长达197天的网络攻防战,胜利从来只属于专业主义

在肯尼亚选手基普乔格冲进终点线的那一刻,一项新的世界纪录诞生了:人类马拉松成绩首次迈入2小时大关。

有利的天气,更小的赛道坡度,41位冠军级配速员,最新科技的定制跑鞋......在一系列“武装到牙齿”的细节控制下,基普乔格才能够如此超越极限。

事实上,人类早已过了仅仅通过个人努力就能达到极限的时代。和基普乔格一样,无数奥运冠军、世界纪录创造者的背后,都站着专业主义的身影。

体育竞技是如此,网络攻防更是如此。在长达三十多年的网络安全发展中,网络世界已成为“炮火纷飞”的战场,攻防之间的对抗也走向了专业化。

数据显示,近五年内安全泄露事件增长67%,仅2018年网络犯罪攻击造成损失1300亿。在安全威胁不停增长,造成的损失越来越高的残酷现实下,还有一个数据更加令人心惊:

平均攻击识别时间(MTTD)增加至197天。

这意味着,攻击方是有组织、有规划的长期调研作案,在摸清了系统的漏洞和特点之后,再针对性的发起攻击。

相比之下,“手无寸铁”的企业,只能眼睁睁的看着自己变成“活靶子”,甚至连还手的资格都没有。

197天的网络攻防战,企业就赢不了吗?

安全防护模式的重新审视

安全界有句名言:“未知攻焉知防,未知防焉知攻”。在回答这个问题之前,企业先要搞清楚对手和双方实力的差异,才有对战的可能性。

30年前,计算机攻击还只是单个的病毒。30年后的今天,云计算、物联网、5G等新技术催生的大量新型网络威胁,已经不局限在病毒攻击这种单一的手段上。

除了攻击手段变得多样化,攻击策略也更加复杂和隐蔽,曾经还能被防病毒、防火墙、IPS等传统安全设备拦住的威胁,如今已经越来越难被发现了。

面对专业化的黑客攻击,企业方安全运维的现状却惨不忍睹:

·国内企业信息安全投入仅为2%-3%,预算严重不足;

·超过50%企业使用多种独立安全技术,安全产品碎片化导致信息孤岛;

·超过55%的IT安全专家每天收到10000+条安全告警,难以发现未知的威胁;

·2900万安全人员缺口,缺乏训练有素的安全人员进行日常运维......

从威胁的发现到响应,攻防双方正在产生越来越大的鸿沟。基于策略和规则的传统安全设备,甚至是基于行为分析的安全软件,在强大的网络攻击下似乎也显得力不从心。

这场实力悬殊的对战,驱动着网络安全行业从技术思想、方法论到产业思维进行演进,重新审视现有的安全防护模式,下一代威胁治理技术理念由此诞生:

威胁可感知,安全可运维。

短短十个字,沉淀了中国安全领域领跑者——亚信安全多年来的技术和实战经验,并凝结为一个简洁而强大的“XDR全景”解决方案,以有效解决持续演化的高级威胁和安全运营能力不匹配的难题。

亚信安全的“XDR交响乐”

先说威胁可感知。

传统安全防御策略,是将大量的安全产品组合起来,从网关到节点都部署一套安全设备,互相之间没有关联。一旦发现异常行为,安全设备各自诊断和响应,属于典型的“头痛医头,脚痛医脚”。

然而,如今的未知威胁无处不在,不仅能够巧妙的躲开防御规则,不再轻易的被单个安全设备“看见”,而且能够利用安全产品之间的裂缝进行攻击。大量的安全信息孤岛,导致了安全威胁的实时存在。

那么,是否存在一种威胁治理技术,能够将这些安全产品的数据关联起来,以整体性的视角来防御未知威胁呢?

