站长之家用户 - 传媒 2022-05-10 10:59

深度检测·响应·持续生长,深信服SaaS XDR来了

网络安全事件频发,产品买了一堆,但组织单位的日常不是在“救火”,就是在“救火”的路上。问题根因到底在哪?

从组织单位安全建设的角度:一次攻击事件的产生,会在多个路径上留下攻击痕迹。组织单位过去买了很多安全设备,单个设备仅能发现单一的攻击痕迹,且设备之间各自为战、检测割裂,难以将多个节点的痕迹自动关联成一个完整的安全事件,导致陷入海量告警中分身乏术;

从恶意黑客攻击手法的角度:随着恶意黑客的技战术(TTP)手法不断升级,过往的检测设备只能捕捉到黑客的部分攻击手法,因而存在大量误报漏报,无法精准定位威胁;

从运维人员分析响应的角度:面对误报漏报、分散在不同设备上的攻击痕迹,需要运维人员从不同设备告警日志中寻找一个事件的攻击痕迹,安全运维人员能力与精力有限,难以保障及时跟进告警分析与事件响应。

因此,面对威胁检测响应难题,深信服在与用户交流时,常常能听到他们发出的「灵魂三连问」:

如何从海量告警中解脱,聚焦安全事件?

如何发现潜伏威胁,提升检测精准度?

如何提高运营效能,省心省力还省钱?

粉碎威胁检测与响应难题,直击灵魂拷问,深信服可扩展检测响应平台SaaS XDR作出全新解答。

 

Part1

以入屋行窃为比喻,小偷会先在楼栋里踩点,对目标房间进行标记,确定最佳行动时机,撬开门锁实施盗窃。可见一个安全事件的发生不是一蹴而就的,小偷踩点、做标记、撬门锁等一举一动都会留下痕迹。

恶意黑客的攻击也是如此,通常以网络(N:Network)、终端(E:Endpoint)行为为主。过去,每一步攻击行为对应终端杀软和流量检测设备会分别告警,但网端两侧告警无法进行深度关联分析,由此产生大量告警信息,而无法生成安全事件。

不同于全量数据采集,一种新型监控测量技术——遥测行为数据采集,能够主动收集各遥测点与攻击技战术相关的行为数据,通过引擎将遥测数据进行聚合分析,及时捕获攻击行为及展示更多状态信息,帮助用户深度了解是否存在安全风险,甚至回溯已发生的安全事件,还原攻击故事线。

深信服SaaS XDR正是通过采集关联网络侧和终端侧的遥测数据,如网络连接信息、数据包关键内容、终端进程调用、计划任务等,可覆盖ATT&CK超163项攻击手法,将端、网、云等遥测数据进行故事线关联,构建完整、高质量的攻击链,实现分钟级入侵识别。

将海量告警通过自动化的检测能力聚合,深信服SaaS XDR能够有效削减离散的、海量的网端两侧原始告警信息,告警数量控制在有限人力可承担范畴内,转换为用户能够理解的安全事件,告警削减比例近90%。

Part2

如何理解IOA与IOC检测技术?同样以小偷入室盗窃为例,IOA检测技术代表着小区安保能够发现小偷踩点、标记、撬开门锁的行为,及时制止小偷的盗窃行为,而IOC检测技术则代表着小偷实施盗窃后,通过监控、指纹等证据追踪抓到小偷。

由此可以理解,IOA 是在攻击尚未得手阶段,即时检测出各种攻击行为特征;IOC 则是在攻击得手后,被攻陷系统呈现的各种失陷特征。IOC 检测准确率高,但无法发现潜伏高级威胁。相较而言,IOA 能够主动检测,即时寻找可能发生攻击的预警信号,例如代码执行、持久驻留、隐蔽、C&C通信和横向移动等,检测难度较大,但能及时发现潜伏高级威胁。

深信服SaaS XDR将IOA与IOC检测技术相结合,实现事中攻击行为的持续监测与事后追踪溯源的快速响应,这也意味着安全建设思路从被动防御转向主动检测。

然而,以往产生攻击告警后,还需要运维人员分析确认是否为真实攻击,排除可能产生的误报。这个分析过程十分消耗时间,且需要物理接触可疑终端,在异地办公/分支机构等场景下基本不可能实现。

因此,深信服SaaS XDR还可以结合云端专家提供XTH威胁鉴定能力,持续进行事件挖掘,发现潜在威胁,在二次确认攻击事件后,及时产出响应报告,由此降低误报,事件检测精准度高达99%。

Part3

深信服XDR通过SaaS化交付模式,带来“四个高效”的全新体验,有效帮助用户实现省心省力:

1.开箱即用,高效交付上线

本地只需部署相关采集设备和防护组件,与SaaS XDR平台对接,即可完成安全运营方案交付和使用。

2.数据驱动,高效迭代能力

云端平台拥有海量实时安全数据,结合威胁情报和专家研究,不断构建最新的检测算法和模型,持续增强检测精度。

3.云端专家二次研判,高效分析响应

深信服XDR自动生成的所有安全事件都会经过云端专家做二次分析研判,确保安全事件99.9%准确率,用户仅需进行处置,不用再担心误报问题,释放运营压力。

4.微信订阅,高效获取事件信息与响应

用户可绑定微信,订阅所需推送内容,实现及时查看安全事件详情,并可一键快速处置,实现隔离、查杀等指令快速下发。

深信服XDR通过SaaS化丰富的存储和计算资源,解决原有安全设备一次性投入成本高、版本更新难、可扩展性差等问题;同时可基于不同的场景时期对性能消耗的需求不同,弹性扩展,适配用户的业务发展需要,由此,深信服SaaS XDR显著降低投资建设成本和运营人资成本,实现更高性价的同时,安全事件处置效率提升近70%。

面对数据上云,有些组织单位可能还心存疑虑:“我知道SaaS交付可以实现安全运维更高效、更高性价比,但如何保障安全性?”

在架构设计方面,深信服SaaS XDR建立加密兜底机制,即使被攻破也无法解密,同时通过深信服安全蓝军、安服团队、外部机构持续进行攻击演练。

在稳定性方面,基于托管云底座,深信服SaaS XDR稳定性SLA高达99.9%,通过安全运维团队对平台各项指标、日志、资源进行实时监控。

除了平台自身能力,深信服SaaS XDR还可对接托管检测与响应服务MDR,实现云地协同7*24小时在线,持续监测威胁和事件,从监测、判断、调查到处置,服务专家实时处置闭环,定期汇总成果和分析安全趋势,减轻运维人员日常工作压力,让安全工作省力省心。依托于“人机共智”和SaaS化模式,深信服MDR可以快速共享安全专家、工具、经验,组织单位将以最佳投入产出比获得TOP级单位的安全能力。

介绍了这么多,给大家划一下重点:

深信服可扩展检测响应平台XDR

一种基于SaaS的安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将关键数据聚合,通过网端聚合分析引擎、上下文关联分析,实现攻击链深度溯源,结合托管检测与响应服务MDR,释放人员精力;同时具备可扩展的接口开放性,协同SOAR等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验。

网络安全是一场永无止境的攻防对抗。

深信服SaaS XDR重新定义威胁检测响应,

将主动权交到每个组织单位自己手上掌握,

化繁为简,威胁无所遁形。

相关话题

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,文章为企业广告宣传内容,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,可及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈联系地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

推荐关键词

24小时热搜

查看更多内容

大家正在看

苏炳添起诉得物侵权