【51CTO.com原創(chuàng)稿件】“早在四年前，我們就已經(jīng)意識到，傳統(tǒng)的安全防護(hù)手段已經(jīng)不能解決云時代下的安全隱患。必須開拓一種新的安全思路去防護(hù)模糊邊界下的信息安全。”這句話是北京杰思安全科技有限公司(以下簡稱“杰思安全”)董事長兼首席安全專家劉春華見到記者時開口談的第一句話，當(dāng)年的他是這么思考的，也是這么行動的。

[[256300]]

　　2015年，劉春華敏銳地捕捉到市場的變化：當(dāng)越來越多的企業(yè)業(yè)務(wù)被遷移到云端，以PC為主的傳統(tǒng)網(wǎng)絡(luò)也逐漸開始向智能手機(jī)、汽車、攝像頭、智能家居等IOT終端轉(zhuǎn)移，隨之而來的是新型安全威脅層出不窮——APT攻擊、0day漏洞、勒索軟件……他預(yù)見到，當(dāng)時安全廠商遵循的“重邊界輕終端”的網(wǎng)絡(luò)防護(hù)常規(guī)必將被打破。如何在云時代給客戶提供安全威脅的檢測防護(hù)，以及主機(jī)安全感知與事件精準(zhǔn)溯源?劉春華幾經(jīng)比較后，將目光鎖定在EDR(端點(diǎn)檢測與響應(yīng))技術(shù)上。2015年，杰思安全成立，研發(fā)的重點(diǎn)就是以EDR技術(shù)為核心的產(chǎn)品及解決方案。

　　選擇正確的方向方可事半功倍

　　事實(shí)證明，劉春華的眼光非常獨(dú)到。

　　從2016年開始，連續(xù)爆發(fā)的“豐收行動”、“摩訶草事件”、“蔓靈花行動”等針對我國國家單位、科研院所和政企部門的APT攻擊事件，以及層出不窮的各類勒索事件等，都將未知威脅防御話題提到了空前的高度。

　　而杰思安全推出的獵鷹主機(jī)安全響應(yīng)產(chǎn)品以EDR端點(diǎn)檢測與響應(yīng)技術(shù)理念為核心，結(jié)合CWPP、微隔離、自適應(yīng)安全等前沿技術(shù)，能實(shí)時檢測未知威脅并快速響應(yīng)。適用于服務(wù)器、云主機(jī)、PC、移動/智能終端、工控主機(jī)、物聯(lián)網(wǎng)終端等，支持Windows、Linux及國產(chǎn)操作系統(tǒng)，能輕松適應(yīng)各種規(guī)模和IT架構(gòu)的企業(yè)，大大提升用戶的安全主動防護(hù)能力，贏得了政府、運(yùn)營商、金融、能源、交通、醫(yī)療、教育等行業(yè)用戶的高度認(rèn)可。

　　對于當(dāng)時為什么會瞄準(zhǔn)EDR技術(shù)進(jìn)行研發(fā)，劉春華的解釋非常直白：第一點(diǎn)原因是因?yàn)镋DR技術(shù)門檻比較高，他舉例說明，殺毒軟件更偏重的是根據(jù)病毒庫做病毒查殺，市場后入者比較容易復(fù)制。但是EDR不同，它更多的是觀察攻擊者的行為來判斷行為是否異常，整個過程涉及到攔截、隔離、追溯、審計等多個環(huán)節(jié)，對產(chǎn)品研發(fā)能力要求非常高。第二點(diǎn)原因則是從用戶角度出發(fā)，劉春華認(rèn)為EDR可以幫助用戶真正地解決云時代終端安全防護(hù)問題。

　　其實(shí)，劉春華對于國內(nèi)安全發(fā)展趨勢的判斷和Gartner也不謀而合，Gartner近幾年來一直十分推崇EDR技術(shù)，幾乎每年都將其納入頂級技術(shù)之列。

　　深耕行業(yè)多年，對客戶安全賦能

　　這幾年，EDR技術(shù)在國內(nèi)發(fā)展勢頭逐漸高漲，也有不少安全廠商開始涉足。雖然競爭逐漸激烈，但是劉春華對杰思安全的EDR產(chǎn)品卻非常有信心。他告訴記者，杰思安全研究EDR技術(shù)的應(yīng)用近4年，在技術(shù)方面，杰思獵鷹主機(jī)安全響應(yīng)系統(tǒng)不僅支持Windows操作系統(tǒng)，還支持Linux以及其他國產(chǎn)操作系統(tǒng)，在客戶應(yīng)用中實(shí)用性非常強(qiáng);在應(yīng)用場景方面，杰思安全不僅提供單機(jī)版本，還更關(guān)注全網(wǎng)安全，即使黑客攻破一臺電腦，杰思安全也可以通過服務(wù)器給管理人員告警，保證其他聯(lián)網(wǎng)電腦的安全。

