从防火墙到下一代防火墙(NGFW),从边界信任认证到零信任架构(ZTA),从手动安全运营到自动化安全运营(SOAR),从静态威胁检测到AI/ML、威胁情报驱动的主动与动态防御……
有没有发现,网络安全是一个特别喜欢颠覆的领域。也正是这种颠覆和创新催生了如Palo Alto、CrowdStrike、Fortinet、Zscaler、Splunk、Tenable等一众新锐和明星安全公司。
说到缘由并不难理解,一方面源于企业IT架构和环境的不断变化,导致风险点不断增加;另一方面原因在于网络攻击的产业化发展越来越明显,且攻击者的技术手段在不断升级。所以,防与攻的对抗要求前者需不断升级装备、提升技术能力,这也解释了为什么安全圈在很多人看来总是新名词、新概念不断产生的原因。
用一句玩笑话说,真不是安全人喜欢造词、炒概念,而是完全“被逼的”,因为总是有一群不断“进步”的对手追着自己。
从安全产业的角度来看,“长江后浪推前浪”的故事不断上演,而“前浪避免被拍在沙滩上,对后来者的收购兼并”也在不断发生。
颠覆者,微步
视角回到国内,在安全硬件、软件和服务领域,同样诞生了一批“后浪”创新型公司。
以威胁情报起家的微步就是其中之一。
2015年,专注于威胁情报的CrowdStrike在美国炙手可热,当时威胁情报领域在国内还是空白,这一年微步成立,从搭建成立综合性威胁情报共享社区开始,开创并引领中国威胁情报行业的发展,并连续四次入选Gartner《全球威胁情报市场指南》。
威胁情报平台、威胁感知平台、威胁防御网关、托管检测与响应服务……此后的几年,微步陆续发布了一系列以威胁情报能力赋能的新产品,覆盖从流量到网关,再到安全服务等,可以观察到,它们其中多项获得Gartner、IDC、Forrester等国际机构的认可。
在前瞻技术创新上,微步初露锋芒。微步技术合伙人黄雅芳直言,“我们的底层逻辑就是用新技术去颠覆老产品。”
的确,在网络安全领域,吃老本、技术的原地踏步解决不了攻防对抗的新问题。
终端安全,走出杀软时代
2023年2月,微步的又一款基于EDR(Endpoint Detection & Response,端点检测与响应)理念的颠覆式产品OneSEC发布,从而补齐了其“云+流量+边界+端点”产品发展规划的重要拼图——办公终端安全。
众所周知,终端安全是整个IT安全体系的重要组成部分。根据IDC发布的《全球网络安全支出指南》数据,2023年全球网络安全IT总投资规模为2150亿美元,其中终端安全软件市场占比达到10%以上。
所以,终端安全不仅是历史最悠久也是权重占比较大的网安品类。
值得一说的是,过去30年,在终端侧对抗病毒程序和恶意软件的主要技术是杀软。然而随着恶意软件的对抗性变得更强、性能更好、隐蔽性越来越越强,杀软防护的主流技术均遇到了不同程度的挑战。
黄雅芳将这些主流杀软防护技术总结为六大类:文件静态特征扫描、基于行为特征的主防、动态内存扫描、启发式+AI引擎、云查Hash检测、动态沙箱。从静态到动态、从磁盘到内存、从单模到多模等,尽管杀软技术不断迭代,但面对恶意软件的混淆、编码、加壳、栈混淆、文件膨胀、unhook、sleep、syscall等技术进行免杀、隐藏和绕过,杀软防护挑战重重。
在此过程中,EDR逐渐成为反恶意软件中的变革型技术。
不同于杀软的针对文件检测,EDR更侧重于行为分析。按照Gartner的定义,EDR旨在持续监控并收集终端设备上的安全数据,通过检测、调查和响应来保护终端环境。利用行为分析、机器学习、威胁情报等方法识别已知威胁、未知威胁、甚至0day攻击是其具备的新技术特点。
用通俗的话说,杀软是“安检门卫”,执行的是对进出物品进行检测;EDR则是房间里的“摄像头”,通过实时监控动作行为,发现恶意活动与威胁。
EDR理念自推出以来,在国际上已经成为非常成熟的应用。“甚至一批EDR创新企业完全颠覆了像赛门铁克、卡巴斯基等这些传统的终端安全公司。”黄雅芳说。
真假EDR,OneSEC拨乱反正
EDR在国外的大火,吸引国内安全厂商蜂拥而至。它们其中有传统杀软厂商、综合性网络安全厂商和云服务商等,但到底是AV套壳、新瓶装旧酒,还是有独门绝技真本事,亦或就是包装概念、蹭热点,市场评价不一。
“从我们的观察来看,客户对于EDR的选型是比较谨慎的。”黄雅芳指出,过去三四年国内市场出现了大量EDR产品,但很多行业客户处于观望状态,有的客户对EDR产品调研就用了几年时间。
究其原因,很多企业找不到很好的产品去解决新安全问题,更不愿意再买个换壳的杀软或桌管产品给自己找麻烦。简言之,在国内,EDR品类还处于拨乱反正的阶段。
那么,到底什么样的产品才算得上是合格的或真正的EDR?
