0
網絡安全事件頻發,產品買了一堆,但組織單位的日常不是在“救火”,就是在“救火”的路上。問題根因到底在哪?
從組織單位安全建設的角度:一次攻擊事件的產生,會在多個路徑上留下攻擊痕跡。組織單位過去買了很多安全設備,單個設備僅能發現單一的攻擊痕跡,且設備之間各自為戰、檢測割裂,難以將多個節點的痕跡自動關聯成一個完整的安全事件,導致陷入海量告警中分身乏術;
從惡意黑客攻擊手法的角度:隨著惡意黑客的技戰術(TTP)手法不斷升級,過往的檢測設備只能捕捉到黑客的部分攻擊手法,因而存在大量誤報漏報,無法精準定位威脅;
從運維人員分析響應的角度:面對誤報漏報、分散在不同設備上的攻擊痕跡,需要運維人員從不同設備告警日志中尋找一個事件的攻擊痕跡,安全運維人員能力與精力有限,難以保障及時跟進告警分析與事件響應。
因此,面對威脅檢測響應難題,深信服在與用戶交流時,常常能聽到他們發出的「靈魂三連問」:
如何從海量告警中解脫,聚焦安全事件?
如何發現潛伏威脅,提升檢測精準度?
如何提高運營效能,省心省力還省錢?
粉碎威脅檢測與響應難題,直擊靈魂拷問,深信服可擴展檢測響應平臺SaaS XDR作出全新解答。
以入屋行竊為比喻,小偷會先在樓棟里踩點,對目標房間進行標記,確定最佳行動時機,撬開門鎖實施盜竊。可見一個安全事件的發生不是一蹴而就的,小偷踩點、做標記、撬門鎖等一舉一動都會留下痕跡。
惡意黑客的攻擊也是如此,通常以網絡(N:Network)、終端(E:Endpoint)行為為主。過去,每一步攻擊行為對應終端殺軟和流量檢測設備會分別告警,但網端兩側告警無法進行深度關聯分析,由此產生大量告警信息,而無法生成安全事件。
不同于全量數據采集,一種新型監控測量技術——遙測行為數據采集,能夠主動收集各遙測點與攻擊技戰術相關的行為數據,通過引擎將遙測數據進行聚合分析,及時捕獲攻擊行為及展示更多狀態信息,幫助用戶深度了解是否存在安全風險,甚至回溯已發生的安全事件,還原攻擊故事線。
深信服SaaS XDR正是通過采集關聯網絡側和終端側的遙測數據,如網絡連接信息、數據包關鍵內容、終端進程調用、計劃任務等,可覆蓋ATT&CK超163項攻擊手法,將端、網、云等遙測數據進行故事線關聯,構建完整、高質量的攻擊鏈,實現分鐘級入侵識別。
將海量告警通過自動化的檢測能力聚合,深信服SaaS XDR能夠有效削減離散的、海量的網端兩側原始告警信息,告警數量控制在有限人力可承擔范疇內,轉換為用戶能夠理解的安全事件,告警削減比例近90%。
如何理解IOA與IOC檢測技術?同樣以小偷入室盜竊為例,IOA檢測技術代表著小區安保能夠發現小偷踩點、標記、撬開門鎖的行為,及時制止小偷的盜竊行為,而IOC檢測技術則代表著小偷實施盜竊后,通過監控、指紋等證據追蹤抓到小偷。
由此可以理解,IOA 是在攻擊尚未得手階段,即時檢測出各種攻擊行為特征;IOC 則是在攻擊得手后,被攻陷系統呈現的各種失陷特征。IOC 檢測準確率高,但無法發現潛伏高級威脅。相較而言,IOA 能夠主動檢測,即時尋找可能發生攻擊的預警信號,例如代碼執行、持久駐留、隱蔽、C&C通信和橫向移動等,檢測難度較大,但能及時發現潛伏高級威脅。
深信服SaaS XDR將IOA與IOC檢測技術相結合,實現事中攻擊行為的持續監測與事后追蹤溯源的快速響應,這也意味著安全建設思路從被動防御轉向主動檢測。
然而,以往產生攻擊告警后,還需要運維人員分析確認是否為真實攻擊,排除可能產生的誤報。這個分析過程十分消耗時間,且需要物理接觸可疑終端,在異地辦公/分支機構等場景下基本不可能實現。
因此,深信服SaaS XDR還可以結合云端專家提供XTH威脅鑒定能力,持續進行事件挖掘,發現潛在威脅,在二次確認攻擊事件后,及時產出響應報告,由此降低誤報,事件檢測精準度高達99%。
深信服XDR通過SaaS化交付模式,帶來“四個高效”的全新體驗,有效幫助用戶實現省心省力:
本地只需部署相關采集設備和防護組件,與SaaS XDR平臺對接,即可完成安全運營方案交付和使用。
云端平臺擁有海量實時安全數據,結合威脅情報和專家研究,不斷構建最新的檢測算法和模型,持續增強檢測精度。
深信服XDR自動生成的所有安全事件都會經過云端專家做二次分析研判,確保安全事件99.9%準確率,用戶僅需進行處置,不用再擔心誤報問題,釋放運營壓力。
用戶可綁定微信,訂閱所需推送內容,實現及時查看安全事件詳情,并可一鍵快速處置,實現隔離、查殺等指令快速下發。
深信服XDR通過SaaS化豐富的存儲和計算資源,解決原有安全設備一次性投入成本高、版本更新難、可擴展性差等問題;同時可基于不同的場景時期對性能消耗的需求不同,彈性擴展,適配用戶的業務發展需要,由此,深信服SaaS XDR顯著降低投資建設成本和運營人資成本,實現更高性價的同時,安全事件處置效率提升近 70%。
面對數據上云,有些組織單位可能還心存疑慮:“我知道SaaS交付可以實現安全運維更高效、更高性價比,但如何保障安全性?”
在架構設計方面,深信服SaaS XDR建立加密兜底機制,即使被攻破也無法解密,同時通過深信服安全藍軍、安服團隊、外部機構持續進行攻擊演練。
在穩定性方面,基于托管云底座,深信服SaaS XDR穩定性SLA高達99.9%,通過安全運維團隊對平臺各項指標、日志、資源進行實時監控。
除了平臺自身能力,深信服SaaS XDR還可對接托管檢測與響應服務MDR,實現云地協同7*24小時在線,持續監測威脅和事件,從監測、判斷、調查到處置,服務專家實時處置閉環,定期匯總成果和分析安全趨勢,減輕運維人員日常工作壓力,讓安全工作省力省心。依托于“人機共智”和SaaS化模式,深信服MDR可以快速共享安全專家、工具、經驗,組織單位將以最佳投入產出比獲得TOP級單位的安全能力。
介紹了這么多,給大家劃一下重點:
一種基于SaaS的安全威脅檢測和事件響應平臺,通過原生的流量采集工具與端點采集工具將關鍵數據聚合,通過網端聚合分析引擎、上下文關聯分析,實現攻擊鏈深度溯源,結合托管檢測與響應服務MDR,釋放人員精力;同時具備可擴展的接口開放性,協同SOAR等產品,化繁為簡,帶來深度檢測、精準響應、持續生長的安全效果體驗。
網絡安全是一場永無止境的攻防對抗。
深信服SaaS XDR重新定義威脅檢測響應,
將主動權交到每個組織單位自己手上掌握,
化繁為簡,威脅無所遁形。
雷峰網(公眾號:雷峰網)
