终端安满是企业信息交互最基本的单位，终端安全建造也是整个企业信息安全建造的重要组成部分。万物互联年代，终端安全也面临着新的应战。APT、挖矿、勒索、垂钓等新式要挟不断涌现，长途/混合工作成为新常态，传统环绕鸿沟构建的网络安全系统已很难发挥预期作用，终端安全范畴亟需一场新革新。

  日前，安全厂商微步在线在北京举办了一场以“无界看护 总算安全”为主题的终端安全新产品发布会，正式发布了OneSEC新一代终端安全办理渠道，致力于有用应对针对工作网的安全危险，处理工作网终端安全要挟的可见、可管和可控的问题。

  在会后的沟通环节中，谈及为何会推出一款针对工作网安全的终端安全产品时，微步在线创始人薛锋阐释了其初衷，“我一向比较信任安全和医疗之间的映射联系，在医疗范畴早发现问题当然重要，但这仅仅一半，怎么医治愈加重要。但在网络安全范畴，除了勒索软件进犯是疑难杂症外，其他的问题一旦发现后处置是十分简略的。因而，咱们始终以为‘发现’是安全厂商的中心才能，一起也是安全职业长时间的开展途径，而微步在线也在不断环绕发现这一中心才能打造闭环。”

  “网络安全好像医院相同有许多科室，在接下来很长一段时间里微步在线依然会坚持做好一家专科医院，经过供给技能或产品，来协助要害基础设施在内的重点单位和用户们处理好检测与发现的问题，咱们会沿着这个方向继续往前。”薛锋表明。

  薛锋谈到，近年来跟着政企单位全体安全水位的提高，针对服务器的歹意代码注入和缝隙使用难度日积月累，安全的压力逐渐的搬运到了终端侧。之所以会呈现这样的改变，背面首要存在两个原因：

  其一，一般一家大型的政企单位，经过互联网可以访问到的服务器、网站一般只要几个或许几十个，但PC终端却有不计其数个，面向数十倍乃至数百倍的进犯进口去寻觅突破口，进犯难度明显更低；其二，从技能层面而言，进犯者进犯服务器本质上是在与开发人员、IT安全人员对立，可是去进犯PC终端却是在与普通职工进行对立，明显对立安全人员难度是十分高的，可是要对立财务人员、HR、普通职工以及不太懂电脑技能的领导，其实相对简单。

  “这是终端安全要挟继续晋级的原因，职工的安全意识并不像服务器那样打完补丁后就能敏捷提高上去，而是今日垂钓钓不成功，明日换一个就能钓成功。因而进犯者要进犯终端只存在想不想，不存在能不能，必定能攻陷，这是很明显的趋势。”

  据他介绍，曩昔职业界对立终端安全危险首要依托三类安全设备：杀毒软件、NDR流量检测类产品以及日志审计类产品。薛锋以为，尽管这三类产品各有价值，但却也都瑕不掩瑜，存在各自的才能规模的盲区。比如，杀软只能奉告用户杀掉了一个病毒木马，但却无法识别到进犯者的来历和行为动机；流量检测产品则只能看到管道内的流量数据，看不见抵达终端后产生了哪些行为；日志审计产品则只能搜集IPS、防火墙的日志数据，很难供给有价值的信息。

  薛锋打了个比如，假如要维护的单位像工厂相同是由一个个房间、一个个事务单元组成的话，布置流量和日志类产品，就像布置在大楼的出口或许楼道里边监控探头，看见的是南北向和东西向的流量，看见的是楼层和楼层之间和进出这栋楼的流量。但进犯者明显不总是从大楼的正门和楼道进入，而是从后门、从窗户、从通风管道进入内部，乃至是以快递的方法向方针投递要挟，明显传统根据流量检测的手法难以应对这些另辟蹊径的进犯。

  而EDR终端安全则相当于在工厂内每一个房间都装置传感器、摄像头，让用户可以明晰地看见这一个房间里产生一切的行为，将在终端搜集到的数据送入云端或许本地服务器做相关剖析，以完成对不知道要挟和高档可继续要挟的检测和发现，对NDR流量检测产品进行更好的弥补。

  作为网络要挟检测与呼应范畴的代表厂商，除了强壮的要挟情报才能外，微步在线也现已推出了面向内网全流量的TDP流量检测与呼应渠道、面向主机和服务器的OneEDR主机要挟检测与呼应渠道，以及面向工作网的OneDNS互联网安全接入服务等多个产品，明显，本次发布面向PC终端的OneSEC终端安全办理渠道正是其补齐检测与呼应产品矩阵的重要一步。

