長達197天的網(wǎng)絡(luò)攻防戰(zhàn),勝利從來只屬于專業(yè)主義

在肯尼亞選手基普喬格沖進終點線的那一刻,一項新的世界紀(jì)錄誕生了:人類馬拉松成績首次邁入2小時大關(guān)。

有利的天氣,更小的賽道坡度,41位冠軍級配速員,最新科技的定制跑鞋......在一系列“武裝到牙齒”的細節(jié)控制下,基普喬格才能夠如此超越極限。

?

事實上,人類早已過了僅僅通過個人努力就能達到極限的時代。和基普喬格一樣,無數(shù)奧運冠軍、世界紀(jì)錄創(chuàng)造者的背后,都站著專業(yè)主義的身影。

體育競技是如此,網(wǎng)絡(luò)攻防更是如此。在長達三十多年的網(wǎng)絡(luò)安全發(fā)展中,網(wǎng)絡(luò)世界已成為“炮火紛飛”的戰(zhàn)場,攻防之間的對抗也走向了專業(yè)化。

數(shù)據(jù)顯示,近五年內(nèi)安全泄露事件增長67%,僅2018年網(wǎng)絡(luò)犯罪攻擊造成損失1300億。在安全威脅不停增長,造成的損失越來越高的殘酷現(xiàn)實下,還有一個數(shù)據(jù)更加令人心驚:

平均攻擊識別時間(MTTD)增加至197天。

這意味著,攻擊方是有組織、有規(guī)劃的長期調(diào)研作案,在摸清了系統(tǒng)的漏洞和特點之后,再針對性的發(fā)起攻擊。

相比之下,“手無寸鐵”的企業(yè),只能眼睜睜的看著自己變成“活靶子”,甚至連還手的資格都沒有。

197天的網(wǎng)絡(luò)攻防戰(zhàn),企業(yè)就贏不了嗎?

?

安全防護模式的重新審視

安全界有句名言:“未知攻焉知防,未知防焉知攻”。在回答這個問題之前,企業(yè)先要搞清楚對手和雙方實力的差異,才有對戰(zhàn)的可能性。

30年前,計算機攻擊還只是單個的病毒。30年后的今天,云計算、物聯(lián)網(wǎng)、5G等新技術(shù)催生的大量新型網(wǎng)絡(luò)威脅,已經(jīng)不局限在病毒攻擊這種單一的手段上。

除了攻擊手段變得多樣化,攻擊策略也更加復(fù)雜和隱蔽,曾經(jīng)還能被防病毒、防火墻、IPS等傳統(tǒng)安全設(shè)備攔住的威脅,如今已經(jīng)越來越難被發(fā)現(xiàn)了。

面對專業(yè)化的黑客攻擊,企業(yè)方安全運維的現(xiàn)狀卻慘不忍睹:

·國內(nèi)企業(yè)信息安全投入僅為2%-3%,預(yù)算嚴重不足;

·超過50%企業(yè)使用多種獨立安全技術(shù),安全產(chǎn)品碎片化導(dǎo)致信息孤島;

·超過55%的IT安全專家每天收到10000+條安全告警,難以發(fā)現(xiàn)未知的威脅;

·2900萬安全人員缺口,缺乏訓(xùn)練有素的安全人員進行日常運維......

?

從威脅的發(fā)現(xiàn)到響應(yīng),攻防雙方正在產(chǎn)生越來越大的鴻溝?;诓呗院鸵?guī)則的傳統(tǒng)安全設(shè)備,甚至是基于行為分析的安全軟件,在強大的網(wǎng)絡(luò)攻擊下似乎也顯得力不從心。

這場實力懸殊的對戰(zhàn),驅(qū)動著網(wǎng)絡(luò)安全行業(yè)從技術(shù)思想、方法論到產(chǎn)業(yè)思維進行演進,重新審視現(xiàn)有的安全防護模式,下一代威脅治理技術(shù)理念由此誕生:

威脅可感知,安全可運維。

短短十個字,沉淀了中國安全領(lǐng)域領(lǐng)跑者——亞信安全多年來的技術(shù)和實戰(zhàn)經(jīng)驗,并凝結(jié)為一個簡潔而強大的“XDR全景”解決方案,以有效解決持續(xù)演化的高級威脅和安全運營能力不匹配的難題。

?

