• 深度
  • 行業
  • 行業
  • 互動

長達197天的網絡攻防戰,勝利從來只屬于專業主義

科技云報道 2019-10-25

在肯尼亞選手基普喬格沖進終點線的那一刻,一項新的世界紀錄誕生了:人類馬拉松成績首次邁入2小時大關。

有利的天氣,更小的賽道坡度,41位冠軍級配速員,最新科技的定制跑鞋......在一系列“武裝到牙齒”的細節控制下,基普喬格才能夠如此超越極限。

?

事實上,人類早已過了僅僅通過個人努力就能達到極限的時代。和基普喬格一樣,無數奧運冠軍、世界紀錄創造者的背后,都站著專業主義的身影。

體育競技是如此,網絡攻防更是如此。在長達三十多年的網絡安全發展中,網絡世界已成為“炮火紛飛”的戰場,攻防之間的對抗也走向了專業化。

數據顯示,近五年內安全泄露事件增長67%,僅2018年網絡犯罪攻擊造成損失1300億。在安全威脅不停增長,造成的損失越來越高的殘酷現實下,還有一個數據更加令人心驚:

平均攻擊識別時間(MTTD)增加至197天。

這意味著,攻擊方是有組織、有規劃的長期調研作案,在摸清了系統的漏洞和特點之后,再針對性的發起攻擊。

相比之下,“手無寸鐵”的企業,只能眼睜睜的看著自己變成“活靶子”,甚至連還手的資格都沒有。

197天的網絡攻防戰,企業就贏不了嗎?

?

安全防護模式的重新審視

安全界有句名言:“未知攻焉知防,未知防焉知攻”。在回答這個問題之前,企業先要搞清楚對手和雙方實力的差異,才有對戰的可能性。

30年前,計算機攻擊還只是單個的病毒。30年后的今天,云計算、物聯網、5G等新技術催生的大量新型網絡威脅,已經不局限在病毒攻擊這種單一的手段上。

除了攻擊手段變得多樣化,攻擊策略也更加復雜和隱蔽,曾經還能被防病毒、防火墻、IPS等傳統安全設備攔住的威脅,如今已經越來越難被發現了。

面對專業化的黑客攻擊,企業方安全運維的現狀卻慘不忍睹:

·國內企業信息安全投入僅為2%-3%,預算嚴重不足;

·超過50%企業使用多種獨立安全技術,安全產品碎片化導致信息孤島;

·超過55%的IT安全專家每天收到10000+條安全告警,難以發現未知的威脅;

·2900萬安全人員缺口,缺乏訓練有素的安全人員進行日常運維......

?

從威脅的發現到響應,攻防雙方正在產生越來越大的鴻溝。基于策略和規則的傳統安全設備,甚至是基于行為分析的安全軟件,在強大的網絡攻擊下似乎也顯得力不從心。

這場實力懸殊的對戰,驅動著網絡安全行業從技術思想、方法論到產業思維進行演進,重新審視現有的安全防護模式,下一代威脅治理技術理念由此誕生:

威脅可感知,安全可運維。

短短十個字,沉淀了中國安全領域領跑者——亞信安全多年來的技術和實戰經驗,并凝結為一個簡潔而強大的“XDR全景”解決方案,以有效解決持續演化的高級威脅和安全運營能力不匹配的難題。

?

亞信安全的“XDR交響樂”

先說威脅可感知。

傳統安全防御策略,是將大量的安全產品組合起來,從網關到節點都部署一套安全設備,互相之間沒有關聯。一旦發現異常行為,安全設備各自診斷和響應,屬于典型的“頭痛醫頭,腳痛醫腳”。

然而,如今的未知威脅無處不在,不僅能夠巧妙的躲開防御規則,不再輕易的被單個安全設備“看見”,而且能夠利用安全產品之間的裂縫進行攻擊。大量的安全信息孤島,導致了安全威脅的實時存在。

那么,是否存在一種威脅治理技術,能夠將這些安全產品的數據關聯起來,以整體性的視角來防御未知威脅呢?

?

