摘要：从防火墙到下一代防火墙（NGFW），从边界信任认证到零信任架构（ZTA），从手动安全运营到自动化安全运营（SOAR），从静态威胁检测到AI/ML、威胁情报驱动的主动与动态防御……

从防火墙到下一代防火墙（NGFW），从边界信任认证到零信任架构（ZTA），从手动安全运营到自动化安全运营（SOAR），从静态威胁检测到AI/ML、威胁情报驱动的主动与动态防御……

有没有发现，网络安全是一个特别喜欢颠覆的领域。也正是这种颠覆和创新催生了如Palo Alto、CrowdStrike、Fortinet、Zscaler、Splunk、Tenable等一众新锐和明星安全公司。

说到缘由并不难理解，一方面源于企业IT架构和环境的不断变化，导致风险点不断增加；另一方面原因在于网络攻击的产业化发展越来越明显，且攻击者的技术手段在不断升级。所以，防与攻的对抗要求前者需不断升级装备、提升技术能力，这也解释了为什么安全圈在很多人看来总是新名词、新概念不断产生的原因。

用一句玩笑话说，真不是安全人喜欢造词、炒概念，而是完全“被逼的”，因为总是有一群不断“进步”的对手追着自己。

从安全产业的角度来看，“长江后浪推前浪”的故事不断上演，而“前浪避免被拍在沙滩上，对后来者的收购兼并”也在不断发生。

颠覆者，微步

视角回到国内，在安全硬件、软件和服务领域，同样诞生了一批“后浪”创新型公司。

以威胁情报起家的微步就是其中之一。

2015年，专注于威胁情报的CrowdStrike在美国炙手可热，当时威胁情报领域在国内还是空白，这一年微步成立，从搭建成立综合性威胁情报共享社区开始，开创并引领中国威胁情报行业的发展，并连续四次入选Gartner《全球威胁情报市场指南》。

威胁情报平台、威胁感知平台、威胁防御网关、托管检测与响应服务……此后的几年，微步陆续发布了一系列以威胁情报能力赋能的新产品，覆盖从流量到网关，再到安全服务等，可以观察到，它们其中多项获得Gartner、IDC、Forrester等国际机构的认可。

在前瞻技术创新上，微步初露锋芒。微步技术合伙人黄雅芳直言，“我们的底层逻辑就是用新技术去颠覆老产品。”

的确，在网络安全领域，吃老本、技术的原地踏步解决不了攻防对抗的新问题。

终端安全，走出杀软时代

2023年2月，微步的又一款基于EDR（Endpoint Detection & Response，端点检测与响应）理念的颠覆式产品OneSEC发布，从而补齐了其“云+流量+边界+端点”产品发展规划的重要拼图——办公终端安全。

众所周知，终端安全是整个IT安全体系的重要组成部分。根据IDC发布的《全球网络安全支出指南》数据，2023年全球网络安全IT总投资规模为2150亿美元，其中终端安全软件市场占比达到10%以上。

所以，终端安全不仅是历史最悠久也是权重占比较大的网安品类。

值得一说的是，过去30年，在终端侧对抗病毒程序和恶意软件的主要技术是杀软。然而随着恶意软件的对抗性变得更强、性能更好、隐蔽性越来越强，杀软防护的主流技术均遇到了不同程度的挑战。

黄雅芳将这些主流杀软防护技术总结为六大类：文件静态特征扫描、基于行为特征的主防、动态内存扫描、启发式+AI引擎、云查Hash检测、动态沙箱。从静态到动态、从磁盘到内存、从单模到多模等，尽管杀软技术不断迭代，但面对恶意软件的混淆、编码、加壳、栈混淆、文件膨胀、unhook、sleep、syscall等技术进行免杀、隐藏和绕过，杀软防护挑战重重。

在此过程中，EDR逐渐成为反恶意软件中的变革型技术。

不同于杀软的针对文件检测，EDR更侧重于行为分析。按照Gartner的定义，EDR旨在持续监控并收集终端设备上的安全数据，通过检测、调查和响应来保护终端环境。利用行为分析、机器学习、威胁情报等方法识别已知威胁、未知威胁、甚至0day攻击是其具备的新技术特点。

