殺毒是終端安全的原始需求。最初，人們開始意識到自己的終端設(shè)備存在安全隱患，需要采取防護措施，主要是因為計算機病毒和木馬的盛行。過去十幾年，一提到終端安全，其實大多數(shù)情況指的是殺毒軟件。

如今，隨著移動辦公、企業(yè)上云的加速，組織內(nèi)原有的安全邊界被打破，各類終端設(shè)備成為了新的邊界，這種轉(zhuǎn)變使得終端面臨更加復(fù)雜和多樣化的安全威脅，終端安全防護亟需一種新的設(shè)計框架。

近日，在2023西湖論劍·數(shù)字安全大會上，雷峰網(wǎng)有幸拜訪到了安恒信息副總裁、終端安全負責人劉思宇。

劉思宇曾在老牌殺毒軟件廠商領(lǐng)導(dǎo)相關(guān)產(chǎn)品研發(fā)推廣，他的加入提升了安恒信息終端安全領(lǐng)域能力。他認為，盡管在終端安全領(lǐng)域起步相對較晚，但憑借深厚的安全底蘊積累以及持續(xù)投入的創(chuàng)新能力，安恒信息能提供更加全面、更加體系化、更加領(lǐng)先的終端安全產(chǎn)品及解決方案。

作為安全行業(yè)的資深從業(yè)者，劉思宇認為，在市場、技術(shù)及安全事件的驅(qū)動下，未來終端安全會朝著體系化、一體化的方向發(fā)展，并且這個趨勢正在加速到來。

以下為雷峰網(wǎng)與劉思宇的對話：

雷峰網(wǎng)：終端安全從提出發(fā)展至今，經(jīng)歷了很大的變化。您認為目前階段，終端安全發(fā)展的困境和特點是什么？

劉思宇：安恒信息的思考與觀察主要體現(xiàn)在兩個方面：

一方面，隨著云計算、大數(shù)據(jù)以及遠程辦公等新技術(shù)和應(yīng)用場景的興起，安全邊界變得更加模糊，越來越多的終端直接暴露在互聯(lián)網(wǎng)上，這對于互聯(lián)網(wǎng)上的壞人是一種便利。傳統(tǒng)的、單一的終端防護手段越來越不能滿足現(xiàn)在的需求。以前邊界上有各種各樣的防控設(shè)備、產(chǎn)品，可以把終端很好的隔離在內(nèi)網(wǎng)，現(xiàn)在的辦公環(huán)境已經(jīng)不允許完全按照這種方式來進行安全能力的部署。

另一方面，用戶的終端安全需求越來越高，一臺機器需要安裝十幾種終端防護產(chǎn)品，比如終端準入、防病毒、EDR、主機審計、桌面管理、數(shù)據(jù)防泄漏等。最終造成的結(jié)果是：極其占用計算機資源，甚至影響生產(chǎn)效率。究其根本，部分廠商研發(fā)和運維能力有限，只能提供某一種安全產(chǎn)品及服務(wù)。用戶如果想構(gòu)建體系化的安全能力，需要從不同的廠商采購一大堆不同功能的客戶端產(chǎn)品，還需要運維工作人員進行大量的維護工作，不僅采購成本高、人力成本的投入也居高不下。

雷峰網(wǎng)：針對現(xiàn)階段網(wǎng)絡(luò)邊界模糊，終端安全防護更加脆弱的問題。安恒信息有什么解決方案？

劉思宇：安恒信息的終端安全管理系統(tǒng)從兩個不同的角度去解決終端上的安全問題。

首先，在終端設(shè)備接入網(wǎng)絡(luò)之初，就會從安全視角，對組織內(nèi)需要保護的終端資產(chǎn)進行智能化的識別；其次，給這些資產(chǎn)部署防護產(chǎn)品，形成完整生命周期的保護。

在對資產(chǎn)做深度識別時，會針對包括軟件、硬件、外部接入設(shè)備、甚至軟件中的各類組成成分進行識別和保障，讓安全運維人員可以準確掌握自己內(nèi)網(wǎng)的資產(chǎn)數(shù)量和類別。資產(chǎn)清點完畢后，按照相應(yīng)的策略去部署安全軟件，并對這些資產(chǎn)進行全面的體檢。這樣就能發(fā)現(xiàn)存在哪些入侵風險，是否存在安全漏洞，存在什么樣的安全漏洞，有沒有使用開源的應(yīng)用。通過打補丁、微隔離等工具智能化的幫助用戶攔截端口風險。

