（北京東方國信科技股份有限公司軍民融合事業(yè)部總經(jīng)理）

編者按：以色列網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)達、網(wǎng)絡(luò)安全技術(shù)領(lǐng)先，是僅次于美國的世界第二大網(wǎng)絡(luò)產(chǎn)品和服務(wù)出口國，占全球網(wǎng)絡(luò)安全市場10%左右。與其它網(wǎng)絡(luò)強國相比，以色列網(wǎng)絡(luò)安全初創(chuàng)企業(yè)涌現(xiàn)速度快，對資金吸引力強，外資投入占比較大，市場充滿活力。其中，賽博瑞森（Cybereason）公司作為佼佼者，企業(yè)規(guī)模持續(xù)增長，在網(wǎng)絡(luò)安全產(chǎn)業(yè)端點保護領(lǐng)域地位突出。該公司從以色列軍事單位中誕生，并將軍事領(lǐng)域網(wǎng)絡(luò)安全技術(shù)和理念運用于公司發(fā)展實踐，取得了出色成績，其成功經(jīng)驗體現(xiàn)了“寓軍于民”的發(fā)展規(guī)律和特點，對于推進網(wǎng)絡(luò)安全產(chǎn)業(yè)軍民融合發(fā)展具有參考借鑒意義。

1.公司概況

以色列的網(wǎng)絡(luò)安全行業(yè)中，自2011年起具有較強融資能力的初創(chuàng)企業(yè)不斷涌現(xiàn)。賽博瑞森（Cybereason）則是其中一家專注于端點檢測和響應(yīng)軟件的網(wǎng)絡(luò)安全公司，2012年由以色列國防部8200部隊成員在以色列特拉維夫創(chuàng)立，2014年將其總部遷至馬薩諸塞州波士頓，目前在特拉維夫仍保留一家研發(fā)中心，在倫敦、特拉維夫和東京設(shè)有辦事處，公司員工規(guī)模為500人 以 內(nèi)。2014年，Cybereason從Charles River Ventures籌集了A系列資金。2015年從軟銀獲得了C輪融資5900萬美元。到目前為止，該公司已經(jīng)籌集了1.9億美元的資金，絕大多數(shù)來自公司自己的客戶，如洛克希德馬丁和軟銀。2016年12月，Cybereason發(fā)布了一款免費的消費者軟件產(chǎn)品，用于預(yù)防勒索軟件。2016年，公司的收入增長了5倍，2017年以來正在實現(xiàn)全球性擴張，以建立世界級組織的資源。

從業(yè)務(wù)領(lǐng)域來看，Cybereason公司主要從事端點保護領(lǐng)域，并已成為該領(lǐng)域的領(lǐng)導(dǎo)者。公司主要提供端點檢測和響應(yīng)、下一代防病毒和托管監(jiān)控服務(wù)，其特點在于領(lǐng)先于對手的檢測和響應(yīng)能力。同時，Cybereason由來自以色列國防軍精英情報專業(yè)人士創(chuàng)立，這為企業(yè)提供了領(lǐng)先于網(wǎng)絡(luò)對手的技術(shù)優(yōu)勢。

2.產(chǎn)品及優(yōu)勢

隨著攻擊者開發(fā)新的工具和技術(shù)，跟上高級威脅比以往任何時候都更具挑戰(zhàn)性。Cybereason公司的主流產(chǎn)品——深度狩獵平臺（DEEP HUNTING PLATFORM），核心功能是提供端點檢測和響應(yīng)（EDR）、下一代防病毒（NGAV）、托管威脅搜尋和威脅情報，而所有這些功能都集成在一個解決方案和一個輕量級傳感器中。該平臺使用Cybereason專有的網(wǎng)絡(luò)安全數(shù)據(jù)分析架構(gòu)構(gòu)建，專注于收集和分析行為數(shù)據(jù)并關(guān)聯(lián)不同的數(shù)據(jù)點，以識別惡意操作并促進立即采取行動。Cybereason深度狩獵平臺不僅可以保護客戶的數(shù)據(jù)，還可以利用這些數(shù)據(jù)進行其他保護功能。其特點主要在于：（1）深度檢測和響應(yīng)優(yōu)勢；（2）全攻擊生命周期檢測；（3）預(yù)配置的惡意活動模型；（4）單擊快速修復(fù)；（5）針對已知和以前看不見的威脅勒索軟件防護。

