面对安全新威胁，企业用户何去何从？

引子

2017年5月的一个夜晚，一位名叫Park Jin Hyok（朴金浩）的程序员利用美国国家安全局(NSA)收集的漏洞软件成功开发出一只病毒蠕虫WannaCry。2017年5月12日晚上22点30分左右，全英国上下16家医院遭到大范围网络攻击，医院的内网被攻陷，导致这16家机构基本中断了与外界联系，内部医疗系统几乎停止运转，很快又有更多医院的电脑遭到攻击，接着，这场网络攻击迅速席卷全球。而这场网络攻击的罪魁祸首就是WannaCry病毒。

WannaCry拥有自主传播的能力，能在数小时内感染一个系统内的全部电脑。它会自动扫描打开了445文件共享端口的Windows机器，无需用户任何操作，就可以将所有磁盘文件加密、锁死，后缀变为.onion。黑客们通过远程控制病毒，向用户勒索“赎金”。“赎金”以难以被追踪的虚拟货币比特币的形式结算这也就是人们常说的 “勒索病毒”。

最终，WannaCry“勒索病毒”肆虐了150多个国家，影响了30万用户，造成80亿美元的巨额经济损失。

勒索病毒引发的安全思考

WannaCry“勒索病毒”的大肆流行，引发了安全业界的广泛思考，为何在众多企业都已经部署了各种安全防护产品的今天，一个仅仅是利用Windows SMB协议漏洞的小小病毒，就能让众多安全防护手段集体失效，造成世界各地数十万用户的巨额经济损失？

其中的原因，本质上是因为WannaCry“勒索病毒”利用了一个最容易实现，但企业又最难防范的一种攻击通道，就是利用终端上的漏洞。而伴随着云计算、移动互联等技术的日趋成熟和广泛应用，用户终端的类型也变得越来越丰富和复杂，特别是数据中心云化已经成为用户必然选择的今天，这种情况愈发明显。而这种复杂的终端情况，使得企业安全防御者无法知悉企业网络系统中所有的设备，并且无法及时对所有终端进行更新，因而攻击者可以通过搜索目标网络中可供建立桥头堡的柔弱终端，从而绕过企业的安全防护手段。然后，再通过进一步的利用漏洞进行传播感染，最终实现既定的攻击目标。

此外，在云安全联盟(CSA)发布的新版本《12大顶级云安全威胁：行业见解报告》中，明确指出：“公共云的利用率正在快速增长，因此不可避免地将会导致更多的敏感内容置于潜在风险威胁之中。但是，与许多人认为的刚好相反，保护云端中的企业数据的主要责任不在于云服务提供商，而在于云客户本身。我们正处在一个云安全过渡期，重点正从供应商转向客户。”在这样的背景下，一个既能做本地终端安全防护，也能更加契合企业云端安全，能够为企业在数字化、智能化转型中保驾护航，抵御新科技带来的安全风险的企业级安全防护方法就变得极为迫切。 对比传统终端安全软件对类似WannaCry等新型病毒的防护失效，“终端检测与响应(EDR)”在新的时代下焕发了新的生命力。

深信服终端安全产品部主管邹荣新介绍说，随着虚拟化、云化的出现，安全形势发生了几个变化。第一，虚拟化主机得到广泛的应用，给用户带来了多方面的便利，但云内的安全却无法解决，病毒传播、泛滥很快，而解决问题的方法，主要在于终端。第二，随着企业网络规模的扩大，类似WannaCry这类病毒，一旦侵入企业网络，将会快速蔓延，在几分钟之内感染网内所有设备，因此，如何避免病毒进入企业网络就非常关键，而这也依赖于终端安全的防护。第三，虽然在桌面云部署杀毒软件是应对终端安全的一种手段，但桌面云杀毒的兼容性非常差，无法承担起终端安全防护的重任。第四，勒索病毒主要的攻击对象是企业的数字资产和云端数据，一旦攻击达成，将会给企业造成重大的经济损失，这将会让企业用户重新思考部署终端防护体系的价值。

