对话安恒刘思宇：做数字资产的守门人

杀毒是终端安全的原始需求。最初，人们开始意识到自己的终端设备存在安全隐患，需要采取防护措施，主要是因为计算机病毒和木马的盛行。过去十几年，一提到终端安全，其实大多数情况指的是杀毒软件。

如今，随着移动办公、企业上云的加速，组织内原有的安全边界被打破，各类终端设备成为了新的边界，这种转变使得终端面临更加复杂和多样化的安全威胁，终端安全防护亟需一种新的设计框架。

近日，在2023西湖论剑·数字安全大会上，雷峰网有幸拜访到了安恒信息副总裁、终端安全负责人刘思宇。

刘思宇曾在老牌杀毒软件厂商领导相关产品研发推广，他的加入提升了安恒信息终端安全领域能力。他认为，尽管在终端安全领域起步相对较晚，但凭借深厚的安全底蕴积累以及持续投入的创新能力，安恒信息能提供更加全面、更加体系化、更加领先的终端安全产品及解决方案。

作为安全行业的资深从业者，刘思宇认为，在市场、技术及安全事件的驱动下，未来终端安全会朝着体系化、一体化的方向发展，并且这个趋势正在加速到来。

以下为雷峰网与刘思宇的对话：

雷峰网：终端安全从提出发展至今，经历了很大的变化。您认为目前阶段，终端安全发展的困境和特点是什么？

刘思宇：安恒信息的思考与观察主要体现在两个方面：

一方面，随着云计算、大数据以及远程办公等新技术和应用场景的兴起，安全边界变得更加模糊，越来越多的终端直接暴露在互联网上，这对于互联网上的坏人是一种便利。传统的、单一的终端防护手段越来越不能满足现在的需求。以前边界上有各种各样的防控设备、产品，可以把终端很好的隔离在内网，现在的办公环境已经不允许完全按照这种方式来进行安全能力的部署。

另一方面，用户的终端安全需求越来越高，一台机器需要安装十几种终端防护产品，比如终端准入、防病毒、EDR、主机审计、桌面管理、数据防泄漏等。最终造成的结果是：极其占用计算机资源，甚至影响生产效率。究其根本，部分厂商研发和运维能力有限，只能提供某一种安全产品及服务。用户如果想构建体系化的安全能力，需要从不同的厂商采购一大堆不同功能的客户端产品，还需要运维工作人员进行大量的维护工作，不仅采购成本高、人力成本的投入也居高不下。

雷峰网：针对现阶段网络边界模糊，终端安全防护更加脆弱的问题。安恒信息有什么解决方案？

刘思宇：安恒信息的终端安全管理系统从两个不同的角度去解决终端上的安全问题。

首先，在终端设备接入网络之初，就会从安全视角，对组织内需要保护的终端资产进行智能化的识别；其次，给这些资产部署防护产品，形成完整生命周期的保护。

在对资产做深度识别时，会针对包括软件、硬件、外部接入设备、甚至软件中的各类组成成分进行识别和保障，让安全运维人员可以准确掌握自己内网的资产数量和类别。资产清点完毕后，按照相应的策略去部署安全软件，并对这些资产进行全面的体检。这样就能发现存在哪些入侵风险，是否存在安全漏洞，存在什么样的安全漏洞，有没有使用开源的应用。通过打补丁、微隔离等工具智能化的帮助用户拦截端口风险。

安恒信息帮助用户进行终端资产全生命周期监控，通过我们丰富的威胁情报数据支持，对不同的安全事件关联分析，让组织内部的安全事件可视化的展现在安全运维人员面前。这对于制定整个终端体系化的防御策略与整体终端安全态势可视化具有重大意义。

雷峰网：为什么要进行可视化溯源回放？对于用户的意义是什么？

刘思宇：可视化溯源回放有个洋气的名字—“attack movie ”，就是从攻击者的视角全面展示内网中发生的攻击行为的全过程，像放电影一样清晰。比如攻击者是从哪台机器发起的攻击？利用的是什么威胁手段？攻击被拦截的情况如何？

以前企业内部网络出现安全问题，很难第一时间掌握。需要高级的安全分析人员去分析系统内部的日志等信息，可能需要花几个小时，甚至几天才能知道这个病毒是哪里来的、做了什么。通过“attack movie”这个安全能力，普通的安全分析人员一眼就可以看出来“是什么病毒，访问过什么系统文件，造成了哪些影响”，现在我们只需要几分钟，就可以把分析报告提交给用户，大大提升了响应效率，让用户在更短的时间完成风险处置，大大降低安全风险。

雷峰网(公众号：雷峰网)：安恒信息的入侵检测平台有什么不同？

刘思宇：一、在防御监控准确性更高；二、展示出的行为数据更准确。

第一点，针对于各种各样的安全事件，传统的入侵检测类产品，进行扫描后，报给用户非常多的告警。但是用户结合自己的生产环境，并不了解哪些是真正的风险，哪些信息是有价值的，哪些需要处置，自己到底安全不安全，报告的价值在哪。安恒信息通过近二十年的攻防、国际赛事等经验，总结了一套攻击技战行为防御模型，在防御监控上非常准确，有效解决上述问题。

