-
-
[分享]XDR大数据安全平台:让安全从点到面全方位防御网络威胁
-
发表于: 2024-10-17 10:42 1165
-
多年来,我们建设的防御体系在面对攻击者时显得无力,攻防不对称的问题日益严重。孙子兵法中有句名言:“知彼知己者,百战不殆;不知彼而知己,一胜一负;不知彼,不知己,每战必殆。”在网络安全中,战斗的本质就是对抗。我们需要比攻击者更快、更灵活,要先以攻击者的思维方式思考问题,了解攻击者的视角,才有可能在这场战争中取得胜利。然而,多年来的安全建设让我们购买了许多先进的防御武器,却并不了解自身的情况,或者只是从防御者的角度考虑,只关注已知IT资产的漏洞发现和修复。
传统的解决方案存在诸多问题,碎片化且维护成本高,导致信息孤岛,缺乏上下文信息,效率低下。安全运营人员常常被大量的告警、漏洞和事件所淹没,不知如何应对。而传统的人工方法、周期性的快照式检查以及工具化的方式已经无法有效应对攻击面不断扩大的网络风险和威胁。所以政企网络安全需要从“点”到“面”做全方位的网络防御体系。
什么是攻击面管理?
→ 2018年 ,Gartner在一次安全沙龙上督促CSO监测与管理攻击面。
→ 2019年分析师拉波特首次提出攻击面管理的概念,该分析师现在一家叫Cymru的攻击面管理公司。
→ 2022 年初Forrester 在发布的报告中将攻击面管理定义为“持续发现、识别、清点和评估实体 IT 资产风险的过程。
→ 2022年10月出的中国安全运营技术成熟度曲线报告中,Gartner对攻击面管理的定义是: 持续地发现、分类和评估组织所有资产的安全性,是人员、流程、技术和服务的有机结合。
→ 无论是那种说法,攻击面管理都是站在攻击者视角对内网安全进行评估,用攻击者视角运营防守方的资产安全。
那么赤豹XDR是怎么做的呢?
01 解决“语言”问题,打破信息孤岛
赤豹XDR大数据安全平台能将已有安全防护设备也纳入到了管理体系当中,“知彼”需先“知己”。
许多企业的网络安全能力由大量的安全产品堆叠而成,不同的产品负责不同的职能,对应不同的攻击面,各自为战;不同的产品可能来自于不同的安全厂商,产生的数据有自己的语言,彼此之间无法沟通。
面对这些混乱的语言,企业并不具备“翻译”能力,这样一来,不仅使得安全运营变得异常复杂,同时割裂了相互的可见性,最终限制了企业整体应对威胁的能力,让原本期望通过多个产品累加安全能力的初衷,变成了1+1<2。
赤豹XDR大数据安全平台能为企业建立一套安全“巴别塔”,通过强大的数据整合能力、灵活的策略联动能力,可以将各自为战的武器整合至一个统一的部队当中,真正做到共同作战,实现1+1>2。
XDR的核心是攻击链检测,“X”代表着以终端为起点的安全视野持续扩展。XDR将特定供应商的多类安全产品,原生地集成到一个统一的安全运行系统中,共享安全大数据,提供一体化威胁检测、告警管理和事件研判响应处置能力。
02 摸清家底,从攻击者视角绘制资产台账
资产在政企单位网络中扮演着基础组成元素的角色,它们直接面临着各种安全威胁。而资产与漏洞数据则成为了进行安全分析和安全运营的不可或缺的基础数据。
赤豹XDR大数据安全平台提供了针对攻击面资产与风险的全生命周期管理解决方案。通过从外部攻击面和全网攻击面的视角出发,我们利用情报、主动扫描、被动监测、终端保护、日志分析以及第三方数据等多种手段,全面审查企业内外网的资产与风险状况,并发现那些潜藏的未知影子资产。
赤豹XDR大数据安全平台内置了多种资产分类,并同时支持自定义资产模型。这意味着我们能够汇聚、加工和融合来自多个来源的风险数据,并基于资产和情报等多个维度,对漏洞进行优先级排序和处置。我们全面地展示和梳理了攻击面资产以及相关的风险情况,帮助广大客户深入了解自身网络情况,让他们可以"看见"自己。
03 大数据分析引擎,看见全网威胁
赤豹XDR大数据安全平台融合多重安全分析理念,构建大数据智能分析引擎,性能进一步优化,支撑领先的百万EPS分析性能,同时支持200+用户同时在线使用该系统。本次发布的2.0版本,在关联分析、XDR分析、威胁预警均进行了优化升级,预置开箱即用100+关联分析规则和1000+XDR分析规则,全面覆盖客户关注高的热门安全场景。
在告警展示方面,赤豹XDR大数据安全平台在威胁告警的逻辑结构、重点信息和易读性上进行深度优化和提升。支持多重安全分析机制协同运转,即时识别安全威胁,动态调整威胁等级,持续追踪高级别攻击事件。
在安全事件研判方面,赤豹XDR大数据安全平台以故事线叙述安全事件,关联以终端为核心等各种来源的数据,结合一体化资漏底图,形成针对攻击事件的全面视图,凸显高价值分析信息,直观看见相关证据和影响面大小,在海量数据中自动化梳理实体及实体间关系,加速研判效率。
04 协同处置,构建一体化作战指挥系统
赤豹XDR大数据安全平台通过跨产品、跨部门、跨层级的协同响应和指挥调度,对攻击活动进行统一响应、清理、修复、加固和通报,进而实现高效处置。
赤豹XDR大数据安全平台提供了高度开放的接口,能够对接任何厂商的日志,通过HTTP、SNMP等接口可与各个设备进行联动处置。
平台具备自动化响应处置能力,可以智能处置安全问题与事件,辅助运营人员决策处置,减少负担,提高效率。平台支持用户自定义剧本。对于发现的安全事件可自动启动预编排的响应流程,从而实现安全告警的自动化处置,从而实现事件快速、闭环处置。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)