深信服安全业务CTO郝轶也表示，EDR的出现确实是源于安全形势的变化，首先是保护对象的变化，当前，用户保护的对象变得越来越多，同时，随着类似于WannaCry这类文件型病毒、恶意文件越来越多的出现，需要一种自动化的方法，在不升级策略的情况下，能够自动对大量机器面临的文件型病毒、恶意文件的威胁进行一定的有效处置；其次，传统终端的病毒检测技术使用特征匹配，使得病毒特征库越来越大，运行所占资源也越来越多，这将对系统的性能和成本造成巨大的压力，同时，这种本地病毒特征库的形式具有很大的局限性，难以应对未知威胁，而这些，都需要新的终端防护方案的出现。因此，EDR应运而生。

安全新威胁下的应对之道

EDR的出现，是新时代安全新威胁催生下的必然产物。传统的WebShell 文件检测和病毒检测都是基于特征码的检测技术，严重依赖于特征库，很难及时检测新的变种，检测效率也随着特征库的变大而迅速降低。同时，随着病毒特征库越来越大，运行所占资源也越来越多，最终会导致检测效率降低、运行所占资源多、最终导致用户启用。而且伴随着企业在转型中云环境的部署，新病毒的出现，传统杀毒软件在应对上的滞后性、无法实时监测新型病毒变种、及时修复漏洞，将会对企业的数字资产、数据安全带来巨大威胁。因此，传统特征杀毒在应对安全新威胁时失效的根本原因是在于对未知威胁的防护能力存在缺失。

邹荣新对这个观点也表示认同，他表示，类似WannaCry这样的新型勒索病毒快速传播，大多数防护系统无法及时添加这类病毒的特征，这就使得依靠特征匹配库检测攻击的手段失效。其次，网络攻击的手法也在变化。比如今年出现的一些无文件攻击。传统的杀毒主要基于文件来做查杀，但这种攻击本地根本就没有落地文件，这就让基于文件的检测技术根本就无用武之地，失效也就在所难免了。而应对这类新攻击手段，一方面需要利用安全设备的联动，来发现新攻击手段的关联性，另一方，则需要加强检测能力，并采用类似EDR这样的安全解决方案。

郝轶认为，企业应对安全新威胁的解决之道，首先要把PDR（防护、检测、响应）做好，重点要把检测做精做强。其次，在PDR能力的基础之上，基于人工智能去做风险的整体评估、识别，以及预测。另外，就是运营，运营的本质是站在用户的角度去思考，在深信服称之为“移情客户”，而“移情客户”的简单理解，就是从用户角度，如何将用户已有的安全设备和产品更好的用起来，运营还包含着一部分的管理和一部分的工具化，比如自动化、联动，诸如这些特性。整体上，就是深信服提出的一个技术模型，APDRO。结合深信服的理念，就是“面向未来、有效保护”，其中PDR是有效保护，ADO是面向未来，即站在用户的角度，基于人工智能的技术把用户现有的安全设备更好的用起来，同时，在面对来自全球的威胁情况下，深信服将联合国内其他的安全厂商，一起做更多的联动、协调、共同保卫用户，包括深信服EDR也做了与端、与网关的联动，甚至还在考虑与友商或者同行设备，怎样更好的去联动，因为用户真正想要的是各安全厂商、安全产品能够相互配合，互相合作，共同抵御外部的威胁。

总结来说，面对越来越多的安全新威胁，任何单一的防护都无法达到兼容性与普适性要求，对企业用户来说，加强检测和响应的技能和智能进化能力，并与其他安全设备形成良好的联动，无论从效果还是花销上来看，都是应对安全新威胁更为明智的选择。

正因为如此，深信服安全秉承“面向未来 有效保护”的核心理念，推出了深信服下一代终端检测响应平台EDR。它通过智能检测、全面保护、灵动响应，为企业用户提供持续不断的保护，可以有效针对云环境+物理环境进行安全部署，为企业的终端安全提供有效保障，同时，它还可以与深信服下一代防火墙、AC、SIP 产品联动协同响应，从而形成企业用户新一代的企业安全防护体系。

下一代终端安全平台EDR

深信服的“面向未来，有效保护”，是以看见、看清、看懂过去和现在的威胁和挑战为基础，预测未来趋势，并通过技能进化和智力进化持续提升预警、防御、检测、响应能力，持续应对新的风险和挑战，保障信息资产的保密性、完整性、可用性达到预期要求。而深信服EDR则完美的诠释了这个核心理念。

