创业者说

获盘古创富领投3000万A轮融资,以EDR技术切入企业网络安全,杰思安全帮助企业处理未知威胁,覆盖政府、能源、金融、交通等多个行业

 

 

项目名称:杰思安全

主营业务:终端安全防护/自适应安全防护

上轮融资:2017年8月宣布获得盘古创富领投3000万A轮

下轮融资:暂不确定

项目关键词:未知威胁防护;主机入侵防御系统;EDR技术;端点检测与响应技术;威胁与感知管理平台;累计销售额逾千万

 

拓扑社获知,2017年8月,新一代主机入侵防御系统提供商杰思安全宣布获得3000万人民币A轮投资,由盘古创富领投。据悉,轮融资将主要用于公司EDR产品——杰思猎鹰主机入侵防御系统的研发,以及公司营销团队的扩建

 

杰思安全是一家专注于主机入侵防御的国产安全企业,成立于2015年。其核心研发、运营团队由来自赛门铁克、CheckPoint、360企业安全等国内外知名安全企业的业务骨干组建。

 

杰思安全董事长兼CEO刘春华是Symantec终端安全产品SEP的创始人之一,曾在Websense领导邮件安全、云安全及移动安全研发;公司总裁蒋波曾任Check Point产品总监,锐捷网络数据中心交换机/高端路由器产品线创始人。

 

比特币、勒索病毒促进政企对网络安全的重视

 

刘春华告诉拓扑社,网络安全分为已知安全和未知安全。传统的安全防护方式下,政企用户通过防火墙、杀毒软件等,对自己的设备进行防护,避免出现安全事故。但是这种方式过于传统,有一定的局限性,面对APT、勒索病毒等新型威胁无能为力,导致用户数据泄露,财产损失。

 

例如,2017年5月12日,比特币勒索病毒WannaCry在全球爆发。截至15日,病毒已攻击了至少150个国家,包括中国部分机构,尤其校园网用户受损严重,大量实验室数据和毕业设计被锁定加密,甚至连加油站都被攻陷。

 

从全球范围来看,此次病毒爆发的重灾区,几乎都是那些对数据安全非常重视的学校、医院、政府等机构。

 

再比如,随着比特币等变现渠道的不断出现,黑客攻击由破坏性快速转向逐利性。黑产异常活跃,政府和企业成为攻击的重点目标。

 

一旦被攻击者盯上,则很难逃过被黑的命运。攻击者不断寻找并利用基础架构和应用中的安全漏洞来获取访问权限,通过狡猾的威胁和恶意软件,能感知检测机制并利用逃避技术进行躲避,给政府、企业带来难以估量的损失。

 

比特币和勒索病毒的出现,不但让黑客获得了更加粗暴和直接的获利方式,还让政府和企业遭受财产的损失,使他们意识到网络安全的重要性。”

 

另一方面,刘春华认为,传统的安全产品一般采用特征库比对的方式,但往往服务商们的特征库里面样本储备不足,需要和其他安全服务商交换样本,才能充实自己的特征库,这个充实的过程时间长,效率低,还有很强的滞后性,严重影响用户的安全防护。

 

由于服务商往往依赖于病毒库,意味着厂商需要不断地去扩展和更新自己的病毒库,这在机制上讲其实是被动的,只有用户受到攻击后才能感知和捕获,并将其特征放到病毒库中,然后升级到杀毒软件中并应用到用户。

 

面对这些传统方式无法处理的新增的未知威胁,政企急需采用下一代网络安全防护产品,来解决他们的未知安全问题,减少财产损失。

 

杰思安全要做的事情是,采用EDR技术,为企业和政府机构的主机入侵进行有效防御,通过EDR系列安全产品,将轻量级的探针部署在企业服务器及所有终端上,监控所有操作系统级行为和可疑进程,而后通过管理平台提供的可视化能力,实时掌控每一台服务器和终端操作系统内核的调用情况,通过单机的纵向行为和多机的横向行为对比监控设备的异常行为。

 

采EDR技术,弥补传统安全防护体系不足用

 

其实,EDR技术并不是一个新的技术理念。EDR技术从2014年到2017年,连续被Gartner列为十大顶级安全技术之一,在Gartner的分析报告中指出,EDR工具通常记录大量终端与网络事件,并将这些数据存储在终端本地或者集中数据库中。

 

然后对这些数据进行IOC比对,行为分析和机器学习,用以持续对这些数据进行分析,识别信息泄露(包括内部威胁),并快速对攻击进行响应。

 

什么是EDR技术呢?业界对其的定义是端点检测与响应技术,刘春华认为,EDR能做到主动防护、精准防御,是一种行之有效的安全防护手段。

 

EDR技术从操作系统出发,把控所有端点,全天候持续检测,并及时做出响应。而端点,向来是安全攻防双方的必争之地,更是安全之本。传统在安全硬件设施的大力投入,将会向主动防护、端点防护方面不断倾斜。

 

