近日,成立于2015年的安全厂商杰思安全获得由盘古创富领投的3000万A轮融资,此前还曾获得由AA投资领投、三行资本跟投的900万天使轮融资。
当国家把网络安全提升至战略层面时,其重要性已经不需要做太多的描述和说明,网络安全问题虽然不会因为一纸条文而得到解决,网络安全、数据安全会在未来企业中占据越来越重要的地位。虽然WannaCry事件已经平息,但WannaCry所反映出的问题仍值得思考—在大多基于特征防护的安全产品构成的安全防护体系下,一种从未出现的新威胁似乎可以不太费力就突破现有的防御体系。
然而一家名为杰思安全的厂商希望通过EDR(端点检测与响应)技术,将未知威胁可视化。
简单来说,杰思安全推出的EDR系列安全产品,将轻量级的探针部署在企业服务器及所有终端上,监控所有操作系统级行为和可疑进程,而后通过管理平台提供的可视化的能力,实时掌控每一台服务器和终端的操作系统内核的调用情况,通过单机的纵向行为和多机的横向行为对比监控设备的异常行为。
也就是说,企业的某台终端或服务器被黑客攻击,黑客就会利用这些设备不断地窃取企业数据或继续发动攻击,这种异常行为就像万绿丛中一点红,完全暴露在杰思安全管理平台的监控之下,管理员可以迅速发现问题所在,并采取相关措施。
事实上,服务器端与个人终端在运行环境、系统配置、应用程序等方面都有很大的不同,二者必须要区别对待。此外,如果需要将软件部署在服务器或者终端上,其是否会占用过多的计算资源拖累系统都是需要考虑的问题。
杰思安全CEO刘春华告诉36氪,无论是服务器端还是个人终端的探针都是非常轻量级的,因此不会拖累设备的性能。
在服务器端,杰思安全产品提供的功能包括:
1.针对信息窃取、恶意软件、漏洞攻击等威胁提供完整的防护手段
2.自动检测响应,实时阻止入侵
3.防护高危漏洞,为企业进行更新部署争取时间。
刘春华认为,对于恶意行为的实时响应和阻止是杰思安全的核心价值所在,让用户在受到攻击时可以及时止损。相比于友商只支持Windows系统,杰思安全的解决方案覆盖Windows、Linux等多种系统的全部版本,从而适应更多的应用场景。
在终端方面,杰思安全产品的轻量级安全探针,在后台静默监测系统内核和用户态的各种活动(包括文件、进程、存储、注册表、网络等),不会打扰用户正常工作。
当发现终端设备出现异常时,在网络中断开受感染的终端设备或中止相关进程高危活动,阻止威胁横向扩散给其他终端,但继续保持安全探针和管理平台的连接通讯。
此外,全网安全探针实时采集信息传递给杰思安全管理平台,多视角进行信息整合和攻击溯源,提供全局分析和预测。
随着企业架构向云端迁移,业务应用的云化带来了指数级增长的数据流量并发。而进行静态威胁特征比对处理的传统防护方式,消耗了大量的宝贵的系统资源,同时虚拟化边界逐渐模糊,也使得安全运维的复杂度提高。
杰思安全产品可以根据检测到的虚拟化环境,自动调整下发任务队列、指令通讯、上报日志信息的轮询处理机制,当服务器处于资源占用高峰状态时,在保障安全防护的情况下非关键操作,可自动调整为闲时处理,最大化保障业务处理的计算资源。使整体系统资源调度更平滑稳定,减少拥塞情况发生。
在竞争对手方面,杰思安全在国内没有对标的厂商,在国外采用EDR技术的厂商有TANIUM、CROWDSTRIKE、cybereason。
杰思安全CEO刘春华曾在硅谷工作数年,是赛门铁克(Symantec) 年销售额超过20亿美金的安全产品 SEP 的创始人之一,后加入全球 Websense,领导邮件安全、云安全研发及移动安全研发。