亞信安全的“XDR交響樂”

先說威脅可感知。

傳統(tǒng)安全防御策略,是將大量的安全產(chǎn)品組合起來,從網(wǎng)關(guān)到節(jié)點都部署一套安全設(shè)備,互相之間沒有關(guān)聯(lián)。一旦發(fā)現(xiàn)異常行為,安全設(shè)備各自診斷和響應(yīng),屬于典型的“頭痛醫(yī)頭,腳痛醫(yī)腳”。

然而,如今的未知威脅無處不在,不僅能夠巧妙的躲開防御規(guī)則,不再輕易的被單個安全設(shè)備“看見”,而且能夠利用安全產(chǎn)品之間的裂縫進行攻擊。大量的安全信息孤島,導(dǎo)致了安全威脅的實時存在。

那么,是否存在一種威脅治理技術(shù),能夠?qū)⑦@些安全產(chǎn)品的數(shù)據(jù)關(guān)聯(lián)起來,以整體性的視角來防御未知威脅呢?

?

在亞信安全首席研發(fā)官吳湘寧看來,如同5億年前,物種進化史上關(guān)鍵的一步——三葉蟲演化出適應(yīng)環(huán)境的感知能力,從而進入生命大爆發(fā)的寒武紀(jì)時代,在網(wǎng)絡(luò)威脅持續(xù)升級的今天,威脅治理技術(shù)也演化出最為關(guān)鍵的能力:感知。

擁有感知能力的安全防護系統(tǒng),不再孤立的看待任何一個安全事件,而是通過跨越安全層,達成關(guān)聯(lián)分析,歸并離散的威脅告警,提煉帶有上下文擴展屬性的安全事件,優(yōu)先聯(lián)動處理威脅,從而系統(tǒng)化的提高防御能力。

在技術(shù)實現(xiàn)上,感知能力來源于網(wǎng)絡(luò)及終端檢測工具、高級威脅情報池等專業(yè)調(diào)查工具對威脅的檢測和響應(yīng),同時基于大數(shù)據(jù)技術(shù)對實時數(shù)據(jù)進行關(guān)聯(lián)分析或者溯源,以便在海量的數(shù)據(jù)中找到潛伏的威脅。

據(jù)吳湘寧介紹,這正是亞信安全新一代XDR平臺的技術(shù)出發(fā)點,它將亞信安全的王牌技術(shù)——終端檢測及響應(yīng)EDR、網(wǎng)絡(luò)檢測及響應(yīng)NDR聯(lián)動起來,并結(jié)合XDR數(shù)據(jù)湖(Data Lake)、威脅運維平臺(UAP)等工具對威脅進行大數(shù)據(jù)分析,從而在云管端形成一整套的威脅感知能力。

再說安全可運維。

Gartner數(shù)據(jù)表明,現(xiàn)在越來越多的SOC(現(xiàn)代安全運營中心)正在將從威脅預(yù)防轉(zhuǎn)變?yōu)橥{檢測和主動響應(yīng)。到2022年,50%的SOC將包括事件響應(yīng)、威脅情報和威脅發(fā)現(xiàn)能力。

雖然企業(yè)SOC趨勢向好,但現(xiàn)實卻很殘酷,很多企業(yè)的安全人員有苦難言:

企業(yè)IT系統(tǒng)龐雜,安全運維難度很高,需要大量的人力資源投入;安全平臺告警太多,無法判斷真正的威脅所在;防御手段滯后,防御永遠跟不上威脅的發(fā)展步伐......

更不用說大多數(shù)的中小企業(yè),連專業(yè)的安全運維人員都沒有,完全不具備安全防護的能力。

在現(xiàn)實的困境面前,很多企業(yè)出現(xiàn)了一種“怪現(xiàn)象”:買了不少安全設(shè)備,卻連出廠設(shè)置都沒有改過,大量的安全投入就此“打了水漂”。

未知威脅當(dāng)前,打敗企業(yè)的第一道關(guān)口竟然是“用不起來”的安全產(chǎn)品。

為了降低企業(yè)用戶的使用門檻和運營壓力,亞信安全開始思考,如何為用戶提供能夠快速落地的威脅檢測與防護的能力。對此,亞信安全提出了四大發(fā)力方向:

第一,可落地的威脅感知能力。將XDR平臺威脅感知的能力,以標(biāo)準(zhǔn)化產(chǎn)品和行業(yè)解決方案的方式,提供給客戶快速落地。

第二,標(biāo)準(zhǔn)化的威脅預(yù)案。將亞信安全多年經(jīng)驗總結(jié)出的威脅預(yù)案內(nèi)置到XDR平臺中,幫助客戶在安全專業(yè)知識匱乏的情況下去應(yīng)對各種威脅。

