长达197天的网络攻防战,胜利从来只属于专业主义

云视角

2019-10-25

科技云报道原创。


在肯尼亚选手基普乔格冲进终点线的那一刻,一项新的世界纪录诞生了:人类马拉松成绩首次迈入2小时大关。

有利的天气,更小的赛道坡度,41位冠军级配速员,最新科技的定制跑鞋......在一系列“武装到牙齿”的细节控制下,基普乔格才能够如此超越极限。

事实上,人类早已过了仅仅通过个人努力就能达到极限的时代。和基普乔格一样,无数奥运冠军、世界纪录创造者的背后,都站着专业主义的身影。

体育竞技是如此,网络攻防更是如此。在长达三十多年的网络安全发展中,网络世界已成为“炮火纷飞”的战场,攻防之间的对抗也走向了专业化。

数据显示,近五年内安全泄露事件增长67%,仅2018年网络犯罪攻击造成损失1300亿。在安全威胁不停增长,造成的损失越来越高的残酷现实下,还有一个数据更加令人心惊:

平均攻击识别时间(MTTD)增加至197天。

这意味着,攻击方是有组织、有规划的长期调研作案,在摸清了系统的漏洞和特点之后,再针对性的发起攻击。

相比之下,“手无寸铁”的企业,只能眼睁睁的看着自己变成“活靶子”,甚至连还手的资格都没有。

197天的网络攻防战,企业就赢不了吗?

安全防护模式的重新审视

安全界有句名言:“未知攻焉知防,未知防焉知攻”。在回答这个问题之前,企业先要搞清楚对手和双方实力的差异,才有对战的可能性。

30年前,计算机攻击还只是单个的病毒。30年后的今天,云计算、物联网、5G等新技术催生的大量新型网络威胁,已经不局限在病毒攻击这种单一的手段上。

除了攻击手段变得多样化,攻击策略也更加复杂和隐蔽,曾经还能被防病毒、防火墙、IPS等传统安全设备拦住的威胁,如今已经越来越难被发现了。

面对专业化的黑客攻击,企业方安全运维的现状却惨不忍睹:

· 国内企业信息安全投入仅为2%-3%,预算严重不足;

· 超过50%企业使用多种独立安全技术,安全产品碎片化导致信息孤岛;

· 超过55%的IT安全专家每天收到10000+条安全告警,难以发现未知的威胁;

· 2900万安全人员缺口,缺乏训练有素的安全人员进行日常运维......

从威胁的发现到响应,攻防双方正在产生越来越大的鸿沟。基于策略和规则的传统安全设备,甚至是基于行为分析的安全软件,在强大的网络攻击下似乎也显得力不从心。

这场实力悬殊的对战,驱动着网络安全行业从技术思想、方法论到产业思维进行演进,重新审视现有的安全防护模式,下一代威胁治理技术理念由此诞生:

威胁可感知,安全可运维。

短短十个字,沉淀了中国安全领域领跑者——亚信安全多年来的技术和实战经验,并凝结为一个简洁而强大的“XDR全景”解决方案,以有效解决持续演化的高级威胁和安全运营能力不匹配的难题。

亚信安全的“XDR交响乐”

先说威胁可感知。

传统安全防御策略,是将大量的安全产品组合起来,从网关到节点都部署一套安全设备,互相之间没有关联。一旦发现异常行为,安全设备各自诊断和响应,属于典型的“头痛医头,脚痛医脚”。

然而,如今的未知威胁无处不在,不仅能够巧妙的躲开防御规则,不再轻易的被单个安全设备“看见”,而且能够利用安全产品之间的裂缝进行攻击。大量的安全信息孤岛,导致了安全威胁的实时存在。

那么,是否存在一种威胁治理技术,能够将这些安全产品的数据关联起来,以整体性的视角来防御未知威胁呢?

