焦点速递！对话安恒刘思宇：做数字资产的守门人

杀毒是终端安全的原始需求，最初，人们开始意识到自己的终端设备存在安全隐患，需要采取防护措施，主要是因为计算机病毒和木马的大肆传播。所以在过去十多年里，很多时候我们说终端安全其实仅仅指的是杀毒软件。

(资料图片仅供参考)

如今随着企业上云的速度加快，组织内原有的网络边界被打破，各种类型的终端设备成为了新的安全边界，这种转变使得终端安全面临更加复杂和多样化的威胁。终端安全防护亟需一套终端防护新的框架。

在刚刚过去的 2023 西湖论剑 · 数字安全大会上，雷峰网有幸拜访到了安恒信息副总裁、终端安全负责人刘思宇。

刘思宇曾在老牌杀毒软件厂商领导相关产品发展推广，他的加入增强了安恒终端安全领域的能力。他认为，尽管安恒在终端安全方面起步较晚，但是凭借着卓越的架构创新能力及深厚的安全能力积累，我们能提供更加全面、更加体系化、更加领先的终端安全产品及方案。

作为安全行业的资深从业者，刘思宇对安恒在终端安全领域的定位非常清晰。他认为在市场、技术及安全事件的驱动下，未来终端安全一定会朝着体系化、一体化的方向发展，并且这个趋势正在加速到来。

以下为雷峰网与刘思宇的对话：

雷峰网：终端安全从提出到发展至今，经历了很大的变化。您认为在目前这一阶段，终端安全发展的困境和特点是什么？

刘思宇：就目前来说我们的思考与观察主要体现在两个方面：

一方面，随着云计算、大数据以及远程办公等新技术和新场景的兴起，网络边界变得更加模糊，很多终端会直接暴露在互联网上，攻击者可以是直接的接触到，终端本身的保护比以前变得更加脆弱。因为，以前边界上有各种各样的防控设备可以把终端隔离在内网，而现在很多业务系统以及员工办公机器直接暴露在互联网上。

另一方面，终端需求多样，可能一台机器有时会安装十几种终端防护产品，包括终端的准入、终端的防病毒、EDR、主机的审计、桌面的管理、终端数据防泄漏等，极其用计算机资源，究其根本，很多厂商只是其中某一个细分领域安全厂商，所以对于用户，如果想要完成比较全面的终端安全能力，需要采购一大堆的客户端程序，导致终端运行负担很重。

雷峰网：针对现阶段网络边界模糊，终端安全防护更加脆弱的问题。安恒提出了什么样的解决方案？

刘思宇：安恒信息的终端安全管理系统是从两个不同的角度去解决终端上的困境问题。

首先，我们在终端设备在接入网络的时候开始，我就会对组织内的需要保护的终端资产进行智能化的识别；其次，给这些资产部署我们的防护软件，形成完整的全生命周期的保护。

在对资产做深度识别的时候，包括上面的软件、硬件，甚至软件中的各类组成成分进行保障，也包括外部连接来的设备，让安全运维人员可以准确掌握到底有多少的资产连接在自己的网内。然后按照策略去部署防护软件，并对这些资产进行全面的体检。例如存在的入侵的风险？存在什么样的安全漏洞？有没有用开源的应用？是否存在安全漏洞？我们通过打补丁或者通过微隔离智能化的帮助它拦截风险的端口。

同时，安恒可以实现对用户终端资产全生命周期的监控。我们的目标是为了通过我们威胁情报的数据支持，可以针对不同的安全事件做一个关联分析，让组织内部的安全事件，可视化的展现在安全运维人员面前。这对于制定整个终端体系化的防御策略与整体终端安全态势可视化具有极大意义。

雷峰网：为什么要进行可视化溯源回放？对于用户的意义是什么？

刘思宇：可视化溯源回放叫做 "attack movie "，就是从攻击者的视角全面展示在内部网络中发生攻击行为的全部过程，比如从哪台机器发起的攻击？利用的是什么威胁手段？攻击被拦截的情况如何？

以前我们很难掌握内部终端出现了什么样的安全问题，可能是某一台机器发现了一个病毒。这个时候需要一个高级的安全分析人员去分析系统内部的日志等信息，可能需要花几个小时，甚至几天才能知道这个病毒是哪里来的、做了什么？

通过 attack movie，安全分析人员一眼就可以看出来是什么病毒，访问过什么系统文件，可能造成的影响。之前可能需要几个小时才能排查出安全事件的起因，现在几分钟就可以把分析报告提交给用户。