2.1 深度檢測和響應(yīng) （EDR）

Cybereason公司提供的深度檢測和響應(yīng)（EDR）平臺，可以幫助客戶準確識別判斷是否受到攻擊，并有能力防御最先進的攻擊。Cybereason的解決方案專注于收集和分析行為數(shù)據(jù)，深入了解整個企業(yè)中的端點、行為和系統(tǒng)數(shù)據(jù)，側(cè)重于數(shù)據(jù)背后的行為和動機，這使得該解決方案能夠發(fā)現(xiàn)可能被忽視的可疑活動。

2.2 深度防護(DEEP PREVENT)

Cybereason公司認為，對手正在迅速發(fā)展并開發(fā)繞過傳統(tǒng)保護解決方案的新工具。攻擊者已經(jīng)開始利用更成功的技術(shù)來針對組織，例如利用本機應(yīng)用程序和工具來發(fā)起無文件攻擊。要解決當今的惡意軟件問題，簽名已不再適用。需要全面的保護方法。1.多層保護。為了確保高效的惡意軟件檢測和阻止，Cybereason NGAV解決方案DEEP PREVENT為組織提供了多層保護堆棧，該堆棧由簽名、專有的無簽名和行為保護功能組成。首先，基于簽名的技術(shù)阻止了普通惡意軟件。然后通過Cybereason專有的人工智能引擎查找繞過前一層的復(fù)雜惡意軟件。最后，超越此人工智能引擎的文件又將被推送到動態(tài)行為分析過濾器，該過濾器查找指示更高級惡意軟件威脅的惡意行為，包括無文件和勒索軟件攻擊。2.阻止高級威脅，使用市場領(lǐng)先的行為保護技術(shù)，防止包括無文件惡意軟件和從未見過的勒索軟件在內(nèi)的高級威脅。3.提高分析師效率，減少環(huán)境中的噪音量以及團隊需要處理的警報數(shù)量。4.部署和管理單個集成解決方案，利用部署在單個UI上的EDR，實現(xiàn)反惡意軟件、反勒索軟件和反無文件惡意軟件防護功能，并在單個UI中進行管理。

2.3 深入調(diào)查（Deep Investigate）

Cybereason平臺從整個企業(yè)收集大量數(shù)據(jù)，通過查詢從原始信息到被標記為可疑的預(yù)分類數(shù)據(jù)的所有內(nèi)容，讓分析人員可以輕松地深入了解數(shù)據(jù)并對其進行可操作的使用。Deep Investigate提供了一個強大的調(diào)查工作臺，使企業(yè)分析師能夠進行定制的高級調(diào)查。在控制臺中，分析人員可以跨受影響的用戶、網(wǎng)絡(luò)連接、計算機和進程進行轉(zhuǎn)移，以跟蹤攻擊者的活動、工具和技術(shù)。

2.4 深度回應(yīng)（DEEP RESPOND）

Cybereason平臺不僅可以檢測威脅，還可以讓客戶快速響應(yīng)并關(guān)閉它們。Cybereason深度響應(yīng)界面，提供易于理解的視覺攻擊案例，深入了解當前正在進行的主動惡意操作。在快速了解情況后，客戶可以通過單擊修復(fù)輕松阻止威脅。這包括隔離計算機、終止進程、隔離文件、刪除注冊表項等。此外，客戶可以自動阻止進程執(zhí)行并阻止網(wǎng)絡(luò)通信。

2.5 防勒索軟件（Cybereason RansomFree）

Cybereason認為，當前勒索軟件攻擊如此成功的主要原因是傳統(tǒng)的防病毒軟件無法檢測到它們。每天都會開發(fā)新的勒索軟件變種，因此基于簽名的防御措施無法識別和保護組織免受勒索軟件造成的損害。此外，許多類型的勒索軟件都是多態(tài)的，這意味著它每次傳播時都會生成一個新的哈希以避免檢測。因此，Cybereason研究了數(shù)以萬計的屬于40多種勒索軟件的勒索軟件變種，包括 Locky、Cryptowall、TeslaCrypt、Jigsaw和Cerber等，并確定了區(qū)分勒索軟件和合法應(yīng)用程序的行為模式。Cybereason開發(fā)了一種獨特的行為方法來阻止勒索軟件的發(fā)展。由于已經(jīng)確定了典型的行為模式，因此平臺知道勒索軟件將如何以及在何處開始加密文件。