第二点，通过将攻击行为可视化，让安全分析人员很清晰看到，恶意行为威胁有没有被拦截，客户系统是否安全或者威胁造成了什么危害？

雷峰网：一个EDR平台？能做到如此精准，背后依靠的是那些能力？

刘思宇：一个完整的EDR一定是需要多种安全能力支撑，安恒EDR基于安恒信息16年来在各大重保活动中积累的安全攻防服务经验，数十亿级别的威胁情报数据。依托AI大数据分析技术，可对威胁告警的攻击链进行全面分析，完整展示攻击链路，相对基于流量高噪声的若关联分析，精准度更高、更靠谱。

总结就是，安恒EDR是结合安恒信息16年来在安全服务、安全攻防、入侵检测、威胁情报等各方面积累，并通过新技术、新能力的加持，而研制出的适合用户的“终端威胁检测与响应”产品。

雷峰网：国内因为真假EDR争辩不休，您怎么看？

刘思宇：大家说假EDR，是因为以前很多产品只套用了 EDR 概念，本质上只是一个杀毒软件，无法给用户提供一个合规、安全的终端安全使用环境。伴随行业发展，用户需求从合规变成实战化，这也客观促进各厂商不断提升和完善能力，做出真正的EDR产品。

雷峰网：您觉得企业组织架构复杂，终端数量庞大、终端管理难的问题该如何解决？

刘思宇：未来，安全的发展趋势是终端一体化。现在客户实际需求是多样化的，比如杀毒、数据防泄露、 主机审计与终端准入等。安恒信息现在已经实现了用户按需购买并进行安全能力组合，但只需一个客户端即可。此外，更多的安全能力板块还在持续研发和上线中，我们始终希望把简单留给客户，把复杂留给自己。

雷峰网：您如何看待人工智能在安全行业的应用？

刘思宇：人工智能是一把双刃剑。对于攻击者来说，他们可以仅通过输入一些自然语言，便轻易地生成各种攻击工具，比如勒索病毒等恶意攻击程序。

雷峰网:  那我们应该如何应对呢？

刘思宇：人工智能滥用，未来这个问题有可能会越来越严重。针对勒索防御，需要构建事前、事中、事后全流程检测、监控和防御体系。

安恒终端安全已近打造了一套针对于勒索病毒的攻击技战术，提供勒索行为检测引擎，不论是已知的病毒还是未知的病毒，都可以准确的识别出来，并进行相应的拦截保障，提高了对勒索病毒防护的上限。

安恒信息也是首家提供智能备份引擎的安全厂商。传统情况下，用户需要部署复杂的备份系统，智能备份引擎基于AI机器学习和内核级技术，实现对关键数据的高效识别，并进行及时、低能耗的备份。我们的目标是，即使用户没有做任何防护，或者遭遇了勒索病毒，都会保护住核心数据资产，这也提高了用户终端安全能力的下线。

雷峰网：现在重点推进的或者研发的是哪些技术和产品？

刘思宇：目前，勒索行为检测引擎和智能备份引擎已经完成技术储备，很快能推向市场，大家可以期待一下。

雷峰网：如何平衡大企业和中小企业之间的服务？

刘思宇：针对大型企业，我们提供私有化的部署方式；针对中小企业，我们提供 SaaS 版本产品， SaaS 版本不需要用户再去部署运维繁琐的管理中心，通过云端租户的方式管理自己的资产，成本对于中小企业很友好。

雷峰网：安恒信息选择从EDR切入终端安全市场的缘由是什么？目前在终端安全的领域取得了哪些成绩？

刘思宇：安恒信息是一家综合性的平台厂商，在终端上的策略也是如此，给用户提供终端安全一体化产品和解决方案。而自身在EDR方面的技术沉淀和能力储备都有，从优势点出发，也是为了快速响应对客户高质量终端安全服务的需求。

就公开数据，赛迪顾问去年发布的《中国终端安全检测与响应产品市场研究报告（2022）》，安恒EDR占全国市场份额5%，排名第三。还荣获了2019年最佳创新产品奖、2021年ISC终端安全领域创新100强、2021年、2022年赛可达优秀产品奖、赛可达东方之星、2021年数世咨询EDR安全能力图谱排名前三等荣誉。此外，我们在信创方面也已经和数十个国产软硬件以及操作系统进行了适配和产品互认。

所以总结下来，安恒信息终端安全虽然起步晚，但也正因为此，在产品设计之初就有有一套完整的解决方案—无极架构，避免了通过产品堆砌造成的管理割裂、数据孤岛等问题；再加之安信信息十余年国家级大型赛事、会议的安保支撑工作等实战经验的积累，反而在产品设计、研发、市场需求了解等方面更具优势。

安恒信息终端安全的定位是数字资产守门人，为新时代用户数字资产安全保驾护航。在未来也会持续通过科技创新、优秀的产品架构设计理念来推动终端安全行业不断发展，为用户提供更好、更智能、更简单的终端安全产品。