邹荣新透露，通过四大核心技术，深信服EDR可以全面提升企业用户在检测、响应、保护方面的能力。这四大核心技术是：

基于人工智能的Save引擎和安全云脑。面对安全新威胁的挑战，如果没有人工智能的帮助，就无法应对攻击者利用自动化或者同样是人工智能手段生成的层出不穷的各种病毒和攻击，因此，人工智能是深信服EDR中的一个重点，深信服为此建立了的创新研究院，成功研发出基于人工智能技术的Save引擎和安全云脑，能够实现自我进化、持续学习。其SAVE安全智能检测引擎（Sangfor AI-based Vanguard Engine），能准确检测未知病毒，对未知病毒检出率高达97.8%，对已知病毒检出率高于99%。SAVE还可以通过信誉库、基因特征、行为分析全面应对安全新威胁; 并通过文件与主机的联动来实现多维度威胁响应处置; 另外，它还能广泛适配辅以多角度防护措施，确保终端全面保护。

无文件，无特征检测技术。无文件、无特征检测技术同目前国内外主流的检测技术，有很大区别。在内存检查、行为检测以及针对流行病毒的基因检测方面，深信服EDR都不需要很大的特征库。针对无文件的一些脚本攻击的检测，深信服EDR只需要使用三、五条关键的行为特征，就能解决这类检测问题，从而实现了对未知威胁的检测，对威胁攻击的防护。同时，深信服EDR是一个轻量级，资源开销也较少的终端安全检测和响应产品。

微隔离技术。微隔离技术实际上主打的是云内安全，云内安全是基于应用角色的防范控制，就是根据主机的业务使用情况把这些主机划到不同的业务域中，然后配置域与域之间以及域内的防范控制。基于应用角色的防范控制有一个关键的优点，它可以根据用户业务的弹性扩展，自动继承原来的安全主策略，而不需要用户重新配置，这对于互联网用户是一大福音，大大减轻了安全运维人员的负担。

网络设备联动。这也是深信服为用户提供的包括EDR在内的整体安全解决方案，也是深信服EDR区别于其他产品的一个优势。因为任何单一的安全防护都无法达到兼容性与普适性要求，只有把所有安全设备关联和联动起来，才能真正为企业构建起一个完整的安全防护体系，实现一体化管控、全面防护。而深信服EDR可以与深信服AF/AC/SIP等设备以及云端的安全云脑协同联动快速响应，如云脑推送、接受热点事件威胁情报、威胁上报、威胁情报接收自动处置、任务指令推送等，从而形成应对威胁的云管端立体纵深的安全防护闭环体系。

邹荣新总结道，深信服一直提倡让IT更简单，更安全，更有价值，而深信服EDR就是让用户的终端管理更简便，让安全响应更快速，更智能和更有效。

郝轶表示，实际上，安全的目的就是怎么用适当的成本，尽可能的达到更强的保护能力。安全是一个体系，它包含很多东西。具体讲，主要是两方面，一是覆盖能力，即面的问题，就是怎么能尽可能的减少攻击界面，给攻击者留下尽可能少的入口，然后用网关类设备对这些入口进行整体的防护。另外，就是做精做细，即点的问题，怎样对终端进行防护，像EDR这类产品，其实就是基于端来做精做细。因此，对于企业的安全防护，一方面，需要用类似网关、防火墙之类的设备进行大面积的覆盖，另一方面，则需要EDR这类的产品，对细节点进行更精细，更准确的检测和控制。深信服的EDR产品在做精做细方面下了很大的功夫，SAVE引擎就是一个很好的例子，它能够在不升级策略库的情况下，对大部分的恶意文件进行识别，同时，深信服的网端联动，可以在端上发现问题时，在边界，网络上去封堵，也可以在网上发现疑似的问题，在端侧去确认和处理。因此，PDR中的那个R就可以在深信服EDR中去体现。

郝轶也特别谈到了深信服EDR中的人工智能，他表示，人工智能有三个要素，算力、数据和算法，在算力方面，目前应该说不存在瓶颈，深信服也是英伟达的合作伙伴。在数据方面，深信服有所不同，深信服的数据是在用户授权的情况下，通过多年帮助中小企业运营或运维所积累的大量真实的企业级威胁的数据信息，这是和PC端的个人用户不一样的。另外，在算法方面，深信服看待数据的角度也是不一样的，数据的解析有非常多的纬度，深信服更关注的是针对影响覆盖率比较大的安全威胁的算法。实际上，利用人工智能做安全，除了科学上的问题，更多的是工程上的问题，在工程类的问题上，拼的其实就是资源的投入，深信服每年拿出20%的收入来去做研发，这在同类企业中，应该是比较大的。而这种巨大资源投入的一个成果，就是SAVE引擎。

