企業(yè)級用戶運維管理中普遍的安全隱患有：

·漏洞補丁更新不及時：當微軟發(fā)布Windows漏洞補丁后，總會有用戶更新不及時，而攻擊者即利用這段時間差來對尚未更新的用戶進行漏洞掃描進而進行攻擊。

·對勒索軟件檢測效果不明顯：特征庫對勒索軟件的檢測效果不明顯，攻擊者利用腳本工具對勒索軟件進行變更成為更多新的勒索軟件，而特征庫對此束手無策。

·虛擬機安全問題：在政企云環(huán)境下，部署虛擬機后，在不同的服務(wù)器內(nèi)部也可以調(diào)用相同的業(yè)務(wù)系統(tǒng)，虛擬機分配管理上的混亂給企業(yè)各業(yè)務(wù)系統(tǒng)帶來較大風險?，F(xiàn)在的云IDC中，往往并非單純的云架構(gòu)而是混合形態(tài)。這就需要有許多不同的安全管理體系，導致了安全管理的混亂。

在過去十多年里，端點安全僅僅指的是殺毒軟件一種產(chǎn)品，從大的范疇講有兩種產(chǎn)品形態(tài)，在端點是殺毒軟件，在網(wǎng)絡(luò)邊界側(cè)則是防火墻。業(yè)內(nèi)主要的廠商產(chǎn)品基本上都是沿著這兩條線來發(fā)展的。因此過去的終端安全主要是依靠殺毒軟件，當然也有一些準入產(chǎn)品。如今像殺毒軟件、防火墻這類的產(chǎn)品在實現(xiàn)形式上似乎有些落伍。例如殺毒軟件往往依賴于病毒庫，這就意味著廠商需要不斷地去擴展和更新自己的病毒庫。這在機制上講其實是被動的，只有企業(yè)受到攻擊后才能感知和捕獲，并將其特征放到病毒庫中，然后升級到殺毒軟件中并應(yīng)用到用戶。但是對于像利用惡意軟件的變種、腳本化工具將惡意軟件加殼使其隨機產(chǎn)生新的惡意軟件等具有針對性的攻擊，傳統(tǒng)的安全產(chǎn)品是無法有效的防御的。隨著“互聯(lián)網(wǎng)+”的推進，將會有更多的設(shè)備接入互聯(lián)網(wǎng)。這也意味著將有更多的開放的端點成為攻擊者攻擊的目標。

防火墻和殺毒軟件是基于各種“庫”的建設(shè)，像病毒庫、應(yīng)用程序庫等等。隨著庫的不斷建設(shè)，其規(guī)模也越來越臃腫，效率也變得非常低下，而其對防范未知威脅的效果并不如人意。

一系列問題對杰思安全來說則意味著機會?！皩τ诮K端安全，市場是非常廣闊的”，杰思安全CEO蔣波表示。

杰思安全的與眾不同之處在于利用新技術(shù)解決未知威脅的能力，即“端點檢測與響應(yīng)（EDR）技術(shù)”。這些新技術(shù)在國內(nèi)真正應(yīng)用的尚不多。要想解決端點的安全就需要對端點進行持續(xù)的檢測，發(fā)現(xiàn)異常行為并進行實時的干預(yù)。若要“看到”未知威脅是非常有難度的，其關(guān)鍵就在于檢測異常行為。

異常行為的檢測

如何實現(xiàn)對異常行為的檢測？在業(yè)內(nèi)，一種方法是模擬黑客行為進行攻防演練，進而建立基線（Baseline）；另一種方法是預(yù)測攻擊思路和行為。但這些方法效果往往不理想，因為總會“百密一疏”，這并不能防范針對性攻擊。

杰思安全在端點側(cè)的異常行為檢測技術(shù)上已經(jīng)積累多年，經(jīng)深思熟慮后并沒有采取這些方式，也未做流量側(cè)產(chǎn)品，而是從應(yīng)用程序?qū)Σ僮飨到y(tǒng)的內(nèi)核調(diào)用這個方面入手進行檢測。

流量側(cè)的檢測實現(xiàn)簡單，但存在很多問題，如流量在加密后無法被檢測、有些威脅繞過流量側(cè)進行攻擊，檢測精準度差等等。

因為不管是合法程序還是惡意攻擊，最終都會調(diào)用操作系統(tǒng)內(nèi)核。通過梳理合法程序?qū)Σ僮飨到y(tǒng)的內(nèi)核調(diào)用進行的正常行為，則可以判定超出此類行為的異常行為，這樣就實現(xiàn)了對異常行為的檢測，這是“單機層面的縱向判斷異?！薄Ａ硗?，在對服務(wù)器的滲透攻擊時，采取“多機層面的橫向?qū)Ρ取?，當出現(xiàn)對某臺服務(wù)器的滲透攻擊時，必然會出現(xiàn)相對于其他服務(wù)器的某些異常，這時即可實時檢測到這種異常行為。這兩種機制的檢測方式相結(jié)合，可有效做到實時檢測異常行為。

這兩種機制是杰思安全的核心檢測機制，當然還包括其他輔助方式，如智能沙箱、人工輔助判斷等，最大程度發(fā)揮了檢測高效性。

EDR通過應(yīng)用程序?qū)Σ僮飨到y(tǒng)調(diào)用行為分析，檢測和防護未知威脅，結(jié)合機器學習和人工智能輔助判斷，有效解決了傳統(tǒng)安全網(wǎng)關(guān)和殺毒軟件無法解決的未知威脅問題。

傳統(tǒng)的安全產(chǎn)品并不適合在虛擬化環(huán)境中采用,而EDR產(chǎn)品彌補了虛擬化環(huán)境安全產(chǎn)品的空白：不依賴于傳統(tǒng)靜態(tài)特征防護機制，能實現(xiàn)未知威脅的秒級檢測與響應(yīng)。

杰思安全的產(chǎn)品組成包括控制臺和服務(wù)器、PC側(cè)的探針。其實現(xiàn)機制是對操作系統(tǒng)內(nèi)核調(diào)用的行為進行分析和判定，無需掃描文件進行比對。

這種機制的優(yōu)點是其占用內(nèi)存很小，同等環(huán)境下其CPU占用不到1%。探針在后臺靜默監(jiān)測系統(tǒng)內(nèi)核和用戶態(tài)的各種活動（包括文件、進程、存儲、注冊表、網(wǎng)絡(luò)等），不會打擾用戶正常工作。

客戶交付方式則主要以私有云交付為主，控制臺可以遠程批量的將軟件探針推送到需要管理的PC、服務(wù)器或虛擬機等環(huán)境，其可支持Windows、Linux等多種常見的操作系統(tǒng)。

由于操作系統(tǒng)版本會不定期進行更新，其對系統(tǒng)內(nèi)核調(diào)用也會發(fā)生改變，因此這就要求從技術(shù)上要持續(xù)不斷地跟進。同時，這款產(chǎn)品不挑平臺，在不同品牌的虛擬機中都能夠做到統(tǒng)一安全管理。

杰思安全的核心檢測機制本身的技術(shù)難度還是很高的，其探針的特點是能夠做到對正在運行的操作系統(tǒng)動態(tài)地注入和動態(tài)的撤銷，也即“熱干預(yù)”，而不會引起服務(wù)器的重啟，保證了業(yè)務(wù)的正常運轉(zhuǎn)。

很多技術(shù)在向運行的服務(wù)器系統(tǒng)注入或撤銷探針后會引起系統(tǒng)的重啟，這無疑影響了用戶業(yè)務(wù)的進行。