  薛锋介绍，根据网络要挟发现与呼应这一中心才能，经过三年打磨，此次发布的OneSEC既具有云原生架构与要挟情报优势，又具有进犯面办理与AI驱动才能，因而可以一起在检测准确度、要挟掩盖度、数据搜集、溯源剖析、快速呼应等要害才能点上满意“精准EDR”的要求。该产品已在基金公司、轿车、期货公司等客户场景中得到了较好的落地作用查验。

  据介绍，微步在线OneSEC终端安全办理渠道首要具有轻、准、快、全等多个方面优势。在轻量化方面，OneSEC选用云端订阅方式交给，在电脑上无感知，占用CPU内存小，无需收购硬件，企业只需请求一个账号，即可将涣散在全国的工作终端归入统一办理，并可随企业终端数量添加而随需收购，然后下降全体本钱。

  在准确率和全面性方面，OneSEC的EDR模块使用装置在终端上的轻量级Agent，实时搜集终端上的全量行为日志数据并上传云端，使用云端强壮的核算资源进行IOA行为特征检测。一起，EDR模块还集成了包含要挟情报IOC、进犯行为IOA、云端百亿级样本库与图相关检测等检测方法，从多个维度穿插检测，归纳评判，可全面、精准发现各类要挟事情。经过VB100的评测，OneSEC的检出率可达99.94%。

  值得注意的是，OneSEC产品现已与微步在线OneDNS等产品完成联动，能从网络和终端两个维度，全面确保工作终端安全。如OneDNS经过将云端要挟情报与DNS相结合，可从网络流量侧检测要挟，经过阻断歹意样本反连、阻挠新样本下载、避免翻开垂钓链接等方法维护企业终端安全；EDR模块则使用IOA行为检测、图检测等技能对终端行为日志进行检测剖析，供给包含阻隔进程、文件、网络乃至终端等多种处置战略。

  经过将终端行为与网络流量相结合，OneSEC可以对终端要挟进行更全面要挟掩盖，处置战略更丰厚、更灵敏，随时随地为终端供给全面、精准、高效的安全防护才能。

  此前咱们谈到过，随同云服务方式的不断深化使用，云化交给的安全才能正在得到整个安全职业的追捧，包含奇安信、深服气、绿盟科技等老牌安全企业也都在加大对安全才能云化交给方面的投入，包含SASE、SSE、云化的XDR、MSS安全保管服务等都是各家安全企业简化安全才能交给方法的代表性计划。

  但一个遍及的观念是，“我国网络安全职业中卖盒子才是硬道理”，以硬件方法交给安全产品依然是干流方式，针对一些大规模的政企用户而言尤为如此。纵观当时业界安全厂商提出的SaaS化订阅服务，事实上大多依然只停留在安全服务层面。

  而微步在线是国内罕见的真正在以SaaS化订阅服务方式交给安全产品的安全企业，本次发布的新品尽管供给了私有化布置方式，但全体依然以SaaS作为主推版别。在这一商业方式背面，微步在线做出了哪些考虑？

  针对这一论题，薛锋以为，“堆盒子”似的传统安全就像是DVD机，而新安全更像是小米电视、爱奇艺或许B站，前者要依托于很多本地化的资源堆叠，而后者则依托内容共创和云端资源来处理问题。针对当时广阔的政企组织、金融组织、医院而言，明显离线的盒子无法对立不断晋级的安全要挟，而是要靠云端更多的算力和数据来应对。

  在微步在线看来，当时网络安全职业的服务方式亟需迎来革新，曩昔一次性买断、以盒子形状交给的产品并非是对用户最有利的方式，只要以SaaS订阅化的方法按年去订阅、去交给、去服务才是未来。

  “咱们之所以坚持走SaaS订阅化服务的商业方式，便是把挑选权交给用户。这种方式下，假如曩昔三五年才有一次时机替换供货商或许产品的话，现在你跟微步协作，每年乃至每月都可以挑选不再继续跟微步协作。这尽管给微步带来了必定的压力，可是更多的时分它是一种动力，由于这种压力之下微步会如履薄冰，要把悉数精力放在产品和才能立异上继续地发明、继续地立异，给客户发明价值、交给价值。在曩昔7年多以来，咱们大客户续约率很走运一向维持在98%以上，阐明咱们没有孤负用户的期望。”

  他表明，从职业开展趋势上来看，大规模的政企单位、金融组织会越来越拥抱SaaS化，一方面云化的优势正在得到越来越多的认可，可以供给更多的核算资源，更高效处理用很多数据相关剖析、很多数据架构的问题；另一方面，当时甲方用户本身的才能在不断上升，现已可以很明晰的区别一款SaaS化安全产品终究看见了什么数据，其作用终究怎么。从微步在线的用户订阅数量来看，曩昔三年正在呈十倍等级增加，现已有越来越多的人拥抱云化，这注定是未来大势所趋。