較謹(jǐn)慎的。”黃雅芳指出，過去三四年國(guó)內(nèi)市場(chǎng)出現(xiàn)了大量EDR產(chǎn)品，但很多行業(yè)客戶處于觀望狀態(tài)，有的客戶對(duì)EDR產(chǎn)品調(diào)研就用了幾年時(shí)間。

究其原因，很多企業(yè)找不到很好的產(chǎn)品去解決新安全問題，更不愿意再買個(gè)換殼的殺軟或桌管產(chǎn)品給自己找麻煩。簡(jiǎn)言之，在國(guó)內(nèi)，EDR品類還處于撥亂反正的階段。

那么，到底什么樣的產(chǎn)品才算得上是合格的或真正的EDR？

微步技術(shù)合伙人、OneSEC負(fù)責(zé)人 黃雅芳

在黃雅芳看來(lái)，其應(yīng)具備兩大關(guān)鍵能力：1、檢測(cè)能力強(qiáng)；2、輕量化。檢測(cè)能力要真正做到利用行為提高檢出，這里的行為包括過程行為和結(jié)果行為，前者是惡意代碼做的行為動(dòng)作，比如進(jìn)程創(chuàng)建、執(zhí)行腳本、修改內(nèi)存屬性等，后者是惡意代碼造成的實(shí)際結(jié)果，比如新建的注冊(cè)表項(xiàng)目、新創(chuàng)建的服務(wù)和文件、一塊可讀可寫的內(nèi)存空間等，兩者相輔相成能夠提高檢出的成功率，這要求EDR具備全面的行為采集能力和細(xì)致入微的檢測(cè)技術(shù)，提高威脅檢測(cè)的覆蓋度和準(zhǔn)確度；輕量化則要求實(shí)現(xiàn)用戶感知低，實(shí)現(xiàn)資源消耗從終端性能限制中解放出來(lái)，老舊終端適用，部署靈活高效。

微步新一代終端安全管理平臺(tái)OneSEC很好地具備了這兩大關(guān)鍵能力。

作為OneSEC的負(fù)責(zé)人，黃雅芳說(shuō)，“從2019年開始，微步便在內(nèi)部打磨終端安全產(chǎn)品，經(jīng)過三年時(shí)間，OneSEC在2022年開始向我們的種子客戶提供產(chǎn)品能力，并在2023年2月正式發(fā)布這一產(chǎn)品?！?/p>

微步做的是真正用創(chuàng)新技術(shù)實(shí)現(xiàn)產(chǎn)品革新。OneSEC采集能力全面，具備超百億節(jié)點(diǎn)的圖檢測(cè)技術(shù)，全面覆蓋ATT&CK，實(shí)現(xiàn)檢測(cè)技術(shù)細(xì)致入微；基于底層事件串鏈，全面追溯攻擊路徑，高效評(píng)估影響面，做到溯源完整；一鍵快速智能響應(yīng)，智能化提供清理序列，輔助事后定位和追溯，實(shí)現(xiàn)響應(yīng)高效。

在實(shí)現(xiàn)檢測(cè)能力強(qiáng)的技術(shù)創(chuàng)新之外，OneSEC的輕量化優(yōu)勢(shì)同樣明顯，終端安裝包＜10MB，CPU資源占用<0.5%、內(nèi)存<30MB，網(wǎng)絡(luò)帶寬占用平均峰值小于1Kbps，實(shí)現(xiàn)終端的輕量化和低感知。

從市場(chǎng)檢驗(yàn)來(lái)看，OneSEC發(fā)布以來(lái)，在連續(xù)兩次的國(guó)家級(jí)常態(tài)化攻防演練中，實(shí)現(xiàn)檢出率達(dá)到100%；2023年在對(duì)一起活躍的黑產(chǎn)組織追蹤中，微步基于OneSEC實(shí)現(xiàn)對(duì)其首次發(fā)現(xiàn)與狩獵，并將該組織命名為“銀狐”。此外，OneSEC在諸多行業(yè)用戶中得到部署應(yīng)用，技術(shù)能力得到檢驗(yàn)驗(yàn)證。

OneSEC信創(chuàng)版，操作系統(tǒng)平臺(tái)全覆蓋

日前，微步再次發(fā)布終端安全管理平臺(tái)OneSEC信創(chuàng)版，將OneSEC的能力覆蓋從Windows、MacOS延伸至麒麟、統(tǒng)信等信創(chuàng)OS，實(shí)現(xiàn)操作系統(tǒng)全平臺(tái)覆蓋。

作為快速演進(jìn)的操作系統(tǒng)，信創(chuàng)OS同樣有著不小的潛在威脅風(fēng)險(xiǎn)，這包括Windows平臺(tái)惡意軟件的跨平臺(tái)利用、操作系統(tǒng)層的自身漏洞風(fēng)險(xiǎn)，以及上層應(yīng)用存在的漏洞等。信創(chuàng)，即信息技術(shù)應(yīng)用創(chuàng)新產(chǎn)業(yè)，旨在實(shí)現(xiàn)信息技術(shù)領(lǐng)域的自主創(chuàng)新與可控。所以，關(guān)鍵行業(yè)在積極擁抱信創(chuàng)平臺(tái)的同時(shí)，讓信創(chuàng)本身更“安全”更顯必要與重要。

黃雅芳介紹說(shuō)，因?yàn)椴僮飨到y(tǒng)的內(nèi)核、底層機(jī)制等截然不同，微步投入數(shù)十人花了一年時(shí)間，幾乎從0到1重建了OneSEC信創(chuàng)版架構(gòu)體系。最終讓OneSEC信創(chuàng)終端能力在采集檢測(cè)全面性、終端輕量性、響應(yīng)能力多樣性等方面優(yōu)勢(shì)明顯。

值得一說(shuō)的是，在落地部署中，微步也并不主張用EDR替換殺軟，而是各司其職、協(xié)同工作，在黃雅芳看來(lái)，“基于文件（殺毒）和基于行為（EDR）的防護(hù)、檢測(cè)、響應(yīng)能力同步建設(shè)，能夠更好地應(yīng)對(duì)信創(chuàng)建設(shè)前期的各類潛在風(fēng)險(xiǎn)?！?/p>

在整個(gè)數(shù)字安全體系中，微步傳遞給客戶的理念同樣是產(chǎn)品異構(gòu)部署，用專業(yè)的人做專業(yè)的事。微步也樂于將自己的能力開放給客戶和伙伴的方案體系中去應(yīng)用。

不積跬步，無(wú)以至千里。在技術(shù)上顛覆，以創(chuàng)新者的姿態(tài)，微步追求將一項(xiàng)專業(yè)能力做到極致。