在亚信安全首席研发官吴湘宁看来,如同5亿年前,物种进化史上关键的一步——三叶虫演化出适应环境的感知能力,从而进入生命大爆发的寒武纪时代,在网络威胁持续升级的今天,威胁治理技术也演化出最为关键的能力:感知。

拥有感知能力的安全防护系统,不再孤立的看待任何一个安全事件,而是通过跨越安全层,达成关联分析,归并离散的威胁告警,提炼带有上下文扩展属性的安全事件,优先联动处理威胁,从而系统化的提高防御能力。

在技术实现上,感知能力来源于网络及终端检测工具、高级威胁情报池等专业调查工具对威胁的检测和响应,同时基于大数据技术对实时数据进行关联分析或者溯源,以便在海量的数据中找到潜伏的威胁。

据吴湘宁介绍,这正是亚信安全新一代XDR平台的技术出发点,它将亚信安全的王牌技术——终端检测及响应EDR、网络检测及响应NDR联动起来,并结合XDR数据湖(Data Lake)、威胁运维平台(UAP)等工具对威胁进行大数据分析,从而在云管端形成一整套的威胁感知能力。

再说安全可运维。

Gartner数据表明,现在越来越多的SOC(现代安全运营中心)正在将从威胁预防转变为威胁检测和主动响应。到2022年,50%的SOC将包括事件响应、威胁情报和威胁发现能力。

虽然企业SOC趋势向好,但现实却很残酷,很多企业的安全人员有苦难言:

企业IT系统庞杂,安全运维难度很高,需要大量的人力资源投入;安全平台告警太多,无法判断真正的威胁所在;防御手段滞后,防御永远跟不上威胁的发展步伐......

更不用说大多数的中小企业,连专业的安全运维人员都没有,完全不具备安全防护的能力。

在现实的困境面前,很多企业出现了一种“怪现象”:买了不少安全设备,却连出厂设置都没有改过,大量的安全投入就此“打了水漂”。

未知威胁当前,打败企业的第一道关口竟然是“用不起来”的安全产品。

为了降低企业用户的使用门槛和运营压力,亚信安全开始思考,如何为用户提供能够快速落地的威胁检测与防护的能力。对此,亚信安全提出了四大发力方向:

第一,可落地的威胁感知能力。将XDR平台威胁感知的能力,以标准化产品和行业解决方案的方式,提供给客户快速落地。

第二,标准化的威胁预案。将亚信安全多年经验总结出的威胁预案内置到XDR平台中,帮助客户在安全专业知识匮乏的情况下去应对各种威胁。

第三,自动化编排和联动的能力。XDR平台上的所有产品,能够自动化的完成安全协同和安全编排,发现和响应威胁更加的自动化、智能化。这样能够有效降低安全人员的工作压力,改进告警分类质量和速度等。

第四,可托管的安全专家团队。对于没有安全能力或者安全能力较弱的企业,由AI与安全专家协同工作的托管运维服务MDR,将有力的解决企业安全运维的痛点。

总体而言,亚信安全不再把安全防护看做是一个孤立的场景,而是把威胁感知和安全运维能力有效结合在一起,这正是亚信安全“XDR全景”解决方案的核心所在,持续不断的为客户提供安全解决方案,将安全真正落到实处。

正如亚信安全总裁陆光明所说:“亚信安全协助用户从被动安全事件处理向主动态势感知转变,全面提升高级威胁治理中的恢复补救能力,使用户真正具备高适应性能力、风险预测能力、遭受入侵后的对抗能力、被攻击后的恢复能力,确保数据泄露损失最小化。”

如同一台大型交响乐,“XDR全景”拥有了完整的演奏单元——云管端全线产品,丰富的乐谱——威胁预案,精心的编排——自动化和联动,专业的乐手——安全专家团队,以行云流水的顶尖技术,为用户奏响恢弘的安全之歌。

安全专业主义的胜利

回到开头的问题,企业能够在197天内打赢网络攻防战吗?让我们看看XDR全景的实战表现。

2019年3月11日,早上6点09分,某大型银行的DDEI邮件网关发现一个可疑病毒的钓鱼邮件。XDR平台首先把它送到沙箱,经过沙箱判断之后,在6点17分完成检测,确认它是全新的勒索病毒。