安恒信息幫助用戶進行終端資產(chǎn)全生命周期監(jiān)控，通過我們豐富的威脅情報數(shù)據(jù)支持，對不同的安全事件關(guān)聯(lián)分析，讓組織內(nèi)部的安全事件可視化的展現(xiàn)在安全運維人員面前。這對于制定整個終端體系化的防御策略與整體終端安全態(tài)勢可視化具有重大意義。

雷峰網(wǎng)：為什么要進行可視化溯源回放？對于用戶的意義是什么？

劉思宇：可視化溯源回放有個洋氣的名字—“attack movie ”，就是從攻擊者的視角全面展示內(nèi)網(wǎng)中發(fā)生的攻擊行為的全過程，像放電影一樣清晰。比如攻擊者是從哪臺機器發(fā)起的攻擊？利用的是什么威脅手段？攻擊被攔截的情況如何？

以前企業(yè)內(nèi)部網(wǎng)絡(luò)出現(xiàn)安全問題，很難第一時間掌握。需要高級的安全分析人員去分析系統(tǒng)內(nèi)部的日志等信息，可能需要花幾個小時，甚至幾天才能知道這個病毒是哪里來的、做了什么。通過“attack movie”這個安全能力，普通的安全分析人員一眼就可以看出來“是什么病毒，訪問過什么系統(tǒng)文件，造成了哪些影響”，現(xiàn)在我們只需要幾分鐘，就可以把分析報告提交給用戶，大大提升了響應(yīng)效率，讓用戶在更短的時間完成風險處置，大大降低安全風險。

雷峰網(wǎng)：安恒信息的入侵檢測平臺有什么不同？

劉思宇：一、在防御監(jiān)控準確性更高；二、展示出的行為數(shù)據(jù)更準確。

第一點，針對于各種各樣的安全事件，傳統(tǒng)的入侵檢測類產(chǎn)品，進行掃描后，報給用戶非常多的告警。但是用戶結(jié)合自己的生產(chǎn)環(huán)境，并不了解哪些是真正的風險，哪些信息是有價值的，哪些需要處置，自己到底安全不安全，報告的價值在哪。安恒信息通過近二十年的攻防、國際賽事等經(jīng)驗，總結(jié)了一套攻擊技戰(zhàn)行為防御模型，在防御監(jiān)控上非常準確，有效解決上述問題。

第二點，通過將攻擊行為可視化，讓安全分析人員很清晰看到，惡意行為威脅有沒有被攔截，客戶系統(tǒng)是否安全或者威脅造成了什么危害？

雷峰網(wǎng)：一個EDR平臺？能做到如此精準，背后依靠的是那些能力？

劉思宇：一個完整的EDR一定是需要多種安全能力支撐，安恒EDR基于安恒信息16年來在各大重保活動中積累的安全攻防服務(wù)經(jīng)驗，數(shù)十億級別的威脅情報數(shù)據(jù)。依托AI大數(shù)據(jù)分析技術(shù)，可對威脅告警的攻擊鏈進行全面分析，完整展示攻擊鏈路，相對基于流量高噪聲的若關(guān)聯(lián)分析，精準度更高、更靠譜。

總結(jié)就是，安恒EDR是結(jié)合安恒信息16年來在安全服務(wù)、安全攻防、入侵檢測、威脅情報等各方面積累，并通過新技術(shù)、新能力的加持，而研制出的適合用戶的“終端威脅檢測與響應(yīng)”產(chǎn)品。

雷峰網(wǎng)：國內(nèi)因為真假EDR爭辯不休，您怎么看？

劉思宇：大家說假EDR，是因為以前很多產(chǎn)品只套用了 EDR 概念，本質(zhì)上只是一個殺毒軟件，無法給用戶提供一個合規(guī)、安全的終端安全使用環(huán)境。伴隨行業(yè)發(fā)展，用戶需求從合規(guī)變成實戰(zhàn)化，這也客觀促進各廠商不斷提升和完善能力，做出真正的EDR產(chǎn)品。

雷峰網(wǎng)：您覺得企業(yè)組織架構(gòu)復(fù)雜，終端數(shù)量龐大、終端管理難的問題該如何解決？

劉思宇：未來，安全的發(fā)展趨勢是終端一體化?，F(xiàn)在客戶實際需求是多樣化的，比如殺毒、數(shù)據(jù)防泄露、 主機審計與終端準入等。安恒信息現(xiàn)在已經(jīng)實現(xiàn)了用戶按需購買并進行安全能力組合，但只需一個客戶端即可。此外，更多的安全能力板塊還在持續(xù)研發(fā)和上線中，我們始終希望把簡單留給客戶，把復(fù)雜留給自己。

