在肯尼亞選手基普喬格衝進終點線的那一刻,一項新的世界紀錄誕生了:人類馬拉松成績首次邁入2小時大關。
有利的天氣,更小的賽道坡度,41位冠軍級配速員,最新科技的定製跑鞋......在一系列“武裝到牙齒”的細節控制下,基普喬格才能夠如此超越極限。
事實上,人類早已過了僅僅通過個人努力就能達到極限的時代。和基普喬格一樣,無數奧運冠軍、世界紀錄創造者的背後,都站著專業主義的身影。
體育競技是如此,網絡攻防更是如此。在長達三十多年的網絡安全發展中,網絡世界已成為“炮火紛飛”的戰場,攻防之間的對抗也走向了專業化。
數據顯示,近五年內安全洩露事件增長67%,僅2018年網絡犯罪攻擊造成損失1300億。在安全威脅不停增長,造成的損失越來越高的殘酷現實下,還有一個數據更加令人心驚:
平均攻擊識別時間(MTTD)增加至197天。
這意味著,攻擊方是有組織、有規劃的長期調研作案,在摸清了系統的漏洞和特點之後,再針對性的發起攻擊。
相比之下,“手無寸鐵”的企業,只能眼睜睜的看著自己變成“活靶子”,甚至連還手的資格都沒有。
197天的網絡攻防戰,企業就贏不了嗎?
安全防護模式的重新審視
安全界有句名言:“未知攻焉知防,未知防焉知攻”。在回答這個問題之前,企業先要搞清楚對手和雙方實力的差異,才有對戰的可能性。
30年前,計算機攻擊還只是單個的病毒。30年後的今天,雲計算、物聯網、5G等新技術催生的大量新型網絡威脅,已經不侷限在病毒攻擊這種單一的手段上。
除了攻擊手段變得多樣化,攻擊策略也更加複雜和隱蔽,曾經還能被防病毒、防火牆、IPS等傳統安全設備攔住的威脅,如今已經越來越難被發現了。
面對專業化的黑客攻擊,企業方安全運維的現狀卻慘不忍睹:
· 國內企業信息安全投入僅為2%-3%,預算嚴重不足;
· 超過50%企業使用多種獨立安全技術,安全產品碎片化導致信息孤島;
· 超過55%的IT安全專家每天收到10000+條安全告警,難以發現未知的威脅;
· 2900萬安全人員缺口,缺乏訓練有素的安全人員進行日常運維......
從威脅的發現到響應,攻防雙方正在產生越來越大的鴻溝。基於策略和規則的傳統安全設備,甚至是基於行為分析的安全軟件,在強大的網絡攻擊下似乎也顯得力不從心。
這場實力懸殊的對戰,驅動著網絡安全行業從技術思想、方法論到產業思維進行演進,重新審視現有的安全防護模式,下一代威脅治理技術理念由此誕生:
威脅可感知,安全可運維。
短短十個字,沉澱了中國安全領域領跑者——亞信安全多年來的技術和實戰經驗,並凝結為一個簡潔而強大的“XDR全景”解決方案,以有效解決持續演化的高級威脅和安全運營能力不匹配的難題。
亞信安全的“XDR交響樂”
先說威脅可感知。
傳統安全防禦策略,是將大量的安全產品組合起來,從網關到節點都部署一套安全設備,互相之間沒有關聯。一旦發現異常行為,安全設備各自診斷和響應,屬於典型的“頭痛醫頭,腳痛醫腳”。
然而,如今的未知威脅無處不在,不僅能夠巧妙的躲開防禦規則,不再輕易的被單個安全設備“看見”,而且能夠利用安全產品之間的裂縫進行攻擊。大量的安全信息孤島,導致了安全威脅的實時存在。
那麼,是否存在一種威脅治理技術,能夠將這些安全產品的數據關聯起來,以整體性的視角來防禦未知威脅呢?