　　杰思安全的優(yōu)勢不僅于此，還在于對用戶更多應(yīng)用細(xì)節(jié)的把握，這是深耕行業(yè)多年的經(jīng)驗(yàn)積累。“用戶已經(jīng)意識到必須采用新的手段應(yīng)對安全威脅，但是對如何去做還不是非常清晰。”劉春華告訴記者，安全和性能始終是在博弈中尋求最佳平衡點(diǎn)，用戶可以接受去消耗一些資源去實(shí)現(xiàn)安全優(yōu)化，但是其中檢測的尺度需要把握。例如不是所有的程序都需要去檢測，正常軟件的很多行為都不需要去觀察，這個時候就需要廠商去深刻了解用戶的實(shí)際應(yīng)用場景，盡量不去影響用戶的應(yīng)用，確保運(yùn)行無感知，只有當(dāng)觀察到出現(xiàn)威脅行為時才去做干預(yù)和內(nèi)控檢查。

　　立足客戶需求，2019將為客戶提供全景式安全洞察

　　很多人對2017年4月的那場全球永恒之藍(lán)勒索病毒浩劫心有余悸，采訪中劉春華就提到了杰思安全曾遇到的一家特別幸運(yùn)的客戶。他們之前與這位客戶接觸了幾次，客戶對于是否要安裝EDR安全設(shè)備仍在猶豫不定，最后客戶決定試裝一下，結(jié)果在安裝完成的第二天就爆發(fā)了WannaCry勒索病毒?？蛻舻牟簧偻卸贾姓辛?，但是客戶由于安裝了杰思安全EDR產(chǎn)品，所有設(shè)備都正常運(yùn)轉(zhuǎn)，完全沒受影響。后來這位客戶一口氣定了好幾套杰思安全的產(chǎn)品。“永恒之藍(lán)的爆發(fā)讓很多企業(yè)客戶意識到EDR的價值，從那以后主動找到我們咨詢的客戶越來越多。”劉春華透露。

　　當(dāng)然，杰思安全并沒有滿足于“一招鮮吃遍天”，這幾年他們圍繞這EDR又研發(fā)了不少延伸技術(shù)和產(chǎn)品，例如CWPP(云工作負(fù)載保護(hù)平臺)、微隔離、自適應(yīng)安全架構(gòu)等等。劉春華告訴記者，這些都是互相關(guān)聯(lián)的技術(shù)，團(tuán)隊協(xié)同作戰(zhàn)，可以讓客戶的系統(tǒng)更加安全。“例如CWPP就是側(cè)重于對日常云端安全常規(guī)性的檢查，如跑什么軟件，開了什么端口，組件是否有漏洞，是否存在弱密碼等。”

　　他還以微隔離為例，當(dāng)EDR檢測到黑客已經(jīng)黑入客戶電腦系統(tǒng)，那么在進(jìn)入主機(jī)前，如果安裝了微隔離產(chǎn)品，那么數(shù)據(jù)庫服務(wù)只能訪問數(shù)據(jù)庫，緩存服務(wù)器只能訪問緩存，這讓用戶核心數(shù)據(jù)如同黑洞一般完全不可見，把黑客入侵渠道減到最少，大大增加了攻擊成本和難度。“微隔離支持Windows和Linux，等于把平臺打通了，非常適合混合云部署，前端服務(wù)器和數(shù)據(jù)庫服務(wù)器規(guī)則自適應(yīng)，不需要再做配置，對硬件也沒有太多要求，在運(yùn)維上還可以避免人為操作風(fēng)險。”

　　采訪最后，劉春華表示，很多客戶買了非常多的安全產(chǎn)品但是產(chǎn)品之間無法關(guān)聯(lián)分析，而這正是杰思安全的價值所在——用戶通過終端采集到最全的數(shù)據(jù)，在控制臺上將所有數(shù)據(jù)做全網(wǎng)分析，發(fā)現(xiàn)異常行為之后，立刻進(jìn)行攔截，并實(shí)現(xiàn)與網(wǎng)關(guān)聯(lián)動，與云聯(lián)動，在更遠(yuǎn)端實(shí)現(xiàn)攔截。“未來杰思安全將更加關(guān)注全景分析，給客戶提供一個全局解決方案。”

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請注明原文作者和出處為51CTO.com】