企業(yè)級用戶運(yùn)維管理中普遍的安全隱患有：

·漏洞補(bǔ)丁更新不及時：當(dāng)微軟發(fā)布Windows漏洞補(bǔ)丁后，總會有用戶更新不及時，而攻擊者即利用這段時間差來對尚未更新的用戶進(jìn)行漏洞掃描進(jìn)而進(jìn)行攻擊。

·對勒索軟件檢測效果不明顯：特征庫對勒索軟件的檢測效果不明顯，攻擊者利用腳本工具對勒索軟件進(jìn)行變更成為更多新的勒索軟件，而特征庫對此束手無策。

·虛擬機(jī)安全問題：在政企云環(huán)境下，部署虛擬機(jī)后，在不同的服務(wù)器內(nèi)部也可以調(diào)用相同的業(yè)務(wù)系統(tǒng)，虛擬機(jī)分配管理上的混亂給企業(yè)各業(yè)務(wù)系統(tǒng)帶來較大風(fēng)險?，F(xiàn)在的云IDC中，往往并非單純的云架構(gòu)而是混合形態(tài)。這就需要有許多不同的安全管理體系，導(dǎo)致了安全管理的混亂。

在過去十多年里，端點安全僅僅指的是殺毒軟件一種產(chǎn)品，從大的范疇講有兩種產(chǎn)品形態(tài)，在端點是殺毒軟件，在網(wǎng)絡(luò)邊界側(cè)則是防火墻。業(yè)內(nèi)主要的廠商產(chǎn)品基本上都是沿著這兩條線來發(fā)展的。因此過去的終端安全主要是依靠殺毒軟件，當(dāng)然也有一些準(zhǔn)入產(chǎn)品。如今像殺毒軟件、防火墻這類的產(chǎn)品在實現(xiàn)形式上似乎有些落伍。例如殺毒軟件往往依賴于病毒庫，這就意味著廠商需要不斷地去擴(kuò)展和更新自己的病毒庫。這在機(jī)制上講其實是被動的，只有企業(yè)受到攻擊后才能感知和捕獲，并將其特征放到病毒庫中，然后升級到殺毒軟件中并應(yīng)用到用戶。但是對于像利用惡意軟件的變種、腳本化工具將惡意軟件加殼使其隨機(jī)產(chǎn)生新的惡意軟件等具有針對性的攻擊，傳統(tǒng)的安全產(chǎn)品是無法有效的防御的。隨著“互聯(lián)網(wǎng)+”的推進(jìn)，將會有更多的設(shè)備接入互聯(lián)網(wǎng)。這也意味著將有更多的開放的端點成為攻擊者攻擊的目標(biāo)。

防火墻和殺毒軟件是基于各種“庫”的建設(shè)，像病毒庫、應(yīng)用程序庫等等。隨著庫的不斷建設(shè)，其規(guī)模也越來越臃腫，效率也變得非常低下，而其對防范未知威脅的效果并不如人意。

一系列問題對杰思安全來說則意味著機(jī)會?！皩τ诮K端安全，市場是非常廣闊的”，杰思安全CEO蔣波表示。

杰思安全的與眾不同之處在于利用新技術(shù)解決未知威脅的能力，即“端點檢測與響應(yīng)（EDR）技術(shù)”。這些新技術(shù)在國內(nèi)真正應(yīng)用的尚不多。要想解決端點的安全就需要對端點進(jìn)行持續(xù)的檢測，發(fā)現(xiàn)異常行為并進(jìn)行實時的干預(yù)。若要“看到”未知威脅是非常有難度的，其關(guān)鍵就在于檢測異常行為。

異常行為的檢測

如何實現(xiàn)對異常行為的檢測？在業(yè)內(nèi)，一種方法是模擬黑客行為進(jìn)行攻防演練，進(jìn)而建立基線（Baseline）；另一種方法是預(yù)測攻擊思路和行為。但這些方法效果往往不理想，因為總會“百密一疏”，這并不能防范針對性攻擊。