通過針對勒索軟件的常見行為，Cybereason RansomFree可以防范99%的勒索軟件。RansomFree檢測到勒索軟件，暫?；顒?，顯示一個彈出窗口，警告用戶他們的文件存在風(fēng)險，并讓用戶一鍵停止攻擊。RansomFree可以防止本地加密以及網(wǎng)絡(luò)或共享驅(qū)動器上的文件加密。RansomFree通過捕獲獨立的勒索軟件程序以及無文件勒索軟件，來保護客戶的數(shù)據(jù)安全。獨立的勒索軟件使用應(yīng)用程序中的漏洞，例如有缺陷的Flash代碼，但無文件勒索軟件濫用合法的Windows工具（如PowerShell腳本語言或JavaScript）來執(zhí)行其惡意企圖。

3.軍民融合的成長經(jīng)驗

正如Cybereason公司官方網(wǎng)站所說，軍隊是其與眾不同的主要原因。“公司的許多員工都曾在以色列國防軍的8200部隊工作，這是一個專門從事網(wǎng)絡(luò)安全的精英團隊，他們在黑客行動方面擁有豐富的經(jīng)驗。我們正在將軍隊對網(wǎng)絡(luò)安全的看法應(yīng)用于企業(yè)安全”。

具有軍方背景的專業(yè)人才是Cybereason公司脫穎而出的關(guān)鍵，Cybereason已經(jīng)召集了一批來自軍隊、學(xué)術(shù)和商業(yè)背景的安全專家。這些專業(yè)人才為Cybereason公司的成長發(fā)展帶來了先進的軍事技術(shù)和經(jīng)驗。以色列全民皆兵的國防戰(zhàn)略客觀上決定了高技術(shù)發(fā)展的主要路徑是軍民融合。在全民服兵役的強軍體制下，以色列青年男女在高中或大學(xué)畢業(yè)后，大多數(shù)都會選擇在軍隊中接受信息技術(shù)和網(wǎng)絡(luò)安全再教育，成為一名掌握高技術(shù)的現(xiàn)代化軍人，經(jīng)過軍隊的系統(tǒng)訓(xùn)練和實戰(zhàn)鍛煉，以色列青年人的整體計算機水平和網(wǎng)絡(luò)安全技能大大領(lǐng)先于其他國家。這在軍中則是一支為國效力的頂級網(wǎng)絡(luò)高手，轉(zhuǎn)業(yè)后既是一支創(chuàng)業(yè)的高級職業(yè)領(lǐng)軍人物。Cybereason公司創(chuàng)始人和CEO Lior Div曾在以色列8200部隊擔任網(wǎng)絡(luò)安全團隊的指揮官，并因出色成績獲得榮譽勛章。以色列8200部隊相當于美國的國安局，是以色列國防軍中規(guī)模最大的獨立軍事單位，負責信號情報和代碼破譯的部門，被普遍認為是世界上最先進的網(wǎng)絡(luò)間諜部隊。在8200部隊服役過的士兵，憑借他們在部隊中的嚴格訓(xùn)練以及獲得的一流的黑客和情報分析技能，往往能輕易地在以色列或美國硅谷的高科技公司謀到重要職位。以色列的初創(chuàng)公司也將擁有來自8200部隊的雇員作為向外界表明自身實力的招牌。8200部隊為以色列輸出了大量包括CheckPoint、Imperva、Nice、Gilat、Waze、Trusteer以及Wix等科技公司的創(chuàng)始人、合伙人和技術(shù)骨干。

一流的軍事專業(yè)人才為Cybereason公司打造了一流的產(chǎn)品。Cybereason實時攻擊檢測與響應(yīng)平臺為企業(yè)帶來軍用級防御，提供基于軍事級別的自動檢測、完整的態(tài)勢感知和對攻擊者活動的深入理解。Cybereason主動監(jiān)測小組這個團隊有幾十年處理世界上最復(fù)雜攻擊的第一手經(jīng)驗。Cybereason可以自動檢測惡意活動并以一種直觀的方式呈現(xiàn)出來，提供攻擊活動的端到端聯(lián)系，并且可以輕松地以最小的組織形式進行部署，組織可以在24-48小時內(nèi)部署并開始檢測。

不難看出，Cybereason公司的成長發(fā)展充滿了以色列軍方的痕跡，其技術(shù)能力和產(chǎn)品設(shè)計理念也充分反映了“寓軍于民”的軍民融合發(fā)展思路，為其在眾多競爭對手中取得優(yōu)勢奠定了特殊的能力基礎(chǔ)。