【 讯】在未知威胁日渐严峻的背景下,传统安全防线被黑客针对性攻击绕过后看不见、防不住的问题与日俱增,成为政企用户最为头疼的问题。近几年,端点检测与响应EDR(Endpoint Detection and Response)技术兴起,可以弥补传统安全防护体系的不足。据Gartner预测,到2020年有80%的大型企业,25%的中型企业,以及10%的小型企业将投资部署EDR。
EDR安全新技术虽然兴起于美国和以色列,国内的网络安全公司早已瞄准用户痛点,他们结合国内用户实际需求,贴近本土化应用场景,以EDR为核心进行了一系列的创新,杰思安全就是其中较为出色的一家。
北京杰思安全科技有限公司,成立于2015年8月,定位新一代主机安全响应系统提供商,是国内第一家专注EDR技术的安全公司。第二年,杰思发布杰思猎鹰主机入侵防御系统,填补国内EDR产品市场的空白。今年8月,他们又获得绿盟科技领投的数千万A+轮投资。
黑客行为的三大变化
杰思安全CEO蒋波认为,他们之所以聚焦企业级主机安全,是看到了当前未知威胁安全形势的变化,把握了政企用户新需求,也找到了杰思生存的新机会。
杰思安全CEO蒋波
蒋波分析总结近年来黑客行为的变化,主要呈现三大特征。第一,黑客潜伏性特征明显。他们不再大张旗鼓、明目张胆,甚至攻击后还会清理所有痕迹。
第二,攻击的持续性较长。由于国内等保建设的持续进行,基本的防护体系让黑客不再那么容易得手,但他们仍在内部静待时机,悄悄的渗透和扩散。
蒋波举例说明,"以去年在全球爆发的勒索病毒WannaCry为例,从发现到治理已经一年有余,但余毒未清。这一年,杰思在包括政府、运营商、医院、教育机构等很多用户网络中,仍能经常发现勒索病毒和变种。这些用户的网络虽然是内外隔离的,但病毒仍有可能扩散至内网并潜伏下来,短时间内并不发作,不易发现,因此肃清一台发作的终端并不能控制病毒的蔓延。在内网,服务器已经中招而你却不知道的情况非常多。如果发生在电力、铁路、能源、水利等关键基础设施单位,危害非常大!”
第三,黑客的渗透攻击手段在升级。其工具化、自动化程度非常高,未来也会应用人工智能等高科技手段。“这让病毒传播、变种和扩散的速度将更快,范围更广,程度更严重。黑产也存在生态合作,一个原生病毒可以快速出现各种变种,一发不可收拾”,蒋波补充道。
在这场永无止息的攻防大战里,伺机而动的进攻者永远躲在暗处,作为防守一方如若不掌握黑客动态是无法制定有效的安全策略的。杰思CEO蒋波表示,企业用户的安全思维逻辑往往是选择信任内部,主要去防护外部的攻击。但是,即便有内外网隔离,黑客也总有办法渗透内网。目前政企用户最头疼的问题就是摸不清内网到底有哪些安全隐患,这就是为什么杰思要做主机安全。
主机将是网络安全的主战场
随着大量的业务系统和应用程序开始加密,使用http协议越来越少,很多网络环境也在应用加密机,在流量侧去抓到坏人的可能性在降低。
从黑客的驱动力来看,他们主要以经济和政治为目的,最终要获取和控制主机上的数据资产。黑客一旦侵入内网必定要做出动作留下痕迹。怎么去找潜伏的未知威胁?有没有合适的技术去发现和跟踪?有没有有效的干预手段?一旦发生攻击能不能回溯取证?
蒋波说,杰思的新一代主机安全产品“杰思猎鹰”可以解决上述问题。“杰思猎鹰”采用EDR技术,定位企业安全检测、分析与响应平台,通过监控端点的异常行为和恶意活动迹象,让威胁看得清、防得住。提升用户抵御未知威胁(包括勒索软件、APT攻击、免杀木马等)的能力,增强对全网主机操作系统内部环境安全状况的掌控能力,弥补传统安全防护体系不足。而且全系列产品,全部自主研发,目前,已经获得多项专利及软件著作权。
新方法论:从分清黑白到辨别各种颜色的灰
传统主机安全防护,以特征库比对为方法论,主要依赖病毒库更新和威胁情报收集,也就是说前提是病毒已知,而且要实时联网。蒋波认为,政企用户和个人用户是不同的,依赖联网的病毒库在政企环境中并不完全适用。内外网隔离后,病毒库的更新要经过管控,不能做到实时更新,一些企业可能一周才更新一次,这个时间差足以造成损失。
为此,杰思安全有着自己的一套安全防护方法论,在市场应用两年多的时间里,这套方法论也得到了政府、运营商、能源、交通、制造、医疗、教育等百余家行业用户的认可,被证实是适用于国内政企安全环境,对于新背景下的安全防护是行之有效的。
蒋波解释道:“杰思不再拘泥于病毒的样本特征,而是跟踪和监视其行为,然后判断其行为是黑,是白还是灰。重点抓住灰色的中间地带,去精准辨别其中各种不同的灰色行为。”
杰思用逻辑算法去筛选高可疑。普通杀毒软件会告诉用户查杀了多少个病毒,而杰思的主机安全与响应系统很不一样,它会告诉用户有多少是没有见过的高危行为,揪出那些在主机侧还没有实施犯罪,但已露出端倪的灰色行为,真正做到防患于未然。蒋波认为,白名单或黑名单的机制过于单一,他们会放过那些隐藏的灰色行为,这些往往是到最后造成大问题的那个。
据蒋波介绍,他们刚刚为国务院扶贫办保障了网络扶贫行动计划的顺利进行。国务院扶贫办采用了杰思猎鹰主机安全响应产品,整个系统全部按照信息安全等级保护三级标准进行建设。杰思猎鹰自动响应和深度溯源的特点,大大提高了安全系统的主动防护能力,尤其是对于高持续威胁攻击的安全能力。同时,能根据实际应用需求的变化,制定不同的安全策略,提供整体的安全威胁策略管理。
