2021年3月24日,极盾科技发布了国内首个实时自适应的XDR平台——析策,此前,析策帮助客户在一周国家级护网行动中取得了非常不错的效果,在高度人力对抗场景中成为客户的“护网神器”。
今天我们就来探讨为什么护网需要更实时的XDR平台,想必是大家期待已久的。
问题1:析策XDR平台在护网场景中的实用价值是什么?
回答:
以往企业的安全体系建设主要以合规为主,但是在面向定向攻击、突发安全事件时,企业能否从容应对、快速止损、精准溯源是需要打好几个问号的。
护网场景实际是通过实战来检验企业日常的安全威胁检测、预警、响应等方面的综合安全实力,依此来提前暴露企业的安全短板,帮助企业有针对性的加强安全体系建设,提升安全防护水平,从这一点来讲它跟等保2.0是相辅相成的,缺一不可;
回到企业安全体系建设当中,企业不得不面临安全数据孤岛、安全技术碎片化、场景化响应困难等问题,而在护网场景中,这三个问题会被无限放大;
1、我们看到在护网时,有些企业通过不断堆人的方式,一人盯一个安全设备,这也会造成效率低下,人力成本高等问题,究其原因,就是因为安全数据孤岛的问题,没有一个统一的平台能让安全人员可以进行统一查询、分析、应急响应。
2、传统的安全设备犹如一个个堡垒,各自为战,不能统一的关联分析,这就是安全技术碎片化问题,比如安全人员在WAF上看到有个IP在SQL注入,那么这个IP在其他安全设备上有什么攻击行为,需要关联才能知道,实际情况是,根本就没有一个平台能让安全人员很直观的知道这个IP在企业里面所有的安全设备上有什么攻击行为,这种情况下,安全威胁检测漏洞百出、顾此失彼;还有另外一点,在日常安全告警不需要很实时的触发,但是在护网场景下,就需要了,防守方能够毫秒级检测出攻击方,那就占据了一个非常有利的地位。
3、统一的安全分析需要把所有安全设备的日志收集上来分析,但是具体响应的那一下却只需要联动一个安全设备,他的关键点在于,场景化与自动化,场景化是这个IP应该在哪个WAF、哪个防火墙上封禁是最有效的,这个是需要安全人员判断的,如果这个过程我们可以提前定制与设计,变成自动化的,这会大大增强企业的安全响应能力。如果这一切全需要人为处理,那效率将会是多么低下,搞不好你还在想应该怎么封禁这个IP的时候,另外一个IP已悄然进入。
问题二:析策XDR平台在安全检测方面的独到之处是啥?
回答:
1、HW攻击队采取的攻击手段少不了前期的摸排、收集资产,反应在数据特征上是显而易见的,不管对方是多么小心,你做的事情总会比正常用户多很多,比如没有会去遍历整个C段,没有谁会去扫描65535个端口,不管时间长短,通过析策的策略模型是非常容易识别的;
2、HW攻击队一旦突破边界,拿下一台机器的时候,如何快速发现,这个通过析策平台的行为基线就能够一下识别,当攻击人员敲WHOAMI那一刻我们平台就预警了;
3、HW攻击队使用失陷机器,横向移动,想扩大战果时,他小心翼翼的探测还是扫描,最核心的特征他发生了身份变化,即从被攻击方变成攻击方,从数据特征上反应特别明显,我们的算法模型识别起来不是难事;还有很多攻防策略模型,就不一而足了。
析策XDR平台与其他安全工具的不同之处在于,它可以更集中、规范、关联来自多个源的数据。通过从多个来源收集和分析数据,打破企业安全数据孤岛,能够更有效的验证警报、减少误报并提升可靠性。同时,这也有助于减少安全团队浪费过多的时间在不准确的警报上。从而实现提升团队工作效率。
极盾析策产品架构
析策能对这些海量数据进行事件粒度的实时计算与分析。能够在数据到达系统后立刻进行多场景,多维度的风险分析, 检测到高风险时自动触发安全防御机制,并能将风险评估时延控制在毫秒级, 真正做到实时分析,实时防御,实时查询。
此外, 极盾析策还内置一套机器学习模块, 能够将安全运营专家经验和人工智能相结合, 对隐蔽且持续多变的安全威胁进行多角度分析, 自动适应个性化的网络环境, 并不断优化自身的安全防御机制。通过实时的析策XDR平台,为您构建安心的安全体系。
析策XDR平台融合了实时流计算、决策引擎、知识图谱、自适应AI算法等自研的核心技术,主打“实时检测”和“自适应“能力,10毫秒内返回安全检测结果,并通过自适应算法达成安全策略的一键调优。帮助客户提升已有安全设备的自动化运营能力、打破安全数据孤岛,打造“以数据为驱动”的安全运营闭环。
来源:freebuf.com 2021-04-09 17:31:34 by: luweimm
请登录后发表评论
注册