日前,安全厂商微步在线在北京举办了一场以“无界守护 终于安全”为主题的终端安全新产品发布会,正式发布了OneSEC新一代终端安全管理平台,致力于有效应对针对办公网的安全风险,解决办公网终端安全威胁的可见、可管和可控的问题。
在会后的交流环节中,谈及为何会推出一款针对办公网安全的终端安全产品时,微步在线创始人薛锋阐释了其初衷,“我一直比较相信安全和医疗之间的映射关系,在医疗领域早发现问题固然重要,但这只是一半,如何治疗更加重要。但在网络安全领域,除了勒索软件攻击是疑难杂症外,其他的问题一旦发现后处置是非常简单的。因此,我们始终认为‘发现’是安全厂商的核心能力,同时也是安全行业长期的发展路径,而微步在线也在不断围绕发现这一核心能力打造闭环。”
“网络安全如同医院一样有很多科室,在接下来很长一段时间里微步在线仍然会坚持做好一家专科医院,通过提供技术或产品,来帮助关键基础设施在内的重点单位和用户们解决好检测与发现的问题,我们会沿着这个方向继续往前。”薛锋表示。
终端安全形势持续严峻 亟需以新安全应对新威胁
薛锋谈到,近年来随着政企单位整体安全水位的提升,针对服务器的恶意代码注入和漏洞利用难度与日俱增,安全的压力渐渐的转移到了终端侧。之所以会出现这样的变化,背后主要存在两个原因:
其一,通常一家大型的政企单位,通过互联网能够访问到的服务器、网站通常只有几个或者几十个,但PC终端却有成千上万个,面向数十倍甚至数百倍的攻击入口去寻找突破口,攻击难度显然更低;其二,从技术层面而言,攻击者攻击服务器本质上是在与开发人员、IT安全人员对抗,但是去攻击PC终端却是在与普通员工进行对抗,显然对抗安全人员难度是非常高的,但是要对抗财务人员、HR、普通员工以及不太懂电脑技术的领导,其实相对容易。
“这是终端安全威胁持续升级的原因,员工的安全意识并不像服务器那样打完补丁后就能迅速提升上去,而是今天钓鱼钓不成功,明天换一个就能钓成功。因此攻击者要攻击终端只存在想不想,不存在能不能,一定能攻陷,这是很明显的趋势。”
据他介绍,过去行业内对抗终端安全风险主要依赖三类安全设备:杀毒软件、NDR流量检测类产品以及日志审计类产品。薛锋认为,虽然这三类产品各有价值,但却也都瑕不掩瑜,存在各自的能力范围的盲区。比如,杀软只能告知用户杀掉了一个病毒木马,但却无法识别到攻击者的来源和行为动机;流量检测产品则只能看到管道内的流量数据,看不见到达终端后发生了哪些行为;日志审计产品则只能收集IPS、防火墙的日志数据,很难提供有价值的信息。
薛锋打了个比方,如果要保护的单位像工厂一样是由一个个房间、一个个业务单元组成的话,部署流量和日志类产品,就像部署在大楼的出口或者楼道里面监控探头,看见的是南北向和东西向的流量,看见的是楼层和楼层之间和进出这栋楼的流量。但攻击者显然不总是从大楼的正门和楼道进入,而是从后门、从窗户、从通风管道进入内部,甚至是以快递的形式向目标投递威胁,显然传统基于流量检测的手段难以应对这些另辟蹊径的攻击。
而EDR终端安全则相当于在工厂内每一个房间都安装传感器、摄像头,让用户能够清晰地看见这一个房间里发生所有的行为,将在终端采集到的数据送入云端或者本地服务器做关联分析,以实现对未知威胁和高级可持续威胁的检测和发现,对NDR流量检测产品进行更好的补充。
补齐检测与发现产品矩阵 全方位覆盖终端威胁
作为网络威胁检测与响应领域的代表厂商,除了强大的威胁情报能力外,微步在线也已经推出了面向内网全流量的TDP流量检测与响应平台、面向主机和服务器的OneEDR主机威胁检测与响应平台,以及面向办公网的OneDNS互联网安全接入服务等多个产品,显然,本次发布面向PC终端的OneSEC终端安全管理平台正是其补齐检测与响应产品矩阵的重要一步。
薛锋介绍,基于网络威胁发现与响应这一核心能力,经过三年打磨,此次发布的OneSEC既具备云原生架构与威胁情报优势,又具备攻击面管理与AI驱动能力,因此可以同时在检测准确度、威胁覆盖度、数据采集、溯源分析、快速响应等关键能力点上满足“精准EDR”的要求。该产品已在基金公司、汽车、期货公司等客户场景中得到了较好的落地效果检验。
