又是一条赤裸裸的鄙视链…

青藤云安全，江湖人称“藤厂”，凭借领先的理念、技术和产品在网络安全圈逐步封神，久战而立于不败之地。为了让更多人了解青藤、了解网络安全，笔者特开通此专栏，争取用简洁明了的语言讲清楚晦涩难懂的网安知识。

第 1 事

网安人“反鄙视”指南

金庸说：有人的地方就有江湖

其实，除了江湖

有人的地方还有“鄙视链”

尤其是在技术日新月异的安全圈

又刚出炉一条热乎乎的主机安全领域的鄙视链

CWPP → EDR → EPP → 杀毒软件

我们一个一个来看它们

是怎么被别人鄙视

或鄙视别人的

01 杀毒软件

作为安全界的“老大哥”

杀毒软件在保护终端不受病毒入侵上劳苦功高

无奈它只能根据病毒特征码来识别已知病毒

对没有输入病毒库的病毒没法识别和查杀

这样不仅查杀滞后

而且随着病毒种类越来越多

病毒库也越来越庞大臃肿

无法满足企业轻、快、好、省的需求

在后浪此起彼伏的拍打下

杀毒软件只能黯然退居二线

02 第二代杀毒软件

从被动的特征码比对

进化成不需要即时更新的新病毒识别

比如行为检测

根据其行为判断是否是恶意程序

这种不依赖于传统特征码扫描的主动防御软件

被称为第二代杀毒软件

不过它只是传统被动防御技术的补充

并不能包治百病

最要命的是它只能在PC端防毒

跟不上黑客攻击路径多变的步伐

03 EPP

要想全方位保护好终端

光从PC端的杀毒软件入手可远远不够

因为黑客不仅能从终端以外的其他路径入侵

还能用病毒感染以外的其他手段入侵

这种情况下就产生了EPP的概念

EPP也被成为第三代杀毒软件

与单个杀毒软件不同

EPP是一组软件工具和技术团队作战

它结合了多种端点保护解决方案

可以保护各种类型的端点设备

(PC 、智能手机、平板电脑）

还能通过数据丢失防护和数据加密服务

来保护端点设备上的静态数据

04 EDR

但EPP产品再厉害

也应付不了复杂和有针对性的攻击

攻击者通过定制化的恶意软件可以成功绕过防御

利用多种技术手段和工具组合的攻击

更加难以被识别

即使部分发出告警

各个防御工具的告警也是相互独立的

彼此间没什么关联

安全人员很难利用这些警报看出攻击的全貌

另外，EPP缺乏对终端的持续监控

安全人员很难定位威胁的来源以及威胁造成的影响

为了解决这些问题

EDR 技术应运而生

EDR是将下一代防病毒元素

与其他工具相结合的安全系统

能对端点上的文件活动进行持续监视

主动检测新的或未知的威胁

可以在攻击发生时快速察觉和定位问题

并在攻击发生后追踪溯源

避免攻击再次发生

05 CWPP

但EDR还没嘚瑟几天

就跟其他终端安全产品一样被鄙视了

因为EDR虽然在端点防护上很给力

但在主机安全领域只能算个菜鸟

云时代，服务器形态从物理机向虚拟机、容器

甚至无服务器架构转变

这些服务器自身的计算特征

和面临的安全威胁各不一样

传统的终端产品瞬间就玩不转了

为此Gartner专门定义了一个位于

鄙视链顶端的产品——CWPP

它是用来保护云上工作负载的安全全家桶

对云上的工作负载，提供多个维度、

全方位的保护能力

Gartner把这种能力由基础到次要分成了8大类别

CWPP涵盖了工作负载整个生命周期的安全需求

可以保护服务器工作负载免受攻击

无论工作负载的位置或粒度如何

CWPP提供了对所有服务器工作

负载一致的可见性和可控性

CWPP的功能虽然足以让它独霸武林

但实际的落地效果90%都非常拉胯

主要原因包括以下三点

一、挂羊头卖狗肉，不是CWPP原生产品

CWPP概念一经发布

立刻引起了众多安全厂商的关注

但很多厂商要么还在死磕EDR

要么根本没能力开发真正基于CWPP理念的产品

于是就想了个投机取巧的办法

把其他安全产品修修补补、拼拼凑凑

愣是改成了一款对外宣称CWPP的产品

但实际效果你懂的。。。

二、狂刷存在感，重Agent影响业务

安全的本质是为了业务更好地运行

有的安全产品就违背了这条基本原则

在主机上装的Agent不仅体量大

还要修改内核

对服务器侵入性极大，兼容性隐患极大

一不小心就会影响业务

三、安全界愣头青，功能少而浅

部分厂商推出的CWPP产品

虽说不是其他产品改装来的

但败在它太年轻

刚出世一两年

不仅功能模块缺失很多

已有的功能深度也不够

实际用起来效果可想而知

那么广大企业该如何选择CWPP产品呢？

要说不拉胯的CWPP产品

青藤万相不上榜就说不过去了

作为国内主机安全领域的开先河者

万相不仅具备CWPP原生基因

还通过多年经验积累了同行难以匹敌的功能优势

只用Agent、Engine、Console

三个小弟就能全方位防御各路威胁

三个小弟个个身手不凡

Agent轻量、稳定，对业务0影响

Engine引擎灵活可扩展，对入侵行为实时告警

Console控制中心实时可见，用户一键操作管理

仨人各司其职、相互协作

完成了主机信息采集、分析、呈现的一条龙防护

其实万相最牛批的一点是接上了国际轨道

基于自适应安全理念

细粒度、多角度、持续化的

对威胁进行实时动态分析

自动适应不断变化的网络和威胁环境

持续优化自身的安全防御机制

让各种威胁无机可乘

优秀到根本没法低调

万相出道7年多以来

通过600万+Agent

帮助1000+头部客户实现了主机安全

各种奖项更是拿到手软

现在扫描下方二维码

即可获取青小宝送出的网络安全报告大礼包

覆盖安全服务、ATT&CK、主机安全、云原生安全等多个细分领域

↓↓↓

拨打400-188-9287

还能申请万相免费试用哦~

我们坚信

未来，在复杂多变的网络攻击下

CWPP产品必将成为企业安全防护的首要选择！

-完-

继续阅读

阅读原文