從防火墻到下一代防火墻（NGFW），從邊界信任認證到零信任架構（ZTA），從手動安全運營到自動化安全運營（SOAR），從靜態威脅檢測到AI/ML、威脅情報驅動的主動與動態防御……

有沒有發現，網絡安全是一個特別喜歡顛覆的領域。也正是這種顛覆和創新催生了如Palo Alto、CrowdStrike、Fortinet、Zscaler、Splunk、Tenable等一眾新銳和明星安全公司。

說到緣由并不難理解，一方面源于企業IT架構和環境的不斷變化，導致風險點不斷增加；另一方面原因在于網絡攻擊的產業化發展越來越明顯，且攻擊者的技術手段在不斷升級。所以，防與攻的對抗要求前者需不斷升級裝備、提升技術能力，這也解釋了為什么安全圈在很多人看來總是新名詞、新概念不斷產生的原因。

用一句玩笑話說，真不是安全人喜歡造詞、炒概念，而是完全“被逼的”，因為總是有一群不斷“進步”的對手追著自己。

從安全產業的角度來看，“長江后浪推前浪”的故事不斷上演，而“前浪避免被拍在沙灘上，對后來者的收購兼并”也在不斷發生。

顛覆者，微步

視角回到國內，在安全硬件、軟件和服務領域，同樣誕生了一批“后浪”創新型公司。

以威脅情報起家的微步就是其中之一。

2015年，專注于威脅情報的CrowdStrike在美國炙手可熱，當時威脅情報領域在國內還是空白，這一年微步成立，從搭建成立綜合性威脅情報共享社區開始，開創并引領中國威脅情報行業的發展，并連續四次入選Gartner《全球威脅情報市場指南》。

威脅情報平臺、威脅感知平臺、威脅防御網關、托管檢測與響應服務……此后的幾年，微步陸續發布了一系列以威脅情報能力賦能的新產品，覆蓋從流量到網關，再到安全服務等，可以觀察到，它們其中多項獲得Gartner、IDC、Forrester等國際機構的認可。

在前瞻技術創新上，微步初露鋒芒。微步技術合伙人黃雅芳直言，“我們的底層邏輯就是用新技術去顛覆老產品。”

的確，在網絡安全領域，吃老本、技術的原地踏步解決不了攻防對抗的新問題。

終端安全，走出殺軟時代

2023年2月，微步的又一款基于EDR（Endpoint Detection & Response，端點檢測與響應）理念的顛覆式產品OneSEC發布，從而補齊了其“云+流量+邊界+端點”產品發展規劃的重要拼圖——辦公終端安全。

眾所周知，終端安全是整個IT安全體系的重要組成部分。根據IDC發布的《全球網絡安全支出指南》數據，2023年全球網絡安全IT總投資規模為2150億美元，其中終端安全軟件市場占比達到10%以上。

所以，終端安全不僅是歷史最悠久也是權重占比較大的網安品類。

值得一說的是，過去30年，在終端側對抗病毒程序和惡意軟件的主要技術是殺軟。然而隨著惡意軟件的對抗性變得更強、性能更好、隱蔽性越來越越強，殺軟防護的主流技術均遇到了不同程度的挑戰。

黃雅芳將這些主流殺軟防護技術總結為六大類：文件靜態特征掃描、基于行為特征的主防、動態內存掃描、啟發式+AI引擎、云查Hash檢測、動態沙箱。從靜態到動態、從磁盤到內存、從單模到多模等，盡管殺軟技術不斷迭代，但面對惡意軟件的混淆、編碼、加殼、?；煜?、文件膨脹、unhook、sleep、syscall等技術進行免殺、隱藏和繞過，殺軟防護挑戰重重。

在此過程中，EDR逐漸成為反惡意軟件中的變革型技術。

不同于殺軟的針對文件檢測，EDR更側重于行為分析。按照Gartner的定義，EDR旨在持續監控并收集終端設備上的安全數據，通過檢測、調查和響應來保護終端環境。利用行為分析、機器學習、威脅情報等方法識別已知威脅、未知威脅、甚至0day攻擊是其具備的新技術特點。

用通俗的話說，殺軟是“安檢門衛”，執行的是對進出物品進行檢測；EDR則是房間里的“攝像頭”，通過實時監控動作行為，發現惡意活動與威脅。

EDR理念自推出以來，在國際上已經成為非常成熟的應用。“甚至一批EDR創新企業完全顛覆了像賽門鐵克、卡巴斯基等這些傳統的終端安全公司。”黃雅芳說。

真假EDR，OneSEC撥亂反正

EDR在國外的大火，吸引國內安全廠商蜂擁而至。它們其中有傳統殺軟廠商、綜合性網絡安全廠商和云服務商等，但到底是AV套殼、新瓶裝舊酒，還是有獨門絕技真本事，亦或就是包裝概念、蹭熱點，市場評價不一。