在亚信安全首席研发官吴湘宁看来,如同5亿年前,物种进化史上关键的一步——三叶虫演化出适应环境的感知能力,从而进入生命大爆发的寒武纪时代,在网络威胁持续升级的今天,威胁治理技术也演化出最为关键的能力:感知。

拥有感知能力的安全防护系统,不再孤立的看待任何一个安全事件,而是通过跨越安全层,达成关联分析,归并离散的威胁告警,提炼带有上下文扩展属性的安全事件,优先联动处理威胁,从而系统化的提高防御能力。

在技术实现上,感知能力来源于网络及终端检测工具、高级威胁情报池等专业调查工具对威胁的检测和响应,同时基于大数据技术对实时数据进行关联分析或者溯源,以便在海量的数据中找到潜伏的威胁。

据吴湘宁介绍,这正是亚信安全新一代XDR平台的技术出发点,它将亚信安全的王牌技术——终端检测及响应EDR、网络检测及响应NDR联动起来,并结合XDR数据湖(Data Lake)、威胁运维平台(UAP)等工具对威胁进行大数据分析,从而在云管端形成一整套的威胁感知能力。

再说安全可运维。

Gartner数据表明,现在越来越多的SOC(现代安全运营中心)正在将从威胁预防转变为威胁检测和主动响应。到2022年,50%的SOC将包括事件响应、威胁情报和威胁发现能力。

虽然企业SOC趋势向好,但现实却很残酷,很多企业的安全人员有苦难言:

企业IT系统庞杂,安全运维难度很高,需要大量的人力资源投入;安全平台告警太多,无法判断真正的威胁所在;防御手段滞后,防御永远跟不上威胁的发展步伐......

更不用说大多数的中小企业,连专业的安全运维人员都没有,完全不具备安全防护的能力。

在现实的困境面前,很多企业出现了一种“怪现象”:买了不少安全设备,却连出厂设置都没有改过,大量的安全投入就此“打了水漂”。

未知威胁当前,打败企业的第一道关口竟然是“用不起来”的安全产品。

为了降低企业用户的使用门槛和运营压力,亚信安全开始思考,如何为用户提供能够快速落地的威胁检测与防护的能力。对此,亚信安全提出了四大发力方向:

第一,可落地的威胁感知能力。将XDR平台威胁感知的能力,以标准化产品和行业解决方案的方式,提供给客户快速落地。

第二,标准化的威胁预案。将亚信安全多年经验总结出的威胁预案内置到XDR平台中,帮助客户在安全专业知识匮乏的情况下去应对各种威胁。

第三,自动化编排和联动的能力。XDR平台上的所有产品,能够自动化的完成安全协同和安全编排,发现和响应威胁更加的自动化、智能化。这样能够有效降低安全人员的工作压力,改进告警分类质量和速度等。

第四,可托管的安全专家团队。对于没有安全能力或者安全能力较弱的企业,由AI与安全专家协同工作的托管运维服务MDR,将有力的解决企业安全运维的痛点。

总体而言,亚信安全不再把安全防护看做是一个孤立的场景,而是把威胁感知和安全运维能力有效结合在一起,这正是亚信安全“XDR全景”解决方案的核心所在,持续不断的为客户提供安全解决方案,将安全真正落到实处。

正如亚信安全总裁陆光明所说:“亚信安全协助用户从被动安全事件处理向主动态势感知转变,全面提升高级威胁治理中的恢复补救能力,使用户真正具备高适应性能力、风险预测能力、遭受入侵后的对抗能力、被攻击后的恢复能力,确保数据泄露损失最小化。”

如同一台大型交响乐,“XDR全景”拥有了完整的演奏单元——云管端全线产品,丰富的乐谱——威胁预案,精心的编排——自动化和联动,专业的乐手——安全专家团队,以行云流水的顶尖技术,为用户奏响恢弘的安全之歌。

安全专业主义的胜利

回到开头的问题,企业能够在197天内打赢网络攻防战吗?让我们看看XDR全景的实战表现。

2019年3月11日,早上6点09分,某大型银行的DDEI邮件网关发现一个可疑病毒的钓鱼邮件。XDR平台首先把它送到沙箱,经过沙箱判断之后,在6点17分完成检测,确认它是全新的勒索病毒。

根据提前的预案,XDR自动把相关的威胁情报发送给云管端侧的产品。6点19分,这家银行的几十万台终端完成防护。

从发现未知威胁到完成响应,XDR总共只用了10分钟。

2019年6月初,护网行动期间,在攻方大规模的IP攻击下,某大型银行多台TDA(威胁发现设备)每天告警量高达80万条。

经过UAP平台(威胁运维平台)进行告警的汇总和过滤,并且通过预先设计好的APP接口,发送给分组设备,对攻击进行分析,之后把形成的威胁情报,送给网络侧的阻断产品Deep Edge,以自动化和精密编排的方式极大提高了效率。