在亞信安全首席研發官吳湘寧看來,如同5億年前,物種進化史上關鍵的一步——三葉蟲演化出適應環境的感知能力,從而進入生命大爆發的寒武紀時代,在網絡威脅持續升級的今天,威脅治理技術也演化出最為關鍵的能力:感知。
擁有感知能力的安全防護系統,不再孤立的看待任何一個安全事件,而是通過跨越安全層,達成關聯分析,歸併離散的威脅告警,提煉帶有上下文擴展屬性的安全事件,優先聯動處理威脅,從而系統化的提高防禦能力。
在技術實現上,感知能力來源於網絡及終端檢測工具、高級威脅情報池等專業調查工具對威脅的檢測和響應,同時基於大數據技術對實時數據進行關聯分析或者溯源,以便在海量的數據中找到潛伏的威脅。
據吳湘寧介紹,這正是亞信安全新一代XDR平臺的技術出發點,它將亞信安全的王牌技術——終端檢測及響應EDR、網絡檢測及響應NDR聯動起來,並結合XDR數據湖(Data Lake)、威脅運維平臺(UAP)等工具對威脅進行大數據分析,從而在雲管端形成一整套的威脅感知能力。
再說安全可運維。
Gartner數據表明,現在越來越多的SOC(現代安全運營中心)正在將從威脅預防轉變為威脅檢測和主動響應。到2022年,50%的SOC將包括事件響應、威脅情報和威脅發現能力。
雖然企業SOC趨勢向好,但現實卻很殘酷,很多企業的安全人員有苦難言:
企業IT系統龐雜,安全運維難度很高,需要大量的人力資源投入;安全平臺告警太多,無法判斷真正的威脅所在;防禦手段滯後,防禦永遠跟不上威脅的發展步伐......
更不用說大多數的中小企業,連專業的安全運維人員都沒有,完全不具備安全防護的能力。
在現實的困境面前,很多企業出現了一種“怪現象”:買了不少安全設備,卻連出廠設置都沒有改過,大量的安全投入就此“打了水漂”。
未知威脅當前,打敗企業的第一道關口竟然是“用不起來”的安全產品。
為了降低企業用戶的使用門檻和運營壓力,亞信安全開始思考,如何為用戶提供能夠快速落地的威脅檢測與防護的能力。對此,亞信安全提出了四大發力方向:
第一,可落地的威脅感知能力。將XDR平臺威脅感知的能力,以標準化產品和行業解決方案的方式,提供給客戶快速落地。
第二,標準化的威脅預案。將亞信安全多年經驗總結出的威脅預案內置到XDR平臺中,幫助客戶在安全專業知識匱乏的情況下去應對各種威脅。
第三,自動化編排和聯動的能力。XDR平臺上的所有產品,能夠自動化的完成安全協同和安全編排,發現和響應威脅更加的自動化、智能化。這樣能夠有效降低安全人員的工作壓力,改進告警分類質量和速度等。
第四,可託管的安全專家團隊。對於沒有安全能力或者安全能力較弱的企業,由AI與安全專家協同工作的託管運維服務MDR,將有力的解決企業安全運維的痛點。
總體而言,亞信安全不再把安全防護看做是一個孤立的場景,而是把威脅感知和安全運維能力有效結合在一起 ,這正是亞信安全“XDR全景”解決方案的核心所在,持續不斷的為客戶提供安全解決方案,將安全真正落到實處。
正如亞信安全總裁陸光明所說:“亞信安全協助用戶從被動安全事件處理向主動態勢感知轉變,全面提升高級威脅治理中的恢復補救能力,使用戶真正具備高適應性能力、風險預測能力、遭受入侵後的對抗能力、被攻擊後的恢復能力,確保數據洩露損失最小化。”
如同一臺大型交響樂,“XDR全景”擁有了完整的演奏單元——雲管端全線產品,豐富的樂譜——威脅預案,精心的編排——自動化和聯動,專業的樂手——安全專家團隊,以行雲流水的頂尖技術,為用戶奏響恢弘的安全之歌。
安全專業主義的勝利
回到開頭的問題,企業能夠在197天內打贏網絡攻防戰嗎?讓我們看看XDR全景的實戰表現。
2019年3月11日,早上6點09分,某大型銀行的DDEI郵件網關發現一個可疑病毒的釣魚郵件。XDR平臺首先把它送到沙箱,經過沙箱判斷之後,在6點17分完成檢測,確認它是全新的勒索病毒。
