站長資訊網2021年3月17日,中國新一代網絡安全代表性公司、威脅情報領軍企業微步在線在“邁向XDR”E輪融資暨產品發布會上,正式宣布對外發布旗下威脅感知平臺Threat Detection Platform的新版本,在該版本中,基于流量做檢測響應的TDP能夠實現與微步在線旗下終端檢測響應產品OneEDR的內核級結合,形成“端點+流量”的檢測響應模式。
“在我看來,這是一個跨時代的功能,這標志著攻防雙方從此進入全面對抗,而且是不同維度的對抗。”微步在線TDP產品負責人趙林林在發布會的現場分享中如是介紹。
此外,在3月22日,微步在線還宣布了對TDP產品性能的最新升級。根據微步在線的消息,單臺10GB版TDP已經正式對外發售、開始服務客戶。該版本的TDP在網絡抓包和流量處理方面都取得了突破性的性能改進,流量量級在業內處于領先地位。由于云計算、大數據技術的高速發展,目前大客戶所需的流量基本在10G以上,此次TDP的性能更新減少了單個項目所需的軟硬件數量,部署維護更簡單,也降低了故障可能性。
內核級結合,流量和終端不再各自為戰
TDP和OneEDR的深度結合,意味著防守方企業不必再與攻擊者進行單點對抗,而是能夠進入全面對抗的狀態,相當于從單兵作戰進化為多兵種作戰。
首先,TDP和OneEDR結合后,企業安全人員可用的威脅分析維度增加了。由于威脅檢測和響應產品的場景化屬性非常強,在可疑行為被發現后,僅憑流量和終端維度的分析,企業安全人員無法判定某次可疑行為是否為攻擊行為、是否高風險。但TDP和OneEDR結合后,流量側做分析時能將端作為一個分析因子,端側做分析時也能將流量作為一個分析因子,這就相當于讓企業安全人員對威脅的認知視角從一維進化到二維。“以加密的webshell為例,如果是在端上或者流量上發現了這個加密文件,安全人員沒法判斷這個是不是惡意文件,只能歸類為可疑文件。但如果我們的TDP告訴你,這個文件在流量和端上都加密了,那么根據常識就知道,這個文件大概率就是惡意的。類似這種場景是可復制的,因為多了一個可見的維度,網絡威脅檢測能力就能得到大幅度提升。”趙林林說。
趙林林介紹說,目前行業中的許多網絡安全廠商都在流量檢測和終端檢測發力,推出的NDR和EDR產品也可以在一定程度上做到聯動,但這兩種產品的聯動形態往往是粗糙、初級的,僅存在數據的互通,無法在分析層面自動參照對方的提供的信息。“以前NDR和EDR可以互為彼此的眼睛,但無法在分析時使用同一個大腦。腦子不在一起,就是假聯動,”趙林林說,“而我們的TDP和OneEDR能夠在分析時深度結合,真正做到了腦子在一起。我們未來會推出越來越多的安全產品,也會做到共用一個大腦。”
主打流量檢測響應,落地威脅情報能力
那么,TDP到底是一款什么的產品?趙林林指出了TDP的三個主要特性:基于情報、雙向全流量、檢測與響應并重。
TDP的檢測基于威脅情報。很多網絡安全產品的檢測方式是基于簽名、規則,或者AI算法,這些方式的共同特點是都從防守方角度出發,去定義、歸納和猜測攻擊方具備什么樣的特征、有什么樣的行為。而威脅情報是關于攻擊方的信息,基礎的機讀威脅情報會提供攻擊者的IP、域名、惡意文件、Hash值等,高級的人讀威脅情報則會提供攻擊者的TTPs(攻擊手法、攻擊技術和攻擊步驟),因此,基于威脅情報的檢測意味著防守方不用單純依賴自己定義、歸納和猜測的信息,可以直接把攻擊方的信息拿過來進行阻斷和進一步的分析溯源。日常運維中,往往有百萬級的告警擺在安全人員面前,其中絕大多數都是誤報。微步在線的威脅情報準確度是99.9%,而TDP的告警準確率在經過微步在線多個客戶的逐條檢驗后,得出的平均值是99.97%。是基于威脅情報的檢測能夠讓TDP的每一次告警都真實有效。
雙向全流量不僅意味著更全面的檢測,還意味著更多維度的網絡攻擊信息。當TDP在檢測網絡攻擊時,進來的流量能讓TDP檢測到網絡攻擊的路徑,也就是攻擊者做了什么,而出去的流量則能讓TDP檢測到網絡攻擊的結果,也就是這次攻擊是否成功、且造成了什么影響。這一點非常有價值,因為安全運維人員應當優先關注那些已經攻擊成功且造成較大影響的攻擊事件。所以,TDP能夠在保證每次告警都真實有效時,把告警按照優先級順序排序給安全人員展示出來,從而讓安全人員在應急響應時有序處理,在第一時間把損失減到最小。
檢測與響應并重的設計,讓安全人員能夠在發現問題之后一鍵處置,免于手動操作的繁瑣。趙林林介紹,目前TDP能夠通過旁路網絡阻斷、聯動第三方防火墻設備、終端取證查殺等多種方式做到處置的閉環。
讓企業的安全人員不再干“臟活、累活”
趙林林特別強調了TDP在產品設計上如何注重用戶體驗。他表示,不同層級的用戶會產生不同的需求,安全團隊的負責人需要周期性關注安全態勢,安全經理則既關心風險和處置,也關心匯報和管理,而對于企業的一線安全人員來說,要優先去處理哪些問題就是他們最關心的。因此,TDP在進行產品設計的時候考慮到了所有層級的用戶需求。
TDP能夠為用戶提供整體安全態勢大屏感知及安全等級評估,還可以提供場景豐富,專業準確的報告,滿足用戶多種匯報需求。此外,TDP能夠靈活地個性化通知,可以將系統運行狀態和安全告警分別推送給相應人員。
在細節功能設計上,TDP做了攻擊成功、資產梳理、敏感行為定義等工作,幫助客戶的安全運維人員增加攻擊判定維度、提高檢測準確性,并且在設計功能時從甲方安全人員的需求出發。趙林林以攻擊成功的功能為例進行了說明。去判斷攻擊是否成功不需要太高的技術門檻,但是網絡攻擊的種類很多,而且每種攻擊的成功失敗都要做判斷,如果安全廠商要在產品中加入這個功能,勢必耗費較多人力物力,正因如此,TDP才要加入這個功能,用自動化的方式把這件事從客戶手中接過來,釋放出甲方安全人員的精力,讓他們去做更有價值的事。
關于微步在線:
微步在線是中國新一代網絡安全公司代表性企業、網絡威脅發現和響應專家。公司持續將威脅情報能力產品化,推出基于流量和終端的“云+流量+端點”全方位威脅發現產品線并賦能給客戶,幫助客戶建立全生命周期的威脅監控體系。公司多次入選全球網絡安全500強,是2017-2020年唯一連續入選Gartner《全球威脅情報市場指南》的中國公司,并獲“紅鯡魚亞洲100強”稱號。
特別提醒:本網內容轉載自其他媒體,目的在于傳遞更多信息,并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯系我們,本站將會在24小時內處理完畢。
