杰思安全以EDR为核心延伸更多安全应用，为客户提供全景式安全洞察

【IDC.NET.com原创稿件】“早在四年前，我们就已经意识到，传统的安全防护手段已经不能解决云时代下的安全隐患。必须开拓一种新的安全思路去防护模糊边界下的信息安全。”这句话是北京杰思安全科技有限公司(以下简称“杰思安全”)董事长兼首席安全专家刘春华见到记者时开口谈的第一句话，当年的他是这么思考的，也是这么行动的。

[[256300]]

　　2015年，刘春华敏锐地捕捉到市场的变化：当越来越多的企业业务被迁移到云端，以PC为主的传统网络也逐渐开始向智能手机、汽车、摄像头、智能家居等IOT终端转移，随之而来的是新型安全威胁层出不穷——APT攻击、0day漏洞、勒索软件……他预见到，当时安全厂商遵循的“重边界轻终端”的网络防护常规必将被打破。如何在云时代给客户提供安全威胁的检测防护，以及主机安全感知与事件精准溯源?刘春华几经比较后，将目光锁定在EDR(端点检测与响应)技术上。2015年，杰思安全成立，研发的重点就是以EDR技术为核心的产品及解决方案。

　　选择正确的方向方可事半功倍

　　事实证明，刘春华的眼光非常独到。

　　从2016年开始，连续爆发的“丰收行动”、“摩诃草事件”、“蔓灵花行动”等针对我国国家单位、科研院所和政企部门的APT攻击事件，以及层出不穷的各类勒索事件等，都将未知威胁防御话题提到了空前的高度。

　　而杰思安全推出的猎鹰主机安全响应产品以EDR端点检测与响应技术理念为核心，结合CWPP、微隔离、自适应安全等前沿技术，能实时检测未知威胁并快速响应。适用于服务器、云主机、PC、移动/智能终端、工控主机、物联网终端等，支持Windows、Linux及国产操作系统，能轻松适应各种规模和IT架构的企业，大大提升用户的安全主动防护能力，赢得了政府、运营商、金融、能源、交通、医疗、教育等行业用户的高度认可。

　　对于当时为什么会瞄准EDR技术进行研发，刘春华的解释非常直白：第一点原因是因为EDR技术门槛比较高，他举例说明，杀毒软件更偏重的是根据病毒库做病毒查杀，市场后入者比较容易复制。但是EDR不同，它更多的是观察攻击者的行为来判断行为是否异常，整个过程涉及到拦截、隔离、追溯、审计等多个环节，对产品研发能力要求非常高。第二点原因则是从用户角度出发，刘春华认为EDR可以帮助用户真正地解决云时代终端安全防护问题。

　　其实，刘春华对于国内安全发展趋势的判断和Gartner也不谋而合，Gartner近几年来一直十分推崇EDR技术，几乎每年都将其纳入顶级技术之列。

　　深耕行业多年，对客户安全赋能

　　这几年，EDR技术在国内发展势头逐渐高涨，也有不少安全厂商开始涉足。虽然竞争逐渐激烈，但是刘春华对杰思安全的EDR产品却非常有信心。他告诉记者，杰思安全研究EDR技术的应用近4年，在技术方面，杰思猎鹰主机安全响应系统不仅支持Windows操作系统，还支持Linux以及其他国产操作系统，在客户应用中实用性非常强;在应用场景方面，杰思安全不仅提供单机版本，还更关注全网安全，即使黑客攻破一台电脑，杰思安全也可以通过服务器给管理人员告警，保证其他联网电脑的安全。

　　杰思安全的优势不仅于此，还在于对用户更多应用细节的把握，这是深耕行业多年的经验积累。“用户已经意识到必须采用新的手段应对安全威胁，但是对如何去做还不是非常清晰。”刘春华告诉记者，安全和性能始终是在博弈中寻求最佳平衡点，用户可以接受去消耗一些资源去实现安全优化，但是其中检测的尺度需要把握。例如不是所有的程序都需要去检测，正常软件的很多行为都不需要去观察，这个时候就需要厂商去深刻了解用户的实际应用场景，尽量不去影响用户的应用，确保运行无感知，只有当观察到出现威胁行为时才去做干预和内控检查。

　　立足客户需求，2019将为客户提供全景式安全洞察

　　很多人对2017年4月的那场全球永恒之蓝勒索病毒浩劫心有余悸，采访中刘春华就提到了杰思安全曾遇到的一家特别幸运的客户。他们之前与这位客户接触了几次，客户对于是否要安装EDR安全设备仍在犹豫不定，最后客户决定试装一下，结果在安装完成的第二天就爆发了WannaCry勒索病毒。客户的不少同行都中招了，但是客户由于安装了杰思安全EDR产品，所有设备都正常运转，完全没受影响。后来这位客户一口气定了好几套杰思安全的产品。“永恒之蓝的爆发让很多企业客户意识到EDR的价值，从那以后主动找到我们咨询的客户越来越多。”刘春华透露。

　　当然，杰思安全并没有满足于“一招鲜吃遍天”，这几年他们围绕这EDR又研发了不少延伸技术和产品，例如CWPP(云工作负载保护平台)、微隔离、自适应安全架构等等。刘春华告诉记者，这些都是互相关联的技术，团队协同作战，可以让客户的系统更加安全。“例如CWPP就是侧重于对日常云端安全常规性的检查，如跑什么软件，开了什么端口，组件是否有漏洞，是否存在弱密码等。”

　　他还以微隔离为例，当EDR检测到黑客已经黑入客户电脑系统，那么在进入主机前，如果安装了微隔离产品，那么数据库服务只能访问数据库，缓存服务器只能访问缓存，这让用户核心数据如同黑洞一般完全不可见，把黑客入侵渠道减到最少，大大增加了攻击成本和难度。“微隔离支持Windows和Linux，等于把平台打通了，非常适合混合云部署，前端服务器和数据库服务器规则自适应，不需要再做配置，对硬件也没有太多要求，在运维上还可以避免人为操作风险。”

　　采访最后，刘春华表示，很多客户买了非常多的安全产品但是产品之间无法关联分析，而这正是杰思安全的价值所在——用户通过终端采集到最全的数据，在控制台上将所有数据做全网分析，发现异常行为之后，立刻进行拦截，并实现与网关联动，与云联动，在更远端实现拦截。“未来杰思安全将更加关注全景分析，给客户提供一个全局解决方案。”

【IDC.NET原创稿件，合作站点转载请注明原文作者和出处为IDC.NET.com】