根據提前的預案,XDR自動把相關的威脅情報發送給雲管端側的產品。6點19分,這家銀行的幾十萬臺終端完成防護。
從發現未知威脅到完成響應,XDR總共只用了10分鐘。
2019年6月初,護網行動期間,在攻方大規模的IP攻擊下,某大型銀行多臺TDA(威脅發現設備)每天告警量高達80萬條。
經過UAP平臺(威脅運維平臺)進行告警的彙總和過濾,並且通過預先設計好的APP接口,發送給分組設備,對攻擊進行分析,之後把形成的威脅情報,送給網絡側的阻斷產品Deep Edge,以自動化和精密編排的方式極大提高了效率。
相比其他安全廠商派出了近百人的安全運維團隊駐場,亞信安全不僅只派出了幾名員工,而且在XDR平臺的支撐下,人工不需要做任何事情。
在輕鬆對抗激烈攻擊的同時,亞信安全還成為護網行動中第一個發現0day漏洞的安全廠商。
2019年6月29號,某大型能源企業的安全設備ROA規則報警,然而在全球最新威脅情報中並沒有這個文件惡意的告知。
亞信安全XDR開始調用NDR、EDR提供數源分析,發現原來這是一次利用未知漏洞發起的攻擊行為。由於在漏洞沒有攻破之前就被XDR偵測出來,大大減少了企業客戶的運維壓力。
為什麼亞信安全XDR能夠在安全實踐中率獲佳績,讓眾多企業客戶吃下“定心丸”?背後的重要原因,正是亞信安全始終堅持的“安全專業主義”——理念和技術的迭代創新,以及持續的行業深耕。
自收購趨勢科技中國以來,亞信安全已分別在雲安全、身份安全、終端安全、態勢感知、高級威脅治理,以及威脅情報領域擁有業界領先技術,同時亞信安全還是首家利用AI等新興技術防禦勒索病毒的安全廠商,是中國安全領域當之無愧的領跑者。
如今,XDR全景解決方案的落地,是對自身原有產品的升級和改造,可以說是亞信安全四年以來集大成的一個產品,擁有很高的技術壁壘,具體來看:
首先,威脅感知需要長時間的技術和知識沉澱,不是所有廠商都能實現。
一方面,基於威脅情報,安全廠商要有自己核心的技術和規則;另一方面,安全相關數據的積累和質量決定了感知能力的強弱。
亞信安全之所以擁有強大的未知威脅感知能力,來源於多年的觀察和經驗積累。
據亞信安全首席架構師徐業禮介紹,黑客對系統或者應用的攻擊,其實有規律可循。看似利用漏洞、硬件、操作系統的攻擊方式多樣且複雜,但所有的攻擊方式總結起來大概有兩百多種。
亞信安全將這些核心攻擊點全部記錄在EDR,NDR等設備中,並通過威脅預案、大數據分析和溯源等方式,從而有效感知威脅,打擊威脅。
其次,高度的產品化,體現著亞信安全的整體技術實力,例如:在對實時數據進行準確分析或者溯源的同時,還能不佔用大量的系統、帶寬、存儲資源;多個安全產品能夠聯動起來,形成標準化的整體安全能力,並在眾多企業客戶中快速部署和應用起來。
再次,在自動化和編排方面,亞信安全XDR與Gartner提出的SOAR概念不謀而合,把各種安全能力通過不同的安全腳本來執行,其核心在於大量基於攻防場景的劇本,以及劇本中每個環節的腳本執行,這同樣考驗著廠商的知識庫和經驗沉澱。
目前,亞信安全已經積累了上千個劇本和執行腳本,通過快速靈巧的精密編排,使XDR適應更廣泛的客戶需求。
最後,在安全運維上,亞信安全實現了“大聯動和小聯動”的行業賦能。
由於亞信安全在運營商、政府、金融、能源等行業深耕多年,對於大型客戶,亞信安全能夠提供跨安全廠商的整體“大聯動”解決方案,將XDR產品核心能力與客戶具體業務場定製化能力結合起來。
對於中小客戶,能夠以易於落地的XDR全景解決方案,為更多客戶提供“小聯動”的系統化防禦能力。
體育競技的專業主義是追求極限,安全的專業主義是對抗攻擊。在網絡攻擊和未知威脅日漸猖獗的今天,亞信安全以“威脅可感知,安全可運維”為內核,以“XDR全景”為利刃,將安全技術賦能給成千上萬的企業,這是安全專業主義的勝利,也是安全理念與技術迭代創新的時代標杆。
閱讀更多 科技雲報道 的文章