在亞信安全首席研發官吳湘寧看來,如同5億年前,物種進化史上關鍵的一步——三葉蟲演化出適應環境的感知能力,從而進入生命大爆發的寒武紀時代,在網絡威脅持續升級的今天,威脅治理技術也演化出最為關鍵的能力:感知。

擁有感知能力的安全防護系統,不再孤立的看待任何一個安全事件,而是通過跨越安全層,達成關聯分析,歸并離散的威脅告警,提煉帶有上下文擴展屬性的安全事件,優先聯動處理威脅,從而系統化的提高防御能力。

在技術實現上,感知能力來源于網絡及終端檢測工具、高級威脅情報池等專業調查工具對威脅的檢測和響應,同時基于大數據技術對實時數據進行關聯分析或者溯源,以便在海量的數據中找到潛伏的威脅。

據吳湘寧介紹,這正是亞信安全新一代XDR平臺的技術出發點,它將亞信安全的王牌技術——終端檢測及響應EDR、網絡檢測及響應NDR聯動起來,并結合XDR數據湖(Data Lake)、威脅運維平臺(UAP)等工具對威脅進行大數據分析,從而在云管端形成一整套的威脅感知能力。

再說安全可運維。

Gartner數據表明,現在越來越多的SOC(現代安全運營中心)正在將從威脅預防轉變為威脅檢測和主動響應。到2022年,50%的SOC將包括事件響應、威脅情報和威脅發現能力。

雖然企業SOC趨勢向好,但現實卻很殘酷,很多企業的安全人員有苦難言:

企業IT系統龐雜,安全運維難度很高,需要大量的人力資源投入;安全平臺告警太多,無法判斷真正的威脅所在;防御手段滯后,防御永遠跟不上威脅的發展步伐......

更不用說大多數的中小企業,連專業的安全運維人員都沒有,完全不具備安全防護的能力。

在現實的困境面前,很多企業出現了一種“怪現象”:買了不少安全設備,卻連出廠設置都沒有改過,大量的安全投入就此“打了水漂”。

未知威脅當前,打敗企業的第一道關口竟然是“用不起來”的安全產品。

為了降低企業用戶的使用門檻和運營壓力,亞信安全開始思考,如何為用戶提供能夠快速落地的威脅檢測與防護的能力。對此,亞信安全提出了四大發力方向:

第一,可落地的威脅感知能力。將XDR平臺威脅感知的能力,以標準化產品和行業解決方案的方式,提供給客戶快速落地。

第二,標準化的威脅預案。將亞信安全多年經驗總結出的威脅預案內置到XDR平臺中,幫助客戶在安全專業知識匱乏的情況下去應對各種威脅。

第三,自動化編排和聯動的能力。XDR平臺上的所有產品,能夠自動化的完成安全協同和安全編排,發現和響應威脅更加的自動化、智能化。這樣能夠有效降低安全人員的工作壓力,改進告警分類質量和速度等。

第四,可托管的安全專家團隊。對于沒有安全能力或者安全能力較弱的企業,由AI與安全專家協同工作的托管運維服務MDR,將有力的解決企業安全運維的痛點。

總體而言,亞信安全不再把安全防護看做是一個孤立的場景,而是把威脅感知和安全運維能力有效結合在一起,這正是亞信安全“XDR全景”解決方案的核心所在,持續不斷的為客戶提供安全解決方案,將安全真正落到實處。

正如亞信安全總裁陸光明所說:“亞信安全協助用戶從被動安全事件處理向主動態勢感知轉變,全面提升高級威脅治理中的恢復補救能力,使用戶真正具備高適應性能力、風險預測能力、遭受入侵后的對抗能力、被攻擊后的恢復能力,確保數據泄露損失最小化。”

如同一臺大型交響樂,“XDR全景”擁有了完整的演奏單元——云管端全線產品,豐富的樂譜——威脅預案,精心的編排——自動化和聯動,專業的樂手——安全專家團隊,以行云流水的頂尖技術,為用戶奏響恢弘的安全之歌。

安全專業主義的勝利

回到開頭的問題,企業能夠在197天內打贏網絡攻防戰嗎?讓我們看看XDR全景的實戰表現。

2019年3月11日,早上6點09分,某大型銀行的DDEI郵件網關發現一個可疑病毒的釣魚郵件。XDR平臺首先把它送到沙箱,經過沙箱判斷之后,在6點17分完成檢測,確認它是全新的勒索病毒。

根據提前的預案,XDR自動把相關的威脅情報發送給云管端側的產品。6點19分,這家銀行的幾十萬臺終端完成防護。

從發現未知威脅到完成響應,XDR總共只用了10分鐘。

?

2019年6月初,護網行動期間,在攻方大規模的IP攻擊下,某大型銀行多臺TDA(威脅發現設備)每天告警量高達80萬條。

經過UAP平臺(威脅運維平臺)進行告警的匯總和過濾,并且通過預先設計好的APP接口,發送給分組設備,對攻擊進行分析,之后把形成的威脅情報,送給網絡側的阻斷產品Deep Edge,以自動化和精密編排的方式極大提高了效率。

相比其他安全廠商派出了近百人的安全運維團隊駐場,亞信安全不僅只派出了幾名員工,而且在XDR平臺的支撐下,人工不需要做任何事情。

在輕松對抗激烈攻擊的同時,亞信安全還成為護網行動中第一個發現0day漏洞的安全廠商。

?