第三,自動化編排和聯(lián)動的能力。XDR平臺上的所有產(chǎn)品,能夠自動化的完成安全協(xié)同和安全編排,發(fā)現(xiàn)和響應(yīng)威脅更加的自動化、智能化。這樣能夠有效降低安全人員的工作壓力,改進告警分類質(zhì)量和速度等。

第四,可托管的安全專家團隊。對于沒有安全能力或者安全能力較弱的企業(yè),由AI與安全專家協(xié)同工作的托管運維服務(wù)MDR,將有力的解決企業(yè)安全運維的痛點。

總體而言,亞信安全不再把安全防護看做是一個孤立的場景,而是把威脅感知和安全運維能力有效結(jié)合在一起,這正是亞信安全“XDR全景”解決方案的核心所在,持續(xù)不斷的為客戶提供安全解決方案,將安全真正落到實處。

正如亞信安全總裁陸光明所說:“亞信安全協(xié)助用戶從被動安全事件處理向主動態(tài)勢感知轉(zhuǎn)變,全面提升高級威脅治理中的恢復(fù)補救能力,使用戶真正具備高適應(yīng)性能力、風(fēng)險預(yù)測能力、遭受入侵后的對抗能力、被攻擊后的恢復(fù)能力,確保數(shù)據(jù)泄露損失最小化?!?/p>

如同一臺大型交響樂,“XDR全景”擁有了完整的演奏單元——云管端全線產(chǎn)品,豐富的樂譜——威脅預(yù)案,精心的編排——自動化和聯(lián)動,專業(yè)的樂手——安全專家團隊,以行云流水的頂尖技術(shù),為用戶奏響恢弘的安全之歌。

安全專業(yè)主義的勝利

回到開頭的問題,企業(yè)能夠在197天內(nèi)打贏網(wǎng)絡(luò)攻防戰(zhàn)嗎?讓我們看看XDR全景的實戰(zhàn)表現(xiàn)。

2019年3月11日,早上6點09分,某大型銀行的DDEI郵件網(wǎng)關(guān)發(fā)現(xiàn)一個可疑病毒的釣魚郵件。XDR平臺首先把它送到沙箱,經(jīng)過沙箱判斷之后,在6點17分完成檢測,確認它是全新的勒索病毒。

根據(jù)提前的預(yù)案,XDR自動把相關(guān)的威脅情報發(fā)送給云管端側(cè)的產(chǎn)品。6點19分,這家銀行的幾十萬臺終端完成防護。

從發(fā)現(xiàn)未知威脅到完成響應(yīng),XDR總共只用了10分鐘。

?

2019年6月初,護網(wǎng)行動期間,在攻方大規(guī)模的IP攻擊下,某大型銀行多臺TDA(威脅發(fā)現(xiàn)設(shè)備)每天告警量高達80萬條。

經(jīng)過UAP平臺(威脅運維平臺)進行告警的匯總和過濾,并且通過預(yù)先設(shè)計好的APP接口,發(fā)送給分組設(shè)備,對攻擊進行分析,之后把形成的威脅情報,送給網(wǎng)絡(luò)側(cè)的阻斷產(chǎn)品Deep Edge,以自動化和精密編排的方式極大提高了效率。

相比其他安全廠商派出了近百人的安全運維團隊駐場,亞信安全不僅只派出了幾名員工,而且在XDR平臺的支撐下,人工不需要做任何事情。

在輕松對抗激烈攻擊的同時,亞信安全還成為護網(wǎng)行動中第一個發(fā)現(xiàn)0day漏洞的安全廠商。

?

2019年6月29號,某大型能源企業(yè)的安全設(shè)備ROA規(guī)則報警,然而在全球最新威脅情報中并沒有這個文件惡意的告知。

亞信安全XDR開始調(diào)用NDR、EDR提供數(shù)源分析,發(fā)現(xiàn)原來這是一次利用未知漏洞發(fā)起的攻擊行為。由于在漏洞沒有攻破之前就被XDR偵測出來,大大減少了企業(yè)客戶的運維壓力。

為什么亞信安全XDR能夠在安全實踐中率獲佳績,讓眾多企業(yè)客戶吃下“定心丸”?背后的重要原因,正是亞信安全始終堅持的“安全專業(yè)主義”——理念和技術(shù)的迭代創(chuàng)新,以及持續(xù)的行業(yè)深耕。