雷峰網(wǎng)(公眾號：雷峰網(wǎng))：您如何看待人工智能在安全行業(yè)的應(yīng)用？

劉思宇：人工智能是一把雙刃劍。對于攻擊者來說，他們可以僅通過輸入一些自然語言，便輕易地生成各種攻擊工具，比如勒索病毒等惡意攻擊程序。

雷峰網(wǎng):  那我們應(yīng)該如何應(yīng)對呢？

劉思宇：人工智能濫用，未來這個問題有可能會越來越嚴重。針對勒索防御，需要構(gòu)建事前、事中、事后全流程檢測、監(jiān)控和防御體系。

安恒終端安全已近打造了一套針對于勒索病毒的攻擊技戰(zhàn)術(shù)，提供勒索行為檢測引擎，不論是已知的病毒還是未知的病毒，都可以準確的識別出來，并進行相應(yīng)的攔截保障，提高了對勒索病毒防護的上限。

安恒信息也是首家提供智能備份引擎的安全廠商。傳統(tǒng)情況下，用戶需要部署復(fù)雜的備份系統(tǒng)，智能備份引擎基于AI機器學(xué)習(xí)和內(nèi)核級技術(shù)，實現(xiàn)對關(guān)鍵數(shù)據(jù)的高效識別，并進行及時、低能耗的備份。我們的目標是，即使用戶沒有做任何防護，或者遭遇了勒索病毒，都會保護住核心數(shù)據(jù)資產(chǎn)，這也提高了用戶終端安全能力的下線。

雷峰網(wǎng)：現(xiàn)在重點推進的或者研發(fā)的是哪些技術(shù)和產(chǎn)品？

劉思宇：目前，勒索行為檢測引擎和智能備份引擎已經(jīng)完成技術(shù)儲備，很快能推向市場，大家可以期待一下。

雷峰網(wǎng)：如何平衡大企業(yè)和中小企業(yè)之間的服務(wù)？

劉思宇：針對大型企業(yè)，我們提供私有化的部署方式；針對中小企業(yè)，我們提供 SaaS 版本產(chǎn)品， SaaS 版本不需要用戶再去部署運維繁瑣的管理中心，通過云端租戶的方式管理自己的資產(chǎn)，成本對于中小企業(yè)很友好。

雷峰網(wǎng)：安恒信息選擇從EDR切入終端安全市場的緣由是什么？目前在終端安全的領(lǐng)域取得了哪些成績？

劉思宇：安恒信息是一家綜合性的平臺廠商，在終端上的策略也是如此，給用戶提供終端安全一體化產(chǎn)品和解決方案。而自身在EDR方面的技術(shù)沉淀和能力儲備都有，從優(yōu)勢點出發(fā)，也是為了快速響應(yīng)對客戶高質(zhì)量終端安全服務(wù)的需求。

就公開數(shù)據(jù)，賽迪顧問去年發(fā)布的《中國終端安全檢測與響應(yīng)產(chǎn)品市場研究報告（2022）》，安恒EDR占全國市場份額5%，排名第三。還榮獲了2019年最佳創(chuàng)新產(chǎn)品獎、2021年ISC終端安全領(lǐng)域創(chuàng)新100強、2021年、2022年賽可達優(yōu)秀產(chǎn)品獎、賽可達東方之星、2021年數(shù)世咨詢EDR安全能力圖譜排名前三等榮譽。此外，我們在信創(chuàng)方面也已經(jīng)和數(shù)十個國產(chǎn)軟硬件以及操作系統(tǒng)進行了適配和產(chǎn)品互認。

所以總結(jié)下來，安恒信息終端安全雖然起步晚，但也正因為此，在產(chǎn)品設(shè)計之初就有有一套完整的解決方案—無極架構(gòu)，避免了通過產(chǎn)品堆砌造成的管理割裂、數(shù)據(jù)孤島等問題；再加之安信信息十余年國家級大型賽事、會議的安保支撐工作等實戰(zhàn)經(jīng)驗的積累，反而在產(chǎn)品設(shè)計、研發(fā)、市場需求了解等方面更具優(yōu)勢。

安恒信息終端安全的定位是數(shù)字資產(chǎn)守門人，為新時代用戶數(shù)字資產(chǎn)安全保駕護航。在未來也會持續(xù)通過科技創(chuàng)新、優(yōu)秀的產(chǎn)品架構(gòu)設(shè)計理念來推動終端安全行業(yè)不斷發(fā)展，為用戶提供更好、更智能、更簡單的終端安全產(chǎn)品。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。