刘春华表示,对于政企来说,网络中除了在端点安装杀毒软件,还要在边界部署一些安全类的产品,如xx盒子、防火墙、IDS等,通过特征库比对即可。EDR技术在防御捕获部分,与传统的特征库对比有明显区别。不需要进行特征库比对,只通过异常行为检测就可以发现威胁,包括未知安全。

 

“例如,公交车上的警察,他不需要记住犯人的长相,并且逐一查看每个人的身份。只要看谁正在偷东西,把他抓住就行了。”

 

简单来说,EDR产品弥补了传统安全防护体系中,端点未知威胁检测与防护领域的不足,EDR基于应用程序对操作系统调用行为分析的机制检测和防护未知威胁,通过机器学习和人工智能辅助判断,有效解决了传统安全网关和杀毒软件无法解决的未知威胁问题。

 

目前,EDR技术在国外已经很成熟,Tanium、FireEye、Cybereason、Crowdstrike便是其中的佼佼者,已经取得不错的成绩。

 

此外,在刚结束的RSA2017安全大会上,代表着重要技术趋势与方向的端点安全,再一次成为业界关注的热点,EDR仍然是端点安全的重中之重。

 

目前,在国内掌握这项技术的厂商少之又少。

 

以威胁与感知管理平台为核心,推出贴近应用场景的解决方案

 

从产业矩阵来说,杰思安全的产品布局是以杰思猎鹰主机入侵防御系统为核心,针对服务器、终端、云三个场景打造系列产品,同时推出四大创新解决方案。

 

据悉,杰思安全的产品以EDR技术为核心,通过7×24的连续监测,可在第一时间发现并阻止包括勒索软件在内的未知威胁,极大地提升主机的安全防御能力。

 

同时结合机器学习、人工智能、大数据分析等技术,对威胁进行预先处理并提供建议,简化流程,大大提升用户安全防护的效率。

 

目前,杰思安全的产品适用于Windows、Linux、国产操作系统等多种系统的全部版本,从而满足更多应用场景的需要。

 

从产品的架构上来看,杰思安全将探针部署在终端和服务器上,在操作系统用户态稳定运行,轻量化无感知,实时采集部署环境的安全相关数据,并反馈到管理平台,全面探测终端和服务器的威胁活动。

 

另外,探针可以在后台静默监测系统内核和用户态的各种活动(包括文件、进程、存储、注册表、网络等),不会打扰用户正常工作。

 

其次,管理平台通过分析引擎不断地从终端和服务器上的安全探针接收信息和进行处理。再通过人工智能、机器学习和行为的技术结合来高效检测网络攻击。

 

再次,管理平台根据最新的恶意软件、网络攻击以及通过正常工具发起入侵等活动进行分析提取,形成针对威胁事件的预制模型,从而对威胁进行高效精确的检测和响应。

 

第四,管理平台整合分散的威胁情报件及事件信息,对数据进行价值可视化呈现,还原攻击路径,协助管理员快速聚焦高风险事件,及时消除安全隐患。

 

第五,管理平台通过自身数据采集提取以及和第三方合作伙伴的信息交换整合,超越传统的“黑白名单”及静态特征库,为已知和未知威胁检测提供有力支持。

 

整体来说,杰思安全的产品可以与业内更广泛的威胁检测、安全管理类产品技术相结合,与防火墙、IDS/IPS等网络侧产品进行自动化联动检测和防护,形成应对威胁的立体化纵深防护体系。

 

至于产品方面,推出贴近应用场景的创新解决方案,包括:一体化云平台安全解决方案、Web网站安全解决方案、ATM安全解决方案、工控安全解决方案。

 

以Web网站安全解决方案为例,杰思安全通过管理平台把探针推到Web网站服务器,部署系统级的防护。

 

然后,通过“人眼识别”的技术对网站进行实时拍照比对,一旦发现问题便即时“熔断”,保证恶意行为不扩散。同时,通过5分钟访问流量缓存采集数据,获取黑客的攻击路径,第一时间找到漏洞以便网站快速恢复重新上线。

 

杰思安全产品可以根据检测到的虚拟化环境,自动调整下发任务队列、指令通讯、上报日志信息的轮询处理机制,当服务器处于资源占用高峰状态时,在保障安全防护的情况下非关键操作,可自动调整为闲时处理,最大化保障业务处理的计算资源,使整体系统资源调度更平滑稳定,减少拥塞情况发生。

 

在盈利模式上,杰思安全采用基础产品费用+专家服务费用,客单价范围在几十万到数百万不等,在服务模式上,除了为用户提供SaaS模式的服务,还会根据客户的需求提供私有化部署。

 

目前,杰思安全的用户覆盖政府、运营商、金融、交通、能源、互联网、制造业等多个行业,包括国家互联网应急中心、中国铁路、国家电网、中国移动等龙头企业和关键部门,累计用户近百家,累计销售额逾千万。

 

转载请注明来自拓扑社(微信号:tobshe)

寻求报道&合作请联系:tobshe@itjuzi.com

tuopusheerweima


发表评论

电子邮件地址不会被公开。 必填项已用*标注