“站在攻击者的视角,他的攻击步伐并不会因为一个组织使用了新的操作系统环境就停止下来,因此在既有杀软基础上,跨平台同步建设基于行为检测的EDR能力非常重要。”在刚刚举行的微步在线OneSEC信创版发布会上,微步技术合伙人黄雅芳这样表示道。“考虑到信创环境,我们认为建设EDR的最佳时机就是当下,和我们一起从0到1建设信创终端安全,一起做好对抗实战威胁的准备。”
微步数年前完成从一个外界普遍认为“搞威胁情报的”厂商蜕变到以情报和AI为能力基座,在边界、流量和端点侧全面布局的安全公司,可以明显感觉到,微步近年来看似迅猛发展背后,产品演进的过程却是稳扎稳打一步一个脚印。在去年春季发布其EDR产品OneSEC之后,微步于近日才发布其重大迭代,推出了全新的OneSEC信创版产品。
在很多人看来,信创的升级替换无非就是解决一个适配的问题,似乎非常简单。但据黄雅芳介绍,完成这一步升级,她和她的团队却花费了整整一年的时间——在微步看来,虽然对于用户而言功能感知上好像没什么区别,但是在不同的系统环境,如Windows上、MacOS上和Linux上,要实现的逻辑却完全不同;攻防的手法和场景也截然不同;此外不同的内核版本上,要实现功能的同步照样需要花费很多的功夫。这恐怕也是为什么针对这一次看似没太劲爆的产品升级,微步却专门为其召开了一场隆重的发布会。
小步快跑不断迭代 还是一步到位?
一项来自《2022-2023年中国信创生态及信创PC市场发展研究报告》显示,到2026年中国信创PC整机出货量将达到950万台。对于乙方安全公司而言,这是一块蓝海市场,这也是为什么微步如此重视提前布局信创EDR的原因。
但在应用侧而言,因为信创终端当前阶段依然还在初步应用的早期阶段,主流的用户对于信创的升级替换工作却存在AB两种截然不同的选择:第一种思路相对谨慎,他们认为在早期阶段相对威胁较少,应该先建设好基础,比如先考虑在终端上面部署传统的杀软等工具,相对成熟之后再考虑逐步上一些高阶能力,比如EDR;另外一种思路认为正是因为信创生态的起步阶段,所以安全风险才比较高,应该在早期建设的时候就考虑直接上EDR的能力,一步到位。黄雅芳坦言:“目前接触的情况来看,还不确定这两种思路分别占比多少。”
虽然我们确实无法暂时定论以上两种思路到底孰对孰错,但是微步给出了自己的思考——如果说信创的升级是一个0到1的过程,对应的威胁却不是这样的产生逻辑。黄雅芳介绍道:因为信创的升级很多时候需要考虑用户在使用层面的平滑过渡,比如Windows生态下的一些恶意蠕虫、木马等同样能够被移植到信创系统中。而Linux生态的漏洞也会将将风险带入信创系统。此外,因为部分应用的公开漏洞在信创平台的修复上存在一定的滞后性,因此进一步增加了信创系统的安全性风险。黄雅芳和团队尝试过将一些较为经典的攻击手段和工具应用到信创系统环境中,发现确实存在很多安全上的隐患。
也正是如此,微步选择了第二种方式,他们更加建议用户在信创升级的过程中去通盘考虑,提前布局。事实上,据黄雅芳介绍,在全新的终端安全管理平台OneSEC信创版正式发布之前,就已经在很多种子用户的行业进行试点(比如最为刚需的金融行业),并在近两年的攻防演练关键时刻起到了良好的效果。“而且我们的EDR产品是SaaS模式,在部署上可以快速起量,这对特别是大型头部客户而言十分重要。因为如果按照传统的建设思路,很多时候一个终端的建设都是一两年的周期或者两三年,甚至有的那种大的单位几十万终端,他可能要5~10年去建设。而在短短三个月的时间内,我们的OneSEC信创版产品就能快速完成大体量的部署”,黄雅芳介绍道。
信创终端安全升级 EDR是必然趋势
在微步看来,不管是2023年首次发布OneSEC还是如今发布OneSEC信创版,EDR产品都是客户建设终端安全选择的必然趋势。在过去的30年间,对抗恶意软件的主要技术依然还是杀软。但是越是大型的客户,越对安全有更高的要求,因此一些绕过杀软的高级威胁是安全运营中无法被接受的。而叠罗汉式地不断往终端上安装安全产品一方面使运营管理上更加困难,另外一方面对于终端的性能和资源的消耗将成为很大的一个挑战。此外,误拦误杀也是非常大的痛点。