EDR，未来安全的重中之重

虽然EDR只是深信服众多安全产品中的一种，但郝轶认为，EDR将在未来的安全防护系统中占据重要地位。因为站在面向未来的角度，无论场景上或者产品形态如何变化，企业面对的威胁主要有两种，一种是流量上的威胁，即恶意的流量，另外一种是恶意的数据和文件。而恶意的流量包含着数据的问题，因此，流量和文件是企业安全主要关注的两种对象，那么在这样的情况下，EDR这款端侧产品其实是文件的一个主要的抓手，同时它也能够在微隔离方面处置一部分的流量。另外，从产品形态上来看，现今所有的安全产品，不管名称是什么，从部署形态上来看，可以大概分为四种。一种是网关类设备，采用串行方式，为网络做防护，另一种是旁路类设备，比如IDS、数据库审计以及各种各样的流量分析探头。还有一种是诸如SOC、综合日志审计、网络扫描类的产品。最后一种就是终端类。而无论安全的概念如何变化，安全控制措施或者安全产品的形态主要就是这四种。而在这些形态的产品中，终端类产品的研发挑战是最大的。因此，无论是站在流量和文件威胁角度，还是控制措施角度上来看，EDR都是未来发展的一个方向，也将会在企业安全防护中发挥越来越大的作用。

不过，EDR虽然具有很强的能力，但如果不能覆盖足够多的应用场景，也就无法负担起保护企业安全的重任。因此，深信服EDR为用户提供了一体化防护、未知威胁防护、快速响应处置、企业级运维、等保合大应用场景，从而帮助企业用户应对多变场景下的安全威胁。

在一体化防护场景中，EDR可以全面适配各种系统类别，统一防护多类型终端，采用一体化策略配置管理，对终端、服务、虚拟机进行统一基线、统一防护的一体化管理。

在未知威胁防护场景，EDR可以对账号及密码策略进行排查；进行全面威胁的展示与定位；还可以基于虽小授权原则，做不同业务、不同终端隔离访问控制 ，同时，利用人工智能SAVE引擎，无特征技术、对未知威胁进行实时检测，处置暴力破解、WebShell、僵尸网络等威胁。

在快速响应处置场景，EDR能够做到一键终端隔离、自动隔离；一键文件隔离、修复；协同联动处置；全局黑名单、全网威胁展示定位，并能够多维度感知、自动响应，快速处置威胁，极大缩短威胁驻留时间。

在企业级运维场景，EDR能够进行多维度持续威胁检测、响应，有效威胁防御，杜绝威胁产生，减免不必要维护成本，同时还可以达成资产统一维护，责任落实到人，风险快速定位、并在不区分终端/系统类型，一体化策略下发，自动执行。

在等保合规场景中，深信服EDR可以帮助企业用户贴合国家政策法规，满足主机恶意代码防范要求，提供基线检查能力，确保终端安全合规，对各区域实施安全保护措施形成立体的安全保护体系。对终端进行全面防护，有效应对已知、未知、高级威胁。同时，为用户持续输送PPDR的安全能力。

郝轶最后表示，深信服作为一家专注于企业级安全和云计算的解决方案供应商，一方面需要为用户提供更好的安全服务和工具来应对越来越多形态各异的威胁，让用户可以用较少的成本和精品化的工具高效的应对安全威胁。另一方面，深信服还要去支撑用户信息化的发展，保障信息化的安全。深信服一直不断地在拓展场景，深信服有网端服务，有应用交付的产品，也有支持总部和分支机构的网络产品以及软件定义广域网的产品，深信服在端的方面强调的不仅仅是终端，也包含服务端或者是云端，就像深信服的EDR产品，虽然听上去只是关注与终端，但实际上它也包含着云端的服务器和传统数据中心的服务端的这部分。而深信服EDR的意义，就是赋予用户持续进化的预警、防御、检测与响应能力，为用户的IT和业务提供持续保护，从而让企业用户的安全建设更高效，更简单！