科技、数字和网络新闻都成为公众关注的焦点。目前,互联网、科技和数字与我们的生活密切相关。我们应该为自己收取更多的费用,掌握更多的知识,以便掌握更多的信息,不断提高自己的个人能力。边肖今天整理了一篇关于互联网技术数字化方向的文章,希望大家喜欢。
2021年3月17日,中国新一代网络安全代表公司、威胁情报领军企业微步在线(Micro-step Online)在“走向XDR”E轮融资及产品发布会上,正式宣布发布其威胁检测平台新版本。在这个版本中,基于流量检测响应的TDP可以实现与Micro-step Online的终端检测响应产品OneEDR的内核级结合,形成“端点流量”的检测响应模式。
“在我看来,这是一个跨时代的作用,标志着攻守双方从此进入全面对抗,是不同维度的对抗。”微步在线TDP产品负责人赵林林在发布会现场分享中介绍。
另外,3月22日,威步在线也公布了TDP产品性能的最新升级。据微步在线消息,单个10GB TDP已经正式发布,开始为客户服务。这个版本的TDP在网络包捕获和流量处理方面实现了突破性的性能提升,流量水平在行业内处于领先地位。由于云计算和大数据技术的快速发展,大客户所需的流量基本在10 G以上,TDP的性能更新减少了单个项目所需的软硬件数量,使得部署和维护更加容易,降低了失败的可能性。
内核级集成,流量和终端不再互相争斗
TDP和OneEDR的深度结合,意味着防御型企业可以进入全面对抗的状态,而不是与攻击者进行单点对抗,相当于从单兵作战演变为多兵种作战。
首先,在TDP和OneEDR相结合后,企业安全人员可用的威胁分析维度增加了。由于威胁检测和响应产品的强场景属性,在发现可疑行为后,企业安全人员不能仅通过分析流量和终端维度来判断可疑行为是攻击还是高风险。但TDP和OneEDR结合后,流量侧可以以端为分析因子,端侧也可以以流量为分析因子,相当于让企业安全人员对威胁的认知视角从一维向二维演变。“以加密的webshell为例。如果在终端或流量上发现加密文件,安全人员无法判断是否是恶意文件,只能将其归类为可疑文件。然而,如果我们的TDP告诉你,这个文件在流量和终端上都是加密的,那么根据常识,这个文件是高度恶意的。像这样的场景可以复制,因为多了一个可见的维度,网络威胁检测能力可以大大提高。”赵林林说。
赵林林表示,目前业内很多网络安全厂商都在流量检测和终端检测方面下功夫,推出的NDR和EDR产品也可以有一定程度的联动,但这两个产品的联动形式往往比较粗糙和初级,只有数据交换,不能在分析层面自动参考对方提供的信息。“NDR和EDR曾经是彼此的眼睛,但他们无法用同一个大脑进行分析。如果大脑不在一起,这是一个错误的联系,”赵林林说。“我们的TDP和OneEDR可以在分析中深度结合,大脑真的在一起了。未来我们会推出越来越多的安全产品,我们也会共享一个大脑。”
主要交通探测响应、着陆威胁情报能力
那么,TDP是一种什么样的产品呢?赵林林指出了TDP的三个主要特点:以情报为基础,双向全流程,检测和响应并重。
TDP检测基于威胁情报。网络安全产品的许多检测方法都是基于签名、规则或人工智能算法。这些方法的共同特点是从防御方的角度来定义、总结、猜测攻击者有哪些特征和行为。虽然威胁情报是关于攻击者的信息,但基本的机器可读威胁情报将提供攻击者的IP、域名、恶意文件、哈希值等。而高级人类可读的威胁情报将提供攻击者的TTPs(攻击战术、攻击技术和攻击步骤)。因此,基于威胁情报的检测是指防御方可以直接获取攻击者的信息进行拦截和进一步的分析和追踪,而不仅仅依赖于自己定义、总结和猜测的信息。在日常运行维护中,保安人员面前往往有上百万的报警,其中大部分是误报警。微步在线的威胁情报准确率为99.9%,而TDP的报警准确率不过关
微步在线多个客户的逐条检验后,得出的平均值是99.97%。是基于威胁情报的检测能够让TDP的每一次告警都真实有效。双向全流量不仅意味着更全面的检测,还意味着更多维度的网络攻击信息。当TDP在检测网络攻击时,进来的流量能让TDP检测到网络攻击的路径,也就是攻击者做了什么,而出去的流量则能让TDP检测到网络攻击的结果,也就是这次攻击是否成功、且造成了什么影响。这一点非常有价值,因为安全运维人员应当优先关注那些已经攻击成功且造成较大影响的攻击事件。所以,TDP能够在保证每次告警都真实有效时,把告警按照优先级顺序排序给安全人员展示出来,从而让安全人员在应急响应时有序处理,在第一时间把损失减到最小。
检测与响应并重的设计,让安全人员能够在发现问题之后一键处置,免于手动操作的繁琐。赵林林介绍,目前TDP能够通过旁路网络阻断、联动第三方防火墙设备、终端取证查杀等多种方式做到处置的闭环。
让企业的安全人员不再干“脏活、累活”
赵林林特别强调了TDP在产品设计上如何注重用户体验。他表示,不同层级的用户会产生不同的需求,安全团队的负责人需要周期性关注安全态势,安全经理则既关心风险和处置,也关心汇报和管理,而对于企业的一线安全人员来说,要优先去处理哪些问题就是他们最关心的。因此,TDP在进行产品设计的时候考虑到了所有层级的用户需求。
TDP能够为用户提供整体安全态势大屏感知及安全等级评估,还可以提供场景丰富,专业准确的报告,满足用户多种汇报需求。此外,TDP能够灵活地个性化通知,可以将系统运行状态和安全告警分别推送给相应人员。
在细节功能设计上,TDP做了攻击成功、资产梳理、敏感行为定义等工作,帮助客户的安全运维人员增加攻击判定维度、提高检测准确性,并且在设计功能时从甲方安全人员的需求出发。赵林林以攻击成功的功能为例进行了说明。去判断攻击是否成功不需要太高的技术门槛,但是网络攻击的种类很多,而且每种攻击的成功失败都要做判断,如果安全厂商要在产品中加入这个功能,势必耗费较多人力物力,正因如此,TDP才要加入这个功能,用自动化的方式把这件事从客户手中接过来,释放出甲方安全人员的精力,让他们去做更有价值的事。
关于微步在线:
微步在线是中国新一代网络安全公司代表性企业、网络威胁发现和响应专家。公司持续将威胁情报能力产品化,推出基于流量和终端的“云+流量+端点”全方位威胁发现产品线并赋能给客户,帮助客户建立全生命周期的威胁监控体系。公司多次入选全球网络安全500强,是2017-2020年唯一连续入选Gartner《全球威胁情报市场指南》的中国公司,并获“红鲱鱼亚洲100强”称号。
版权声明:内容来源于互联网和用户投稿 如有侵权请联系删除