雷峰网：跟其他入侵检测平台有什么不同？

刘思宇：这里面有两点。一方面是在防御监控的准确性上会更高一些；另一方面，展示出的行为数据上也会很准确。

第一点，针对于各种各样的安全事件，传统的杀毒软件类型的产品，进行病毒扫描后，它可能给用户报了一大堆各种各样的病毒。但是用户不知道自己到底安全不安全？本次的处置的价值到底在哪？这里面的信息哪些是有用的？安恒总结了一套攻击技战的行为防御模型，在防御监控上准确性会更好。

第二点，通过将攻击行为可视化，让安全分析人员很明确看到恶意行为威胁有没有被拦截，客户系统是否还安全，或者威胁发生了什么危害？

雷峰网：一个 EDR 平台？能做到如此精准，背后依靠的是那些能力？

刘思宇：一个完整的 EDR 一定是需要多种安全能力支撑，安恒 EDR 基于安恒 16 年来在各大重保活动中积累的安全攻防服务经验，已经积累了几十亿级别的威胁情报数据。另一方面依托于大数据分析技术，对某个攻击告警可根据各类安全数据，对告警发生的攻击链进行分析，完整展示攻击全链路，远胜于基于流量高噪声的若关联分析，溯源准确度达到 90% 以上。

安恒 EDR 是结合安恒信息 16 年来在安全服务、安全攻防、入侵检测、威胁情报方面的积累所研制出的真正的 " 终端威胁检测与响应 " 产品

雷峰网：国内因为真假 EDR 争辩不休，您怎么看？

刘思宇：大家说假 EDR，因为以前许多产品就是实际上只套用了 EDR 这个概念，看见行业里头咨询机构提出 EDR，把自身的终端安全产品都命名为 EDR，但是本质上国内之前推出的 EDR ，绝大部分都是当一个杀毒软件提供给用户，无法给用户提供一个合规、安全的终端安全使用环境，随着行业的发展，用户需求从合规变成实战化的需求，这也客观促进各厂商不断完善能力，做出真正的 EDR 产品。

雷峰网：您觉得企业组织终端数量庞大，企业组织架构复杂，多终端管理复杂困境怎么解决？

刘思宇：未来终端安全的发展趋势一定是终端一体化。我们当前已经实现了用户下载一个客户端，用户可以按需选择，进行安全能力的组合，比如杀毒、数据防泄露、或者主机审计与终端准入，最终实现是在同一个客户端的情况下满足用户的多种终端安全需求。我们希望把简单留给客户，把复杂留给自己。

雷峰网：您如何看待人工智能在安全行业的应用？

刘思宇：人工智能的发展可能导致滥用的风险增加。对于攻击者来说，他们可以更容易地利用人工智能来生成各种攻击工具。仅仅通过一些自然语言输入，他们可能就能够获取所需的勒索软件等恶意工具。

雷峰网 : 那我们应该如何对付勒索病毒呢？

刘思宇：随着人工智能滥用的出现，未来这个问题肯定还是会越来越严重的，所以针对于这种勒索防御，一方面，是要进行事前、事中、事后的全流程的一个方面的防御。

另一方面，安恒信息通过针对于勒索的攻击技战术的全面覆盖，提供勒索行为检测引擎，针对于未知的勒索病毒，进行相应的拦截保障，不管是已知的勒索病毒还是未知的勒索病毒，都尽可能的让用户能够对它具备足够的防护能力。

最后，智能备份引擎，安恒信息是国内首家提供这个能力的公司。传统来说可能用户要去部署复杂的备份系统，智能化备份技术，基于机器学习技术和内核级技术，实现对关键数据的高效识别，并进行及时、低性能损耗的备份。我们的目标就是即使你没有做任何的防护，或者遭遇勒索病毒，我都会保护住你的核心数据资产。

雷峰网：现在重点推进的或者研究的是哪些技术和产品？

刘思宇：目前来说，勒索行为检测引擎和智能备份引擎，这两个技术目前已经完成技术储备，很快能推向市场。

雷峰网：如何平衡大企业和中小企业之间的服务？

刘思宇：针对大型企业，我们既可以提供私有化的部署方式；针对中小企业，我们可以提供 SaaS 化版本产品， SaaS 化的版本不需要用户再去部署运维繁琐的管理中心，都是通过云端租户的方式去管理自己的资产，价格对于中小企业也比较友好。