生物进化史上总是会有那么几个重要的节点,在网络安全进化的过程中也同样如此,如同生物进化史中出现了拥有眼睛的三叶虫,网络安全也开始通过进化具备感知与运维的能力,让安全问题不再局限于“头疼医头脚疼医脚”。
感知运维能力是进化的重要一步
今年二季度,中国区的勒索病毒已经占全球的20%,中国应对网络攻击的挑战越来越大。据悉,最近5年内,安全泄露事件增长67%,2018年网络犯罪攻击造成的损失达到1300亿美元,平均攻击识别时间增加至197天,平均攻击修复时间增加至69天。这些安全问题中,有意义的可视化能力极为关键但又很难做到,超过55%的IT安全专家每天收到超10000次的安全告警,超过50%的企业使用超25种的独立安全技术,然而这些巨量告警难以发现未知的威胁,可视化的孤岛又导致对风险态势的理解有限。
应对网络攻击的方式实际上与日常生活中的小区防盗有着异曲同工之处,那就是在原有主动防御等能力的情况下,还需要加入感知威胁的能力。亚信安全首席研发官吴湘宁用生物进化论的理论解释称,之所以三叶虫一演化史上的一个重要物种,就在于它有了感知器官—眼睛,从而具备了感知能力。
他还向媒体举了一个自己身边真实发生的生活案例,他发现尽管小区物业设有加强门禁系统、安防系统、巡逻系统,但还是会发生电瓶车被盗的案件,但当小区每个进出口都安装有摄像头后,盗窃案件居然戛然而止。原因就在于摄像头可以起到回溯的作用,从而保障了业主的资产安全。
实际上,亚信安全XDR的核心能力就在于感知能力和运维能力。过去十几年中,亚信安全的威胁侦测和发现能力一直被外界认可,同时还有大客户的安全服务能力和运维能力。吴湘宁表示:“安服要像优秀的餐厅服务人员一样,需要懂自己业务懂自己安全需求的人在你身边,而不是需要一个只懂产品只懂攻防的安服人员。”也就是说传统的突然式安服并不是真正的安服。
感知运维解决网络安全碎片化问题
作为网络安全进化史上的重要一步,感知运维能力的重要性就在于可以解决目前网络安全碎片化越来越严重的问题,就像是面对不同的安全问题,如果仍然是简单的头疼医头脚疼医脚,就相当于医院中的不同科室并没有形成联动,不能够立体化的解决问题。网络安全同样如此,面对服务器、云主机、容器、邮件、网络的安全需求,就如同心脏问题也需要考虑呼吸、血糖等问题,安全问题目前在云计算、5G、物联网等新技术演进的情况下,也需要系统化的来解决。
然而,作为在2013年出现的EDR概念(端点检测与响应)仅管在当时是技术的引领者,可以给客户带来安全能力的提升,实现自动化的关联、威胁狩猎技术分析及数据溯源等能力。但是,EDR作为一个好的开始,真正解决的是端点上的问题,对于物理服务器、云主机还没有实现覆盖。
而网络安全发展至今已经具备三个大特点:非对称性、实时性、纵深性。吴湘宁称:“今天产品的割裂已经严重制约了整个客户的安全预算或者安全投入的能力,他投了很多钱但是产生不了很好的效果,以前大量产品组合的时候,我们只要保证能力最小的那一块能够不被攻破或者有所提高,我们就可以做防护,但是产品之间的裂缝,更多的会被利用,大量的信息孤岛会导致安全威胁的实时存在。”
于是,亚信安全把威胁感知和安全运维能力进行结合,实现跨越安全层的关联与分析,配套整个XDR场景的全景进行发挥推广。
感知+运维的亚信安全XDR全景
XDR全景通过更广的可视化与安全专家分析,能更早地检测和更快地响应、运维,有效解决持续演化的高级威胁和安全运营能力不匹配的难题。全景意味着对未来安全防御和安全运维的理念,不是单单的孤立的场景,而是把威胁的感知和安全运维能力有效结合在一起,持续不断的为客户提供安全解决方案。
亚信网络安全产业研究院副院长徐业礼称:“亚信安全在全球范围及国内运营商领域不断加强威胁情报采集,通过自主核心引擎赋能网络安全产品与服务,而且持续研究利用云计算、大数据和人工智能等新兴技术为政企客户提供新型网络安全解决方案。本次XDR全景发布就是这一实践的具体落地。”
据了解,去年12月份亚信安全推出的XDR中主要为对于XDR、NDR、EDR三者的结合,而在全景中加入了TIP(高级威胁情报平台)与UAP(威胁运维平台)。UAP可以像牵手观音一样,自动化的运维检测共享,所有的信息集中呈现集中分析,将海量的威胁情报进行分析处理共享。
总体而言,亚信安全XDR全景包括了终端检测及响应EDR、网络检测及响应NDR、高级威胁情报平台TIP等专业的调查工具,应对各类高级威胁的标准化预案工作手册,以及由安全响应专家团队组成的托管检测及响应MDR。从产品构成上包含检测类(深度威胁发现设备TDA、深度威胁回溯设备TRA、高级威胁终端检测及响应系统CTDI)、分析类(深度威胁分析设备DDAN、高级威胁终端检测及响应系统CTDI、深度威胁回溯设备TRA)、响应类(网络防护网关AE、终端防护系统OfficeScan、服务器深度安全防护系统 Deep Security、深度威胁邮件网关 DDEI)、集中管控类(威胁运维平台(UAP)、控制管理中心TMCM)四大品类。
亚信安全产品管理总经理汪晨介绍:“在网络安全运营管理中,通过网络、端点、邮件、云主机等更多智能探针,用户可以将行为数据和威胁检测数据提交到XDR数据湖(Data Lake),通过威胁运维平台(UAP),形成自动化威胁检测、病毒清除、威胁狩猎、根因分析等。此外,亚信安全将采用AI与安全专家协同工作的托管运维服务(MDR),解决安全专家短缺问题,为用户提供第三方安全专家的检测报告、病毒清除、修复计划等,达到威胁检测更多、更简单,告警更少、更真实可靠的安全管理新高度。”