杰思安全在端點側(cè)的異常行為檢測技術(shù)上已經(jīng)積累多年，經(jīng)深思熟慮后并沒有采取這些方式，也未做流量側(cè)產(chǎn)品，而是從應(yīng)用程序?qū)Σ僮飨到y(tǒng)的內(nèi)核調(diào)用這個方面入手進(jìn)行檢測。

流量側(cè)的檢測實現(xiàn)簡單，但存在很多問題，如流量在加密后無法被檢測、有些威脅繞過流量側(cè)進(jìn)行攻擊，檢測精準(zhǔn)度差等等。

因為不管是合法程序還是惡意攻擊，最終都會調(diào)用操作系統(tǒng)內(nèi)核。通過梳理合法程序?qū)Σ僮飨到y(tǒng)的內(nèi)核調(diào)用進(jìn)行的正常行為，則可以判定超出此類行為的異常行為，這樣就實現(xiàn)了對異常行為的檢測，這是“單機(jī)層面的縱向判斷異常”。另外，在對服務(wù)器的滲透攻擊時，采取“多機(jī)層面的橫向?qū)Ρ取?，?dāng)出現(xiàn)對某臺服務(wù)器的滲透攻擊時，必然會出現(xiàn)相對于其他服務(wù)器的某些異常，這時即可實時檢測到這種異常行為。這兩種機(jī)制的檢測方式相結(jié)合，可有效做到實時檢測異常行為。

這兩種機(jī)制是杰思安全的核心檢測機(jī)制，當(dāng)然還包括其他輔助方式，如智能沙箱、人工輔助判斷等，最大程度發(fā)揮了檢測高效性。

EDR通過應(yīng)用程序?qū)Σ僮飨到y(tǒng)調(diào)用行為分析，檢測和防護(hù)未知威脅，結(jié)合機(jī)器學(xué)習(xí)和人工智能輔助判斷，有效解決了傳統(tǒng)安全網(wǎng)關(guān)和殺毒軟件無法解決的未知威脅問題。

傳統(tǒng)的安全產(chǎn)品并不適合在虛擬化環(huán)境中采用,而EDR產(chǎn)品彌補(bǔ)了虛擬化環(huán)境安全產(chǎn)品的空白：不依賴于傳統(tǒng)靜態(tài)特征防護(hù)機(jī)制，能實現(xiàn)未知威脅的秒級檢測與響應(yīng)。

杰思安全的產(chǎn)品組成包括控制臺和服務(wù)器、PC側(cè)的探針。其實現(xiàn)機(jī)制是對操作系統(tǒng)內(nèi)核調(diào)用的行為進(jìn)行分析和判定，無需掃描文件進(jìn)行比對。

這種機(jī)制的優(yōu)點是其占用內(nèi)存很小，同等環(huán)境下其CPU占用不到1%。探針在后臺靜默監(jiān)測系統(tǒng)內(nèi)核和用戶態(tài)的各種活動（包括文件、進(jìn)程、存儲、注冊表、網(wǎng)絡(luò)等），不會打擾用戶正常工作。

客戶交付方式則主要以私有云交付為主，控制臺可以遠(yuǎn)程批量的將軟件探針推送到需要管理的PC、服務(wù)器或虛擬機(jī)等環(huán)境，其可支持Windows、Linux等多種常見的操作系統(tǒng)。

由于操作系統(tǒng)版本會不定期進(jìn)行更新，其對系統(tǒng)內(nèi)核調(diào)用也會發(fā)生改變，因此這就要求從技術(shù)上要持續(xù)不斷地跟進(jìn)。同時，這款產(chǎn)品不挑平臺，在不同品牌的虛擬機(jī)中都能夠做到統(tǒng)一安全管理。

杰思安全的核心檢測機(jī)制本身的技術(shù)難度還是很高的，其探針的特點是能夠做到對正在運(yùn)行的操作系統(tǒng)動態(tài)地注入和動態(tài)的撤銷，也即“熱干預(yù)”，而不會引起服務(wù)器的重啟，保證了業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。

很多技術(shù)在向運(yùn)行的服務(wù)器系統(tǒng)注入或撤銷探針后會引起系統(tǒng)的重啟，這無疑影響了用戶業(yè)務(wù)的進(jìn)行。