而EDR先天的轻量化优势恰好在于能够让用户不再担忧终端上过多的性能和资源消耗。传统终端上的系统处理问题的方式更多是“串行”,而EDR巧妙地采用“并行”的方式,且将计算从终端侧向服务端转移。——轻量化的用户体验是EDR最显著的特征。
而对于误报的问题,有别于传统杀软针对文件静态特征扫描、基于行为特征、动态内存扫描等等方式,EDR更多的是依靠对行为的分析,用更多的行为上下文来分析行为意图,并且利用更多的互联网信息和情报关联信息来判断黑白。最关键的是,体验上来讲EDR更是可以引入专业人士而非用户来确认是否误报,这在用户感知层面是一个巨大的提升,也确保了用户业务系统的持续性。利用对“过程行为(恶意代码,恶意代码载体做的行为动作,比如进程创建,执行脚本、修改内存属性、尝试登录)”和“结果行为(恶意代码造成的实际结果:新建的注册表项目,新创建的服务和文件、一块可读可写的内存空间、远程新创建的账号)”的“强监管”,两者相辅相成可以进一步提高检出的成功率。
值得注意的是,微步从OneSEC发布到现在的更新迭代,一直都采用的是SaaS的模式。对于为何要采用这样的方式,用户是否对数据安全等核心问题存在质疑,黄雅芳表示:“从经验上来说,微步不是第一次去推SaaS产品了,首先我们是从技术上去解决了很多用户特别关心的问题,比如说数据的安全——别看EDR采集了很多终端的行为去分析它,但是我们并不采集用户的文件和数据,这样客户对业务的顾虑会小很多。
其次对我们来说,我们的云端承载那么多关键基础设施单位,对安全性设计,对我们自身安全运营能力的挑战也是很大的,所以我们比任何一个终端安全产品更重视产品的安全。这中间用户看到我们那么多的努力,包括等保认证等体系建设,大家的信任就逐步建立起来了。最重要的是,我们的逻辑很简单——当一个SaaS产品十倍、百倍好于传统产品的时候,用户是会愿意买单的。”黄雅芳这样说道。
市场刚起步 做好EDR并非想象中容易
借着访谈的机会,我们也与微步深入沟通了关于终端安全产品发展方向,以及行业当前现状相关的话题。作为一个2010年就诞生的概念,EDR在国外发展了十多年,已经是非常成熟。而在微步看来,国内EDR这个领域看似玩家很多,但是真实情况是依然有很多所谓的EDR实际上是将传统杀软、桌管等产品作二次包装而来,就目前看来国内EDR市场真正的形成,依然还需要行业共同努力去推进。
“这个市场在一个起步快速成长的过程里面,我们去年做产品发布的时候给大家讲什么是EDR,为什么要建EDR;到现在我们去见头部客户的时候,大家只会问你的EDR跟别人有什么区别,EDR要怎么建设,跟其他终端安全产品怎么联动。所以大家的认知已经从why到how了,这是过去一年多时间我觉得变化比较快的。”黄雅芳表示,要达到海外EDR的成熟阶段,在国内需要先经历一个“拨乱反正”的过程,然后才会逐步再起量。
至于如何去评估一个EDR产品的好坏,黄雅芳表示目前行业虽然缺乏一套公平公正的测评体系,但是一些头部企业的评测思路是统一的,就是在实战演练中去检验。“企业在日常攻防演练中不断收集和整合最流行的一线攻击手法,通过这些新的杀软都扫不出来的病毒木马的运行,去检测厂商EDR的检出率,就能评估出这个EDR能力的好与坏。”黄雅芳透露,在OneSEC推出的近两年时间里,经历了两次国家级攻防演练的实测考验,检测率都达到了百分百。目前最活跃的黑产团伙,也是微步基于OneSEC去做发现命名并持续追踪的。
谈及微步做产品的初衷,黄雅芳表示,一个底层逻辑是用新技术解决老产品(的局限性)或者创新老产品,另一个是要帮助企业解决实战和安全运营遇到的问题。“我们切的就是企业安全运营常用的一些好用的工具。比如用NDR替代传统的IDS,用下一代安全网关替换IPS,用EDR去补齐杀软解决不了的新攻防对抗的问题。所以不管是现在还是未来的产品格局,都会围绕帮助企业做好威胁发现和响应去做。”
也许,以上的表述正是微步多年来埋头做产品,而不是在纷扰的市场上跟随炒概念的最重要原因吧:对于当前的微步而言,围绕用户在实战化方面的需要,基于在情报和AI上的核心能力,为他们打磨一件件称心的安全工具,去应对实战挑战,用新的技术和产品去慢慢替代老的东西,才是他们最关心的事情。