【环球网科技报道 记者 林迪】随着混合办公需求的激增和网络攻击技术的演进,办公终端安全问题再次成为焦点。作为新一代网络安全企业,微步在线基于七年威胁发现与响应的技术积淀,经过三年打磨,于近日正式发布终端安全管理平台OneSEC。
据介绍,OneSEC不仅具备反病毒、资产盘点、软件管控等常规终端安全能力,有效应对僵木蠕常见网络威胁和钓鱼、勒索、挖矿与APT等新型威胁攻击,并提供了SaaS和本地化两种部署模式,实现政企办公网络从风险发现、事前预防、事中检测响应、事后溯源处置的一体化安全闭环。
安全运营常态化是趋势
对此,记者就网络安全相关话题采访了微步在线创始人兼CEO薛锋和微步在线技术合伙人黄雅芳。
在薛锋看来,网络安全趋势终究会走向安全运营常态化。
他解释称,“一方面,网络攻击的形势、技术、频次越来越高;另一方面,整个社会数字化进程是不可挡的,数字化和IT投入也是不可挡的,业界对安全的投入也在不断加大,大家会走向关注结果、运营、效果和实战。”
黄雅芳认为,SaaS模式本身对于腰部客户来说或者中小客户更友好,不需要买高昂软件的部分,以及要放专人去运维和运营,因为它减去了大家关注业务本身底层IT运维的部分,带来软件的普惠性价值。
精准EDR:有效应对新型高级威胁
据了解,OneSEC的EDR模块利用安装在终端上的轻量级Agent,实时收集终端上的全量行为日志数据并上传云端,利用云端强大的计算资源进行IOA行为特征检测。同时,EDR模块还集成了包括威胁情报IOC、攻击行为IOA、云端百亿级样本库与图关联检测等检测方式,从多个维度交叉检测,综合评判,可全面、精准发现各类威胁事件。
微步在线提供的数据显示,经过VB100的评测,OneSEC的检出率可达99.94%。
薛锋表示,“单点+事件”检测方式,能极大提升EDR的检测能力,尤其是针对一些未知、极具隐藏能力的新型威胁,复杂多变的攻击手法可能会绕过基于单点的检测技术,但只要EDR抓住其中一个或几个可疑行为,就能自动溯源出攻击全过程,并精准告警。并且,OneSEC可精准追溯威胁的进程源头和执行流,展示完整进程的上下文信息,让企业安全团队能够迅速掌握攻击详情,并将威胁事件各阶段攻击行为与ATT&CK攻击矩阵相关联。据权威机构实测证明,OneSEC可覆盖超过300项ATT&CK攻击技术及子技术,覆盖完整度高达91.3%。
展开全文
在威胁处置方面,OneSEC也极大地简化了处置流程,通过自动化手段,安全团队可以一键将清理注册表项、删除文件/账号、隔离网络等处置策略下发到终端,秒级生效。针对一些高隐藏、高对抗的新型威胁,OneSEC还提供易于使用的专杀工具,一键推送,全网清理。
云端赋能 端网联动
OneSEC采用云端订阅模式交付,无需采购硬件,企业只需申请一个账号,即可将分散在全国的办公终端纳入统一管理,并可随企业终端数量增加而随需采购。
云端交付的另一大优势还在于兼顾性能和效果。安装在终端上的轻量级Agent只收集终端数据,资源占用低于1%,稳定性强、兼容性好;所有涉及计算的重负载任务均在云端进行,充分利用云端海量计算资源进行多维分析,可更精准、更高效地发现威胁。
据悉,针对有“数据不出网”等特殊需求的企业,OneSEC支持本地化部署,通过将云端安全能力完整平移到企业办公网络,可帮助企业及时、高效地应对各类威胁事件,同时保证企业总部的安全合规。
在传统基于边界构建的办公安全防护体系中,分散在全国多地的分公司与分支机构的员工终端安全,通常是安全团队头疼的难题。而随着远程办公、移动办公的普遍,更进一步增加了终端的安全风险。
OneSEC能从网络和终端两个维度保证办公终端安全。如OneDNS通过将云端威胁情报与DNS相结合,可从网络流量侧检测威胁,通过阻断恶意样本反连、阻止新样本下载、防止打开钓鱼链接等方式保护企业终端安全;EDR模块则利用IOA行为检测、图检测等技术对终端行为日志进行检测分析,提供包括隔离进程、文件、网络乃至终端等多种处置策略。
通过将终端行为与网络流量相结合,OneSEC可以对终端威胁进行更全面威胁覆盖,处置策略更丰富、更灵活,随时随地为终端提供全面、精准、高效的安全防护能力。
黄雅芳告诉记者,经华北利星行机械等企业用户在实际场景的验证,不管是日常安全运营场景,还是攻击技术高明、手法隐蔽的APT攻击等新型威胁场景,亦或是日趋激烈的红蓝对抗场景,OneSEC均能精准、全面地发现威胁,助力安全团队快速响应,并在实战中提升团队成员经验技巧。