网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

" 相比于不同类型的厂商，我们在 EDR 方向上的核心竞争力，一是实战化能力更强，从投入上、时间维度上、团队规模上、精力资源上都会更大一些；二是从实战效果看，真正放在网络里去检测，我们的产品能做到‘别人看不见的威胁被我们看见，别人看得见的威胁我们看得更全’；三是兼容性更好，不管是以杀毒包装的方式切进 EDR 市场，还是原来终端安全想做 EDR 新增的部分，目标希望占据终端的市场，我们只要做到兼容效果好，补齐终端安全缺的部分，而不是占领整个市场。" 黄雅芳如是说。 

新威胁形势下，" 发现 " 威胁的能力更重要

随着 5G、IoT、云等技术的发展，以及疫情带来远程办公、混合办公，办公场所的移动化等基础设施的变化，给安全带来了新的挑战。

薛锋指出，首先在监管侧，从以前的等保合规要求，已经变成面向结果、面向效果的要求；其次，在攻击侧，新型攻击方式层出不穷，一些高端攻击技术越来越平民化，企业收到威胁勒索的形势更加严峻；再次，从需求侧，用户需求更注重效果、发现、运营和实战。供给侧需求的变化带来网络安全技术的变化，从以前依靠规则特征码的匹配去发现威胁，到现在的发现威胁数据化、交付方式云化、服务模式 SaaS 化的订阅模式、也更加注重安全效果。

在攻击侧需求变化的同时，终端安全也面临新的威胁挑战，因为现在服务器的注入和攻击没有像过去那么容易了，针对终端的攻击越来越多。

薛锋谈及其中的原因，一方面是大型政企如果通过互联网能够访问到的服务器、网站通常只有几个或者几十个，但在 PC 终端却有成千上万个，因此攻击者能找到的入口也就多了几十倍甚至几百倍；另一方面，如果攻击服务，对抗的是开发人员、IT 安全人员对抗，但是攻击终端，就是和普通员工对抗，例如财务人员、HR、普通员工、不太懂电脑技术的领导。" 攻击者要攻击终端只存在想不想，不存在能不能，只要想就一定能攻陷，这是很明显的趋势。" 薛锋如是说。 

据薛锋介绍，目前市场上终端安全产品主要有杀毒软件、流量检测类产品以及日志审计类产品。但是这三类产品都有各自的盲区。他举例说，如果要保护的单位像工厂一样是由一个个房间、一个个业务单元组成的话，部署流量和日志类产品，就像部署在大楼的出口或者楼道里面监控探头，看见的是南北向和东西向的流量，看见的是楼层和楼层之间和进出这栋楼的流量。但黑客和坏人不总是从大楼的正门和楼道进入，有可能从后门、窗户、通风管道进去，也有可能是以快递的形式带来威胁。因此传统基于流量检测的产品不能解决所有问题。

而 EDR 则相当于在工厂内每一个房间都安装了一个特别轻的传感器、摄像头，用户能够清晰地看见这一个房间里发生所有的行为，EDR 采集完送入云端或者本地服务器做分析，可以和 NDR 流量检测产品相互补充，从而更好的发现威胁。

薛锋认为，好的终端安全，必须是是轻、准、稳、全，即用户使用时无感知占用 CPU 内存小、稳定性好、精准追溯攻击过程的分析能力、采集数据类型和上下文的丰富性。

在会后的采访中，薛锋表示：" 我一直比较相信安全和医疗之间的映射关系，在医疗领域早发现问题很重要，但这只是一半，如何治疗是更加重要。但在网络安全领域，除了勒索软件攻击治不好之外，剩下百分之八十左右的问题一旦发现很容易解决，因此‘发现’能力很重要，也是安全厂商长期发展的路径，目前微步产品沿着发现核心能力做了闭环。我们专注于解决的是一类问题就是‘检测发现’，通过提供一些技术和产品帮助一些重点单位和关键基础设施做好防护。"

集成 EDR 模块的 OneSEC 有什么魔力？

听说好？卖的好？用的好？完全是不一样的概念，那么微步集成 EDR 模块的 OneSEC 到底有什么魔力？ 

大多数企业想要 EDR 功能确实不假，但是一些客户部署了一堆威胁检测盒子，告警量一天达到千万级以上，无法有效的识别有价值的告警；而且，告警量的增加势必需要投入更多的人员进行安全运营，无形中增加了安全的成本。其次，大多数 EDR，其实都是一个个孤岛，没有数据积累，采什么样的数据？怎么采？其实是很难的一件事情。

做好 EDR 的关键一方面需要更加精准的检测，另一方面还需要协同联动；同时还得轻便，不能占用太多电脑资源。

据介绍，OneSEC 的 EDR 模块利用安装在终端上的轻量级 Agent，实时收集终端上的全量行为日志数据并上传云端，利用云端强大的计算资源进行 IOA 行为特征检测。同时，EDR 模块还集成了包括威胁情报 IOC、攻击行为 IOA、云端百亿级样本库与图关联检测等检测方式，从多个维度交叉检测，综合评判，可全面、精准发现各类威胁事件。经过 VB100 的评测，OneSEC 的检出率可达 99.94%。