CyberServal Data SecurityCyberServal Data Security

从 EDR 到 DDR,薮猫科技到底在做什么?

作者: 薮猫科技发布时间: 6/8/2023

近日,2022(第二届)超级 CSO 年度评选颁奖盛典在上海成功举办,薮猫科技联合创始人兼 CEO 王宇受邀出席,就《从 EDR 到 DDR,薮猫科技到底在做什么?》作主题演讲。受限于现场 20 分钟的分享时间,遂有此文。

自加入薮猫科技以来,被问到频率较高的一般无外乎两个问题:

 

如何快速地了解一家公司?不妨看看他们 CEO ,就能了解个大概。

薮猫科技联合创始人& CEO:王宇

 

 

// 01

谁是王宇???

 

他的履历在行业里,称之为顶级 EDR (Endpoint Detection and Response) 专家,不为过。

就如知名科技媒体浅黑科技介绍的那样(详细请点击英雄的白骨前,站着守望数据的少年):

这么说吧,在 360 如日中天的那几年,王宇作为「核心安全团队」的一员,就是负责日天的存在。
那时周鸿祎非常诚恳地鼓励大伙儿:“你们几位可千万别出错啊。。。用户一蓝屏,360就没了;360一没,你们也没了。。。”
如今,360还在。

 

 

// 02

一个好好做 EDR 的大佬,为啥会转战数据安全?

 

原因要从杀毒软件到 EDR 的演进说起。王宇如是说。

一代:AV

1980 ~ 2000 静态特征匹配

  • 着眼于计算机病毒、特洛伊木马等传统威胁
  • 提取并匹配二进制文件的静态特征

二代:EPP/HIDS

2000 ~ 2010 静态特征与动态行为结合

  • 着眼于新一代威胁,例如:Rootkit、恶意插件、流量木马、盗号软件等
  • 基于数字签名认证体系,提取并匹配样本的动态行为特征
  • 引入云安全与启发式扫描等概念,扩充并保护本地样本数据库与判别算法

三代:EDR/XDR

2010 ~ 至今 基于威胁全生命周期的感知与防护

  • 着眼于高级可持续威胁
  • 从单点被动防御到全局主动感知
  • 引入机器学习等方法,基于事件量化攻防态势

 

从攻防角度出发,不难发现安全至少经历了从「静态特征扫描」到「基于云查询的静态与动态行为分析」再到「威胁量化视角下的大规模态势感知」三次深刻的迭代。

而在数据安全领域,传统产品则更多是从静态、单点、合规的角度出发,没有以动态、综合、全局的视角审视问题,已经难以适应新时代的安全需要。而这,正是王宇觉得数据安全产品可以进一步探索的空间。

基于此,薮猫科技对于数据安全的理念可以简要概括为三个「不要」

不要静态地看待问题,而是从数据流转、量化分析的视角动态掌握资产的全生命周期;

不要割裂地看待问题,而是从主动到被动,从核心到泛数据安全,综合地看到并解决问题;

不要单一地看待问题,而是从办公网终端侧到生产网流量侧,从产品到服务,从顶层设计辅助到战略落地执行全面构建数据安全能力矩阵。

薮猫科技对于数据安全的理解独到并深刻,并在其产品能力矩阵里得以实践与落地,其中,青骓 DDR (Data Detection and Response),作为下一代 DLP,从动态、全局、综合的视角出发,测绘出数据地图与资产流向。帮助企业化混沌为清晰、化被动为主动,更好地把控并管理核心数据的安全。

 

 

// 03

那么问题又来了?顶级 EDR 专家打造的 DDR 能有什么亮点?

 

青骓 DDR 的亮点之一,关乎到王宇的一项特殊技能,这里又要引用下浅黑科技的描述了:

原先王宇负责研发的“360安全卫士”保卫电脑,需要做出很多“钩子”,强势插入 Windows 系统内核诸多“敏感点位”,每当系统要启动一个进程,或者“创建”“修改”“删除”一个文件时,都会触发钩子。
一刹那,赛博世界里的时间被按下 Pause 键。
钩子的另一端连接着 360 的拦截引擎和查杀引擎,就在时间凝固的当口,马上要执行的代码会从引擎火速通过,确定没有危害,才会按下 PLAY 键。
给你看下慢动作:
动图封面
 
这些钩子有多忙呢?算算看,单单在一台电脑上,每天就会被调用成千上万次,何况安装360的电脑还有几亿台。不夸张地说,这里的代码但凡哆嗦一下,轻松就把无数计算机同时拖慢几十倍,再稍微努努力直接把半个中国的 Windows 搞蓝屏也不难。。。
那几年在 360 闭关,王宇相当于在古墓里练了个《九阴真经》,对操作系统底层运转已经熟悉到了庖丁解鱼的程度,连每一个“接口调用”上捯八辈儿的演化历史都能说清楚。

 

有了这样的底子和底气,青骓 DDR 具备了「全生命周期数据监测」「敏感内容的级别继承与流转分析」等核心技术。

区别于传统 DLP,青骓 DDR 在内容精准识别的基础上,在「用户 - 终端 - 数据」关系的相互作用与融合下,能对数据的生成、更改、流转等生命周期节点进行追踪采集,并测绘出数据地图与资产流向。

同时,基于薮猫科技团队对在终端技术的沉淀与积累,青骓 DDR 全面支持 Windows、macOS、信创和 Linux 等多系统,并兼容不同版本。

从 EDR 到 DDR ,不是简单的从攻防视角转化为数据安全视角,而是对数据安全新理念和需求变化的深刻理解。薮猫科技到底在做什么?欢迎在留言区留下你的理解和答案。