相比其他安全厂商派出了近百人的安全运维团队驻场,亚信安全不仅只派出了几名员工,而且在XDR平台的支撑下,人工不需要做任何事情。

在轻松对抗激烈攻击的同时,亚信安全还成为护网行动中第一个发现0day漏洞的安全厂商。

2019年6月29号,某大型能源企业的安全设备ROA规则报警,然而在全球最新威胁情报中并没有这个文件恶意的告知。

亚信安全XDR开始调用NDR、EDR提供数源分析,发现原来这是一次利用未知漏洞发起的攻击行为。由于在漏洞没有攻破之前就被XDR侦测出来,大大减少了企业客户的运维压力。

为什么亚信安全XDR能够在安全实践中率获佳绩,让众多企业客户吃下“定心丸”?背后的重要原因,正是亚信安全始终坚持的“安全专业主义”——理念和技术的迭代创新,以及持续的行业深耕

自收购趋势科技中国以来,亚信安全已分别在云安全、身份安全、终端安全、态势感知、高级威胁治理,以及威胁情报领域拥有业界领先技术,同时亚信安全还是首家利用AI等新兴技术防御勒索病毒的安全厂商,是中国安全领域当之无愧的领跑者。

如今,XDR全景解决方案的落地,是对自身原有产品的升级和改造,可以说是亚信安全四年以来集大成的一个产品,拥有很高的技术壁垒,具体来看:

首先,威胁感知需要长时间的技术和知识沉淀,不是所有厂商都能实现。

一方面,基于威胁情报,安全厂商要有自己核心的技术和规则;另一方面,安全相关数据的积累和质量决定了感知能力的强弱。

亚信安全之所以拥有强大的未知威胁感知能力,来源于多年的观察和经验积累。

据亚信安全首席架构师徐业礼介绍,黑客对系统或者应用的攻击,其实有规律可循。看似利用漏洞、硬件、操作系统的攻击方式多样且复杂,但所有的攻击方式总结起来大概有两百多种。

亚信安全将这些核心攻击点全部记录在EDR,NDR等设备中,并通过威胁预案、大数据分析和溯源等方式,从而有效感知威胁,打击威胁。

其次,高度的产品化,体现着亚信安全的整体技术实力,例如:在对实时数据进行准确分析或者溯源的同时,还能不占用大量的系统、带宽、存储资源;多个安全产品能够联动起来,形成标准化的整体安全能力,并在众多企业客户中快速部署和应用起来。

再次,在自动化和编排方面,亚信安全XDR与Gartner提出的SOAR概念不谋而合,把各种安全能力通过不同的安全脚本来执行,其核心在于大量基于攻防场景的剧本,以及剧本中每个环节的脚本执行,这同样考验着厂商的知识库和经验沉淀。

目前,亚信安全已经积累了上千个剧本和执行脚本,通过快速灵巧的精密编排,使XDR适应更广泛的客户需求。

最后,在安全运维上,亚信安全实现了“大联动和小联动”的行业赋能。

由于亚信安全在运营商、政府、金融、能源等行业深耕多年,对于大型客户,亚信安全能够提供跨安全厂商的整体“大联动”解决方案,将XDR产品核心能力与客户具体业务场定制化能力结合起来。

对于中小客户,能够以易于落地的XDR全景解决方案,为更多客户提供“小联动”的系统化防御能力。

体育竞技的专业主义是追求极限,安全的专业主义是对抗攻击。在网络攻击和未知威胁日渐猖獗的今天,亚信安全以“威胁可感知,安全可运维”为内核,以“XDR全景”为利刃,将安全技术赋能给成千上万的企业,这是安全专业主义的胜利,也是安全理念与技术迭代创新的时代标杆。

【科技云报道原创】

微信公众账号:科技云报道


企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2019-10-25
长达197天的网络攻防战,胜利从来只属于专业主义
科技云报道原创。 在肯尼亚选手基普乔格冲进终点线的那一刻,一项新的世界纪录诞生了:人类马拉松成绩首次迈入2小时大关。 有利的天气,更小的赛道坡度,41位冠军级配速员,最新科技的定制跑鞋......在一

长按扫码 阅读全文

Baidu
map