2019年6月29號,某大型能源企業的安全設備ROA規則報警,然而在全球最新威脅情報中并沒有這個文件惡意的告知。

亞信安全XDR開始調用NDR、EDR提供數源分析,發現原來這是一次利用未知漏洞發起的攻擊行為。由于在漏洞沒有攻破之前就被XDR偵測出來,大大減少了企業客戶的運維壓力。

為什么亞信安全XDR能夠在安全實踐中率獲佳績,讓眾多企業客戶吃下“定心丸”?背后的重要原因,正是亞信安全始終堅持的“安全專業主義”——理念和技術的迭代創新,以及持續的行業深耕

自收購趨勢科技中國以來,亞信安全已分別在云安全、身份安全、終端安全、態勢感知、高級威脅治理,以及威脅情報領域擁有業界領先技術,同時亞信安全還是首家利用AI等新興技術防御勒索病毒的安全廠商,是中國安全領域當之無愧的領跑者。

如今,XDR全景解決方案的落地,是對自身原有產品的升級和改造,可以說是亞信安全四年以來集大成的一個產品,擁有很高的技術壁壘,具體來看:

首先,威脅感知需要長時間的技術和知識沉淀,不是所有廠商都能實現。

一方面,基于威脅情報,安全廠商要有自己核心的技術和規則;另一方面,安全相關數據的積累和質量決定了感知能力的強弱。

亞信安全之所以擁有強大的未知威脅感知能力,來源于多年的觀察和經驗積累。

據亞信安全首席架構師徐業禮介紹,黑客對系統或者應用的攻擊,其實有規律可循。看似利用漏洞、硬件、操作系統的攻擊方式多樣且復雜,但所有的攻擊方式總結起來大概有兩百多種。

亞信安全將這些核心攻擊點全部記錄在EDR,NDR等設備中,并通過威脅預案、大數據分析和溯源等方式,從而有效感知威脅,打擊威脅。

?

其次,高度的產品化,體現著亞信安全的整體技術實力,例如:在對實時數據進行準確分析或者溯源的同時,還能不占用大量的系統、帶寬、存儲資源;多個安全產品能夠聯動起來,形成標準化的整體安全能力,并在眾多企業客戶中快速部署和應用起來。

再次,在自動化和編排方面,亞信安全XDR與Gartner提出的SOAR概念不謀而合,把各種安全能力通過不同的安全腳本來執行,其核心在于大量基于攻防場景的劇本,以及劇本中每個環節的腳本執行,這同樣考驗著廠商的知識庫和經驗沉淀。

目前,亞信安全已經積累了上千個劇本和執行腳本,通過快速靈巧的精密編排,使XDR適應更廣泛的客戶需求。

最后,在安全運維上,亞信安全實現了“大聯動和小聯動”的行業賦能。

由于亞信安全在運營商、政府、金融、能源等行業深耕多年,對于大型客戶,亞信安全能夠提供跨安全廠商的整體“大聯動”解決方案,將XDR產品核心能力與客戶具體業務場定制化能力結合起來。

對于中小客戶,能夠以易于落地的XDR全景解決方案,為更多客戶提供“小聯動”的系統化防御能力。

?

體育競技的專業主義是追求極限,安全的專業主義是對抗攻擊。在網絡攻擊和未知威脅日漸猖獗的今天,亞信安全以“威脅可感知,安全可運維”為內核,以“XDR全景”為利刃,將安全技術賦能給成千上萬的企業,這是安全專業主義的勝利,也是安全理念與技術迭代創新的時代標桿。

【科技云報道原創】

微信公眾賬號:科技云報道

(免責聲明:此文內容為第三方自媒體作者發布的觀察或評論性文章,所有文字和圖片版權歸作者所有,且僅代表作者個人觀點,與極客網無關。文章僅供讀者參考,并請自行核實相關內容。投訴郵箱:editor@fromgeek.com)

來源:科技云報道

標簽云計算
  • 科技云報道
    郵箱:caoceng@fromgeek.com
    有10年以上科技在記者、云計算專家傾情加盟,世界500強與4A公司營銷人所組成的前沿科技媒體,深入報道云計算、人工智能、大數據、AR/VR等垂直領域
    分享本文到