用通俗的话说，杀软是“安检门卫”，执行的是对进出物品进行检测；EDR则是房间里的“摄像头”，通过实时监控动作行为，发现恶意活动与威胁。

EDR理念自推出以来，在国际上已经成为非常成熟的应用。“甚至一批EDR创新企业完全颠覆了像赛门铁克、卡巴斯基等这些传统的终端安全公司。”黄雅芳说。

真假EDR，OneSEC拨乱反正

EDR在国外的大火，吸引国内安全厂商蜂拥而至。它们其中有传统杀软厂商、综合性网络安全厂商和云服务商等，但到底是AV套壳、新瓶装旧酒，还是有独门绝技真本事，亦或就是包装概念、蹭热点，市场评价不一。

“从我们的观察来看，客户对于EDR的选型是比较谨慎的。”黄雅芳指出，过去三四年国内市场出现了大量EDR产品，但很多行业客户处于观望状态，有的客户对EDR产品调研就用了几年时间。

究其原因，很多企业找不到很好的产品去解决新安全问题，更不愿意再买个换壳的杀软或桌管产品给自己找麻烦。简言之，在国内，EDR品类还处于拨乱反正的阶段。

那么，到底什么样的产品才算得上是合格的或真正的EDR？

在黄雅芳看来，其应具备两大关键能力：1、检测能力强；2、轻量化。检测能力要真正做到利用行为提高检出，这里的行为包括过程行为和结果行为，前者是恶意代码做的行为动作，比如进程创建、执行脚本、修改内存属性等，后者是恶意代码造成的实际结果，比如新建的注册表项目、新创建的服务和文件、一块可读可写的内存空间等，两者相辅相成能够提高检出的成功率，这要求EDR具备全面的行为采集能力和细致入微的检测技术，提高威胁检测的覆盖度和准确度；轻量化则要求实现用户感知低，实现资源消耗从终端性能限制中解放出来，老旧终端适用，部署灵活高效。

微步新一代终端安全管理平台OneSEC很好地具备了这两大关键能力。

作为OneSEC的负责人，黄雅芳说，“从2019年开始，微步便在内部打磨终端安全产品，经过三年时间，OneSEC在2022年开始向我们的种子客户提供产品能力，并在2023年2月正式发布这一产品。”

微步做的是真正用创新技术实现产品革新。OneSEC采集能力全面，具备超百亿节点的图检测技术，全面覆盖ATT&CK，实现检测技术细致入微；基于底层事件串链，全面追溯攻击路径，高效评估影响面，做到溯源完整；一键快速智能响应，智能化提供清理序列，辅助事后定位和追溯，实现响应高效。

在实现检测能力强的技术创新之外，OneSEC的轻量化优势同样明显，终端安装包＜10MB，CPU资源占用

从市场检验来看，OneSEC发布以来，在连续两次的国家级常态化攻防演练中，实现检出率达到100%；2023年在对一起活跃的黑产组织追踪中，微步基于OneSEC实现对其首次发现与狩猎，并将该组织命名为“银狐”。此外，OneSEC在诸多行业用户中得到部署应用，技术能力得到检验验证。

OneSEC信创版，操作系统平台全覆盖

日前，微步再次发布终端安全管理平台OneSEC信创版，将OneSEC的能力覆盖从Windows、MacOS延伸至麒麟、统信等信创OS，实现操作系统全平台覆盖。

作为快速演进的操作系统，信创OS同样有着不小的潜在威胁风险，这包括Windows平台恶意软件的跨平台利用、操作系统层的自身漏洞风险，以及上层应用存在的漏洞等。信创，即信息技术应用创新产业，旨在实现信息技术领域的自主创新与可控。所以，关键行业在积极拥抱信创平台的同时，让信创本身更“安全”更显必要与重要。

黄雅芳介绍说，因为操作系统的内核、底层机制等截然不同，微步投入数十人花了一年时间，几乎从0到1重建了OneSEC信创版架构体系。最终让OneSEC信创终端能力在采集检测全面性、终端轻量性、响应能力多样性等方面优势明显。

值得一说的是，在落地部署中，微步也并不主张用EDR替换杀软，而是各司其职、协同工作，在黄雅芳看来，“基于文件（杀毒）和基于行为（EDR）的防护、检测、响应能力同步建设，能够更好地应对信创建设前期的各类潜在风险。”

在整个数字安全体系中，微步传递给客户的理念同样是产品异构部署，用专业的人做专业的事。微步也乐于将自己的能力开放给客户和伙伴的方案体系中去应用。

不积跬步，无以至千里。在技术上颠覆，以创新者的姿态，微步追求将一项专业能力做到极致。

来源：新浪财经