根据提前的预案,XDR自动把相关的威胁情报发送给云管端侧的产品。6点19分,这家银行的几十万台终端完成防护。

从发现未知威胁到完成响应,XDR总共只用了10分钟。

2019年6月初,护网行动期间,在攻方大规模的IP攻击下,某大型银行多台TDA(威胁发现设备)每天告警量高达80万条。

经过UAP平台(威胁运维平台)进行告警的汇总和过滤,并且通过预先设计好的APP接口,发送给分组设备,对攻击进行分析,之后把形成的威胁情报,送给网络侧的阻断产品Deep Edge,以自动化和精密编排的方式极大提高了效率。

相比其他安全厂商派出了近百人的安全运维团队驻场,亚信安全不仅只派出了几名员工,而且在XDR平台的支撑下,人工不需要做任何事情。

在轻松对抗激烈攻击的同时,亚信安全还成为护网行动中第一个发现0day漏洞的安全厂商。

2019年6月29号,某大型能源企业的安全设备ROA规则报警,然而在全球最新威胁情报中并没有这个文件恶意的告知。

亚信安全XDR开始调用NDR、EDR提供数源分析,发现原来这是一次利用未知漏洞发起的攻击行为。由于在漏洞没有攻破之前就被XDR侦测出来,大大减少了企业客户的运维压力。

为什么亚信安全XDR能够在安全实践中率获佳绩,让众多企业客户吃下“定心丸”?背后的重要原因,正是亚信安全始终坚持的“安全专业主义”——理念和技术的迭代创新,以及持续的行业深耕

自收购趋势科技中国以来,亚信安全已分别在云安全、身份安全、终端安全、态势感知、高级威胁治理,以及威胁情报领域拥有业界领先技术,同时亚信安全还是首家利用AI等新兴技术防御勒索病毒的安全厂商,是中国安全领域当之无愧的领跑者。

如今,XDR全景解决方案的落地,是对自身原有产品的升级和改造,可以说是亚信安全四年以来集大成的一个产品,拥有很高的技术壁垒,具体来看:

首先,威胁感知需要长时间的技术和知识沉淀,不是所有厂商都能实现。

一方面,基于威胁情报,安全厂商要有自己核心的技术和规则;另一方面,安全相关数据的积累和质量决定了感知能力的强弱。

亚信安全之所以拥有强大的未知威胁感知能力,来源于多年的观察和经验积累。

据亚信安全首席架构师徐业礼介绍,黑客对系统或者应用的攻击,其实有规律可循。看似利用漏洞、硬件、操作系统的攻击方式多样且复杂,但所有的攻击方式总结起来大概有两百多种。

亚信安全将这些核心攻击点全部记录在EDR,NDR等设备中,并通过威胁预案、大数据分析和溯源等方式,从而有效感知威胁,打击威胁。

其次,高度的产品化,体现着亚信安全的整体技术实力,例如:在对实时数据进行准确分析或者溯源的同时,还能不占用大量的系统、带宽、存储资源;多个安全产品能够联动起来,形成标准化的整体安全能力,并在众多企业客户中快速部署和应用起来。

再次,在自动化和编排方面,亚信安全XDR与Gartner提出的SOAR概念不谋而合,把各种安全能力通过不同的安全脚本来执行,其核心在于大量基于攻防场景的剧本,以及剧本中每个环节的脚本执行,这同样考验着厂商的知识库和经验沉淀。

目前,亚信安全已经积累了上千个剧本和执行脚本,通过快速灵巧的精密编排,使XDR适应更广泛的客户需求。

最后,在安全运维上,亚信安全实现了“大联动和小联动”的行业赋能。

由于亚信安全在运营商、政府、金融、能源等行业深耕多年,对于大型客户,亚信安全能够提供跨安全厂商的整体“大联动”解决方案,将XDR产品核心能力与客户具体业务场定制化能力结合起来。

对于中小客户,能够以易于落地的XDR全景解决方案,为更多客户提供“小联动”的系统化防御能力。

体育竞技的专业主义是追求极限,安全的专业主义是对抗攻击。在网络攻击和未知威胁日渐猖獗的今天,亚信安全以“威胁可感知,安全可运维”为内核,以“XDR全景”为利刃,将安全技术赋能给成千上万的企业,这是安全专业主义的胜利,也是安全理念与技术迭代创新的时代标杆。

【科技云报道原创】

微信公众账号:科技云报道

推荐文章