据介绍,微步在线OneSEC终端安全管理平台主要具备轻、准、快、全等多个方面优势。在轻量化方面,OneSEC采用云端订阅模式交付,在电脑上无感知,占用CPU内存小,无需采购硬件,企业只需申请一个账号,即可将分散在全国的办公终端纳入统一管理,并可随企业终端数量增加而随需采购,从而降低总体成本。
在准确率和全面性方面,OneSEC的EDR模块利用安装在终端上的轻量级Agent,实时收集终端上的全量行为日志数据并上传云端,利用云端强大的计算资源进行IOA行为特征检测。同时,EDR模块还集成了包括威胁情报IOC、攻击行为IOA、云端百亿级样本库与图关联检测等检测方式,从多个维度交叉检测,综合评判,可全面、精准发现各类威胁事件。经过VB100的评测,OneSEC的检出率可达99.94%。
值得注意的是,OneSEC产品已经与微步在线OneDNS等产品实现联动,能从网络和终端两个维度,全面保证办公终端安全。如OneDNS通过将云端威胁情报与DNS相结合,可从网络流量侧检测威胁,通过阻断恶意样本反连、阻止新样本下载、防止打开钓鱼链接等方式保护企业终端安全;EDR模块则利用IOA行为检测、图检测等技术对终端行为日志进行检测分析,提供包括隔离进程、文件、网络乃至终端等多种处置策略。
通过将终端行为与网络流量相结合,OneSEC可以对终端威胁进行更全面威胁覆盖,处置策略更丰富、更灵活,随时随地为终端提供全面、精准、高效的安全防护能力。
坚持云化、SaaS化产品交付模式背后 微步在线的逻辑是什么?
此前我们谈到过,伴随云服务模式的不断深化应用,云化交付的安全能力正在得到整个安全行业的追捧,包括奇安信、深信服、绿盟科技等老牌安全企业也都在加大对安全能力云化交付方面的投入,包括SASE、SSE、云化的XDR、MSS安全托管服务等都是各家安全企业简化安全能力交付方式的代表性方案。
但一个普遍的观点是,“中国网络安全行业中卖盒子才是硬道理”,以硬件形式交付安全产品仍然是主流模式,针对一些大规模的政企用户而言尤为如此。纵观当前业内安全厂商提出的SaaS化订阅服务,事实上大多仍然只停留在安全服务层面。
而微步在线是国内少有的真正在以SaaS化订阅服务模式交付安全产品的安全企业,本次发布的新品虽然提供了私有化部署模式,但整体仍然以SaaS作为主推版本。在这一商业模式背后,微步在线做出了哪些思考?
针对这一话题,薛锋认为,“堆盒子”似的传统安全就像是DVD机,而新安全更像是小米电视、爱奇艺或者B站,前者要依赖于大量本地化的资源堆叠,而后者则依靠内容共创和云端资源来解决问题。针对当前广大的政企机构、金融机构、医院而言,显然离线的盒子无法对抗不断升级的安全威胁,而是要靠云端更多的算力和数据来应对。
在微步在线看来,当前网络安全行业的服务模式亟需迎来变革,过去一次性买断、以盒子形态交付的产品并非是对用户最有利的模式,只有以SaaS订阅化的形式按年去订阅、去交付、去服务才是未来。
“我们之所以坚持走SaaS订阅化服务的商业模式,就是把选择权交给用户。这种模式下,如果过去三五年才有一次机会更换供应商或者产品的话,现在你跟微步合作,每年甚至每月都可以选择不再继续跟微步合作。这虽然给微步带来了一定的压力,但是更多的时候它是一种动力,因为这种压力之下微步会如履薄冰,要把全部精力放在产品和能力创新上持续地创造、持续地创新,给客户创造价值、交付价值。在过去7年多以来,我们大客户续约率很幸运一直维持在98%以上,说明我们没有辜负用户的希望。”
他表示,从行业发展趋势上来看,大规模的政企单位、金融机构会越来越拥抱SaaS化,一方面云化的优势正在得到越来越多的认可,能够提供更多的计算资源,更高效解决用大量数据关联分析、大量数据架构的问题;另一方面,当前甲方用户自身的能力在不断上升,已经能够很清晰的区分一款SaaS化安全产品到底看见了什么数据,其效果究竟如何。从微步在线的用户订阅数量来看,过去三年正在呈十倍级别增长,已经有越来越多的人拥抱云化,这注定是未来大势所趋。
京公网安备 11010802033237号
