尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
本周二,亞信安全在京召開高級威脅治理十周年暨XDR戰略發布會,到場的安全專家從高級威脅治理,講到安全經營、自動化編排與響應,再到一切皆響應的XDR戰略。
趨勢科技(趨勢科技中國為亞信安全的前身),早在十多年前就開始涉足高級威脅防護的領域。從最早的威脅發現設備(TDA,2005年發布),到深度威脅發現產品平台(Deep Discovery,2007年) 的正式推出,再到2011年的SOC,2015年的APT治理戰略2.0,走到了今天的一切皆檢測與響應的XDR戰略。
一、安全經營的四個階段
SOC(安全經營中心)的概念和應用已經過有了很多年,但業內人熟知,SOC在中國的應用非常不成功,被人詬病。直到威脅情報、大數據、機器學習技術的引進,借助態勢感知的大潮,新一代SOC,或稱iSOC(智能SOC)開始興起。亞信安全認為,安全經營可分為由成熟度由高到低的四個階段,阻斷、發現、響應和預測:
- 早期階段:即基於策略、規則的防護技術,阻斷已知威脅;
- 進階階段:基於行為分析、大數據、機器學習,發現未知的威脅;
- 高級階段:系統可彈性恢復及安全自動化響應;
- 智能階段:主動預防和自我風險評估。
早期阻斷階段最為成熟,90%的用戶都能達到,但到了高級響應階段,只有極少用戶能夠達到。絕大部分用戶處於從發現到響應的過渡階段,面臨的典型問題,如被大量的報警淹沒,遠超安全經營人員的處理能力。說到這里,SOAR該登場了。
二、SOAR來了
安全編排、自動化及響應(SOAR),旨在快速檢測威脅、減少安全人工分析投入、做到快速響應,以提高安全經營的效率。從中可以看出,檢測與響應是SOAR的核心,目標直指SOC的最被詬病的問題。
亞信安全認為,從發現到響應的能力構成可分為四步:
1)告警受理:對警報進行分類以及劃分優先級,可用預處理腳本來自動化執行;
2)定性分析:判斷威脅的真實性,確認威脅的本質及攻擊者意圖,主要基於威脅情報和沙箱技術;
3)定量分析:調查取證,回溯攻擊場景,評估威脅的嚴重性、影響和範圍。可基於端點檢測與響應,網路流量分析,以及遠程檢測與響應(MDR);
4)響應:根據響應腳本,執行響應策略。可做到產品聯動,自動化執行響應腳本。
在Gartner的報告里,SOAR平台的核心組件為,編排與自動化、工作流引擎、案例與工單管理、威脅情報管理。而SOAR體系則是三個概念的交叉重疊:
1)精密編排的聯動安全解決方案(SOA);
2)事件應急響應平台(IR);
3)威脅情報平台(TI)。
在這個體系里,包括了APT防范、雲安全、態勢感知、身份管理、終端安全、威脅情報、取證溯源等產品技術,而這些技術正是亞信安全的優勢所在,全面覆蓋了SOAR體系。
亞信安全 SOAR 產品方案(完整版)
三、一切皆響應:XDR戰略
近幾年檢測與響應(DR)的大趨勢,已是不爭的事實。不管是端點安全、網路安全,還是遠程經營,都加上了個DR。EDR,NDR,MDR,SOAR……但在實際應用中,檢測還是占據主要地位。因此,亞信安全本次的發布會旨在呼籲業界重視響應能力的建設。非常有價值的是,亞信安全通過一些真實的應用案例,將整個安全經營過程總結為七個層級,值得業內人士的借鑒與參考。
準備 –> 發現 –> 分析 –> 遏制–> 消除 –> 恢復 –> 優化
「
現在,已經到了大力發展響應技術的時候了。
——亞信安全通用安全產品總經理童寧
安全牛評
高級威脅防禦從早期的漏洞掃描、威脅發現、安全經營,來到了強調調查取證、攻擊溯源、威脅捕捉等響應技術的今天,需要終端、網路與情報,或說雲管端三者的能力交疊。亞信安全恰恰在這三個方面均有著不小的技術優勢和豐富的經驗積累,這也是為什麼亞信安全成為國內首個發布XDR戰略的安全廠商。