自收購趨勢科技中國以來,亞信安全已分別在云安全、身份安全、終端安全、態(tài)勢感知、高級威脅治理,以及威脅情報領(lǐng)域擁有業(yè)界領(lǐng)先技術(shù),同時亞信安全還是首家利用AI等新興技術(shù)防御勒索病毒的安全廠商,是中國安全領(lǐng)域當(dāng)之無愧的領(lǐng)跑者。

如今,XDR全景解決方案的落地,是對自身原有產(chǎn)品的升級和改造,可以說是亞信安全四年以來集大成的一個產(chǎn)品,擁有很高的技術(shù)壁壘,具體來看:

首先,威脅感知需要長時間的技術(shù)和知識沉淀,不是所有廠商都能實現(xiàn)。

一方面,基于威脅情報,安全廠商要有自己核心的技術(shù)和規(guī)則;另一方面,安全相關(guān)數(shù)據(jù)的積累和質(zhì)量決定了感知能力的強弱。

亞信安全之所以擁有強大的未知威脅感知能力,來源于多年的觀察和經(jīng)驗積累。

據(jù)亞信安全首席架構(gòu)師徐業(yè)禮介紹,黑客對系統(tǒng)或者應(yīng)用的攻擊,其實有規(guī)律可循??此评寐┒?、硬件、操作系統(tǒng)的攻擊方式多樣且復(fù)雜,但所有的攻擊方式總結(jié)起來大概有兩百多種。

亞信安全將這些核心攻擊點全部記錄在EDR,NDR等設(shè)備中,并通過威脅預(yù)案、大數(shù)據(jù)分析和溯源等方式,從而有效感知威脅,打擊威脅。

?

其次,高度的產(chǎn)品化,體現(xiàn)著亞信安全的整體技術(shù)實力,例如:在對實時數(shù)據(jù)進行準(zhǔn)確分析或者溯源的同時,還能不占用大量的系統(tǒng)、帶寬、存儲資源;多個安全產(chǎn)品能夠聯(lián)動起來,形成標(biāo)準(zhǔn)化的整體安全能力,并在眾多企業(yè)客戶中快速部署和應(yīng)用起來。

再次,在自動化和編排方面,亞信安全XDR與Gartner提出的SOAR概念不謀而合,把各種安全能力通過不同的安全腳本來執(zhí)行,其核心在于大量基于攻防場景的劇本,以及劇本中每個環(huán)節(jié)的腳本執(zhí)行,這同樣考驗著廠商的知識庫和經(jīng)驗沉淀。

目前,亞信安全已經(jīng)積累了上千個劇本和執(zhí)行腳本,通過快速靈巧的精密編排,使XDR適應(yīng)更廣泛的客戶需求。

最后,在安全運維上,亞信安全實現(xiàn)了“大聯(lián)動和小聯(lián)動”的行業(yè)賦能。

由于亞信安全在運營商、政府、金融、能源等行業(yè)深耕多年,對于大型客戶,亞信安全能夠提供跨安全廠商的整體“大聯(lián)動”解決方案,將XDR產(chǎn)品核心能力與客戶具體業(yè)務(wù)場定制化能力結(jié)合起來。

對于中小客戶,能夠以易于落地的XDR全景解決方案,為更多客戶提供“小聯(lián)動”的系統(tǒng)化防御能力。

?

體育競技的專業(yè)主義是追求極限,安全的專業(yè)主義是對抗攻擊。在網(wǎng)絡(luò)攻擊和未知威脅日漸猖獗的今天,亞信安全以“威脅可感知,安全可運維”為內(nèi)核,以“XDR全景”為利刃,將安全技術(shù)賦能給成千上萬的企業(yè),這是安全專業(yè)主義的勝利,也是安全理念與技術(shù)迭代創(chuàng)新的時代標(biāo)桿。

【科技云報道原創(chuàng)】

微信公眾賬號:科技云報道

來源:科技云報道

免責(zé)聲明:此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章,所有文字和圖片版權(quán)歸作者所有,且僅代表作者個人觀點,與極客網(wǎng)無關(guān)。文章僅供讀者參考,并請自行核實相關(guān)內(nèi)容。投訴郵箱:editor@fromgeek.com。

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2019-10-25
長達197天的網(wǎng)絡(luò)攻防戰(zhàn),勝利從來只屬于專業(yè)主義
科技云報道原創(chuàng)。在肯尼亞選手基普喬格沖進終點線的那一刻,一項新的世界紀(jì)錄誕生了:人類馬拉松成績首次邁入2小時大關(guān)。有利的天氣,更小的賽道坡度,41位冠軍級配速員,最新科技的定制跑鞋......在一

長按掃碼 閱讀全文