“從我們的觀察來看，客戶對于EDR的選型是比較謹慎的?！秉S雅芳指出，過去三四年國內市場出現了大量EDR產品，但很多行業客戶處于觀望狀態，有的客戶對EDR產品調研就用了幾年時間。

究其原因，很多企業找不到很好的產品去解決新安全問題，更不愿意再買個換殼的殺軟或桌管產品給自己找麻煩。簡言之，在國內，EDR品類還處于撥亂反正的階段。

那么，到底什么樣的產品才算得上是合格的或真正的EDR？

微步技術合伙人、OneSEC負責人 黃雅芳

在黃雅芳看來，其應具備兩大關鍵能力：1、檢測能力強；2、輕量化。檢測能力要真正做到利用行為提高檢出，這里的行為包括過程行為和結果行為，前者是惡意代碼做的行為動作，比如進程創建、執行腳本、修改內存屬性等，后者是惡意代碼造成的實際結果，比如新建的注冊表項目、新創建的服務和文件、一塊可讀可寫的內存空間等，兩者相輔相成能夠提高檢出的成功率，這要求EDR具備全面的行為采集能力和細致入微的檢測技術，提高威脅檢測的覆蓋度和準確度；輕量化則要求實現用戶感知低，實現資源消耗從終端性能限制中解放出來，老舊終端適用，部署靈活高效。

微步新一代終端安全管理平臺OneSEC很好地具備了這兩大關鍵能力。

作為OneSEC的負責人，黃雅芳說，“從2019年開始，微步便在內部打磨終端安全產品，經過三年時間，OneSEC在2022年開始向我們的種子客戶提供產品能力，并在2023年2月正式發布這一產品?！?/p>

微步做的是真正用創新技術實現產品革新。OneSEC采集能力全面，具備超百億節點的圖檢測技術，全面覆蓋ATT&CK，實現檢測技術細致入微；基于底層事件串鏈，全面追溯攻擊路徑，高效評估影響面，做到溯源完整；一鍵快速智能響應，智能化提供清理序列，輔助事后定位和追溯，實現響應高效。

在實現檢測能力強的技術創新之外，OneSEC的輕量化優勢同樣明顯，終端安裝包＜10MB，CPU資源占用<0.5%、內存<30MB，網絡帶寬占用平均峰值小于1Kbps，實現終端的輕量化和低感知。

從市場檢驗來看，OneSEC發布以來，在連續兩次的國家級常態化攻防演練中，實現檢出率達到100%；2023年在對一起活躍的黑產組織追蹤中，微步基于OneSEC實現對其首次發現與狩獵，并將該組織命名為“銀狐”。此外，OneSEC在諸多行業用戶中得到部署應用，技術能力得到檢驗驗證。

OneSEC信創版，操作系統平臺全覆蓋

日前，微步再次發布終端安全管理平臺OneSEC信創版，將OneSEC的能力覆蓋從Windows、MacOS延伸至麒麟、統信等信創OS，實現操作系統全平臺覆蓋。

作為快速演進的操作系統，信創OS同樣有著不小的潛在威脅風險，這包括Windows平臺惡意軟件的跨平臺利用、操作系統層的自身漏洞風險，以及上層應用存在的漏洞等。信創，即信息技術應用創新產業，旨在實現信息技術領域的自主創新與可控。所以，關鍵行業在積極擁抱信創平臺的同時，讓信創本身更“安全”更顯必要與重要。

黃雅芳介紹說，因為操作系統的內核、底層機制等截然不同，微步投入數十人花了一年時間，幾乎從0到1重建了OneSEC信創版架構體系。最終讓OneSEC信創終端能力在采集檢測全面性、終端輕量性、響應能力多樣性等方面優勢明顯。

值得一說的是，在落地部署中，微步也并不主張用EDR替換殺軟，而是各司其職、協同工作，在黃雅芳看來，“基于文件（殺毒）和基于行為（EDR）的防護、檢測、響應能力同步建設，能夠更好地應對信創建設前期的各類潛在風險?！?/p>

在整個數字安全體系中，微步傳遞給客戶的理念同樣是產品異構部署，用專業的人做專業的事。微步也樂于將自己的能力開放給客戶和伙伴的方案體系中去應用。

不積跬步，無以至千里。在技術上顛覆，以創新者的姿態，微步追求將一項專業能力做到極致。