在黄雅芳看来,其应具备两大关键能力:1、检测能力强;2、轻量化。检测能力要真正做到利用行为提高检出,这里的行为包括过程行为和结果行为,前者是恶意代码做的行为动作,比如进程创建、执行脚本、修改内存属性等,后者是恶意代码造成的实际结果,比如新建的注册表项目、新创建的服务和文件、一块可读可写的内存空间等,两者相辅相成能够提高检出的成功率,这要求EDR具备全面的行为采集能力和细致入微的检测技术,提高威胁检测的覆盖度和准确度;轻量化则要求实现用户感知低,实现资源消耗从终端性能限制中解放出来,老旧终端适用,部署灵活高效。
微步新一代终端安全管理平台OneSEC很好地具备了这两大关键能力。
作为OneSEC的负责人,黄雅芳说,“从2019年开始,微步便在内部打磨终端安全产品,经过三年时间,OneSEC在2022年开始向我们的种子客户提供产品能力,并在2023年2月正式发布这一产品。”
微步做的是真正用创新技术实现产品革新。OneSEC采集能力全面,具备超百亿节点的图检测技术,全面覆盖ATT&CK,实现检测技术细致入微;基于底层事件串链,全面追溯攻击路径,高效评估影响面,做到溯源完整;一键快速智能响应,智能化提供清理序列,辅助事后定位和追溯,实现响应高效。
在实现检测能力强的技术创新之外,OneSEC的轻量化优势同样明显,终端安装包<10MB,CPU资源占用<0.5%、内存<30MB,网络带宽占用平均峰值小于1Kbps,实现终端的轻量化和低感知。
从市场检验来看,OneSEC发布以来,在连续两次的国家级常态化攻防演练中,实现检出率达到100%;2023年在对一起活跃的黑产组织追踪中,微步基于OneSEC实现对其首次发现与狩猎,并将该组织命名为“银狐”。此外,OneSEC在诸多行业用户中得到部署应用,技术能力得到检验验证。
OneSEC信创版,操作系统平台全覆盖
日前,微步再次发布终端安全管理平台OneSEC信创版,将OneSEC的能力覆盖从Windows、MacOS延伸至麒麟、统信等信创OS,实现操作系统全平台覆盖。
作为快速演进的操作系统,信创OS同样有着不小的潜在威胁风险,这包括Windows平台恶意软件的跨平台利用、操作系统层的自身漏洞风险,以及上层应用存在的漏洞等。信创,即信息技术应用创新产业,旨在实现信息技术领域的自主创新与可控。所以,关键行业在积极拥抱信创平台的同时,让信创本身更“安全”更显必要与重要。
黄雅芳介绍说,因为操作系统的内核、底层机制等截然不同,微步投入数十人花了一年时间,几乎从0到1重建了OneSEC信创版架构体系。最终让OneSEC信创终端能力在采集检测全面性、终端轻量性、响应能力多样性等方面优势明显。
值得一说的是,在落地部署中,微步也并不主张用EDR替换杀软,而是各司其职、协同工作,在黄雅芳看来,“基于文件(杀毒)和基于行为(EDR)的防护、检测、响应能力同步建设,能够更好地应对信创建设前期的各类潜在风险。”
在整个数字安全体系中,微步传递给客户的理念同样是产品异构部署,用专业的人做专业的事。微步也乐于将自己的能力开放给客户和伙伴的方案体系中去应用。
不积跬步,无以至千里。在技术上颠覆,以创新者的姿态,微步追求将一项专业能力做到极致。