终端安全是企业信息交互最基本的单位,也是企业信息安全建设的重要组成部分。在信息基础设施中,终端安全的节点数最多,需要从多个维度全盘考量,才能把端点安全尽量涵盖。
《精准EDR行业白皮书》发布,揭示行业大趋势
终端安全历经了几个时代,从最早的软杀、EPP,到EDR,再到结合AI等先进技术的XDR,整个行业在飞速变化,国内外厂商在纷纷布局。
传统的终端安全从防病毒、EPP、终端管理、安全审计等入手,重点在于安全问题的发现。随着病毒的演变,需要用到端点检测与防护的手段,对端点行为数据进行采集和高级的威胁分析,全面排查,给用户提供修复建议,这是EDR所要做的事情。
精准EDR是对EDR能力进行进一步地细化和提升,主要是基于海量威胁情报,针对以高级威胁攻击行为为应对目标,精准发现,快速分析,并通过自主决策做出响应形成闭环。
数世咨询联合微步在线等厂商发布的《精准EDR行业白皮书》分析了精准EDR的四大关键能力。
一是攻击检测能力,精准EDR检测准确度非常重要,需要做出全面记录的行为事件,在此基础上以上下文关联分析,基于外部全面威胁覆盖进行关联,形成事件关系链或关系网,例如当有新增的事件或者新增威胁时,微步产品可以通过图溯源技术对标签进行关联,实时排查。
二是数据采集能力,精准EDR要采集多个数据类型,从基础事件到文件、进程等都要有。
三是溯源分析能力,图溯源技术能够基于底层事件,通过上下文关联进行判断和甄别处理,并以可视化的形式呈现出来,帮助初级安全分析师更好、更快地进行溯源分析,把有经验的高级情报分析师的能力解放出来。
四是智能响应能力,智能响应针对不同场景,结合业务模式、IT环境进行有针对性的响应规划。
报告中收录了国外的CROWSTRIKE、SENTINELONE,国内的微步在线等几家代表企业的经验,并对未来发展进行了预测:包括精准化,一体化的发展趋势,结合机器学习、人工智能的自主决策发展,以及信创适配等趋势。
新威胁新安全 微步终端安全战略解读
微步在线CEO创始人薛锋对微步全新战略进行解读时,分析了近年来产业发生的一些新变化。
一是基础设施的变化,过去3、5年来,大量5G、IoT、云,包括远程办公、混合办公等基础设施侧的变化给安全带来了新的挑战。
二是监管要求的变化,从过去打勾式的合规要求,变成面向结果、面向效果的要求,比如行业演练、国家演练、区域演练等。
三是攻击者的变化,一些高端攻击技术越来越平民化,包括数字货币、暗网和勒索等新形式的攻击,给大家带来很多的困扰。
四是需求侧的变化,越来越多的客户看到只有防是不够的,会更关注运营,相信运营和实战结合才能带来更好的效果。
五是供给侧的变化,安全技术在过去20多年里更多是靠类似于规则特征码匹配的模式,今天最大变化是数据化思路,跟以前的规则思路有着截然不同的效果;其次是载体的变化,过去的安全更多是靠堆叠盒子来完成,现在要靠云端的算力和数据来解决问题;三是服务模式的变化,订阅模式正成为对用户、厂商都是更好的模式;四是安全效果的变化,像微步会持续地提供更多能帮助用户做实战化效果的产品。
谈到终端安全,越来越多的企业感到压力越来越大,因为现在更多的攻击正从服务器端切到终端侧,意味着攻击者的入口多了几十倍甚至几百倍,攻击者从过去与服务器端的开发人员、IT安全人员对抗,发展到对终端的普通员工进行攻击。
对抗终端攻击主要有杀毒、流量检测、日志检测等三类技术,但都存在很大的盲区,它们就像在一个工厂中部署的监控器,只能监测到门口和楼道,EDR则是在房间或者PC终端上装了特别轻的传感器、摄像头,让你清晰地看见房间中发生所有行为,采集的信息完实时送入云端或本地服务器进行分析。
好的EDR产品要具备轻、稳、准、全的特点。
微步早期是威胁情报的厂商,后来推出NDR、流量检测等其他产品,现在推出难度和挑战更大的终端安全产品,原因有二:一是听到了客户大量的需求和呼唤,二是进一步检测自己在情报、检测,以及攻防演练上的优势。
所以从三年前,微步开始做EDR产品,三年磨一剑,过去12个月中已经有数十家用户正式使用了微步的EDR产品,得到很多正面反馈。
今天,微步在线把终端安全产品正式推出,希望更多用户体验到微步终端安全EDR产品的价值,此外,微步公司的slogan为“让安全没有边界”,希望通过没有边界的安全能力帮助大家,和大家一起守护数字世界的安全,跟医务人员一样做后疫情时代、做数字时代最可爱的人。
