为什么护网需要更实时的XDR平台？ – 作者:luweimm

2021年3月24日，极盾科技发布了国内首个实时自适应的XDR平台——析策，此前，析策帮助客户在一周国家级护网行动中取得了非常不错的效果，在高度人力对抗场景中成为客户的“护网神器”。

今天我们就来探讨为什么护网需要更实时的XDR平台，想必是大家期待已久的。

问题1：析策XDR平台在护网场景中的实用价值是什么？

回答：

以往企业的安全体系建设主要以合规为主，但是在面向定向攻击、突发安全事件时，企业能否从容应对、快速止损、精准溯源是需要打好几个问号的。

护网场景实际是通过实战来检验企业日常的安全威胁检测、预警、响应等方面的综合安全实力，依此来提前暴露企业的安全短板，帮助企业有针对性的加强安全体系建设，提升安全防护水平，从这一点来讲它跟等保2.0是相辅相成的，缺一不可；

回到企业安全体系建设当中，企业不得不面临安全数据孤岛、安全技术碎片化、场景化响应困难等问题，而在护网场景中，这三个问题会被无限放大；

1、我们看到在护网时，有些企业通过不断堆人的方式，一人盯一个安全设备，这也会造成效率低下，人力成本高等问题，究其原因，就是因为安全数据孤岛的问题，没有一个统一的平台能让安全人员可以进行统一查询、分析、应急响应。

2、传统的安全设备犹如一个个堡垒，各自为战，不能统一的关联分析，这就是安全技术碎片化问题，比如安全人员在WAF上看到有个IP在SQL注入，那么这个IP在其他安全设备上有什么攻击行为，需要关联才能知道，实际情况是，根本就没有一个平台能让安全人员很直观的知道这个IP在企业里面所有的安全设备上有什么攻击行为，这种情况下，安全威胁检测漏洞百出、顾此失彼；还有另外一点，在日常安全告警不需要很实时的触发，但是在护网场景下，就需要了，防守方能够毫秒级检测出攻击方，那就占据了一个非常有利的地位。

3、统一的安全分析需要把所有安全设备的日志收集上来分析，但是具体响应的那一下却只需要联动一个安全设备，他的关键点在于，场景化与自动化，场景化是这个IP应该在哪个WAF、哪个防火墙上封禁是最有效的，这个是需要安全人员判断的，如果这个过程我们可以提前定制与设计，变成自动化的，这会大大增强企业的安全响应能力。如果这一切全需要人为处理，那效率将会是多么低下，搞不好你还在想应该怎么封禁这个IP的时候，另外一个IP已悄然进入。

问题二：析策XDR平台在安全检测方面的独到之处是啥？

回答：

1、HW攻击队采取的攻击手段少不了前期的摸排、收集资产，反应在数据特征上是显而易见的，不管对方是多么小心，你做的事情总会比正常用户多很多，比如没有会去遍历整个C段，没有谁会去扫描65535个端口，不管时间长短，通过析策的策略模型是非常容易识别的；

2、HW攻击队一旦突破边界，拿下一台机器的时候，如何快速发现，这个通过析策平台的行为基线就能够一下识别，当攻击人员敲WHOAMI那一刻我们平台就预警了；

3、HW攻击队使用失陷机器，横向移动，想扩大战果时，他小心翼翼的探测还是扫描，最核心的特征他发生了身份变化，即从被攻击方变成攻击方，从数据特征上反应特别明显，我们的算法模型识别起来不是难事；还有很多攻防策略模型，就不一而足了。

析策XDR平台与其他安全工具的不同之处在于，它可以更集中、规范、关联来自多个源的数据。通过从多个来源收集和分析数据，打破企业安全数据孤岛，能够更有效的验证警报、减少误报并提升可靠性。同时，这也有助于减少安全团队浪费过多的时间在不准确的警报上。从而实现提升团队工作效率。

极盾析策产品架构

析策能对这些海量数据进行事件粒度的实时计算与分析。能够在数据到达系统后立刻进行多场景，多维度的风险分析, 检测到高风险时自动触发安全防御机制，并能将风险评估时延控制在毫秒级, 真正做到实时分析，实时防御，实时查询。

此外, 极盾析策还内置一套机器学习模块, 能够将安全运营专家经验和人工智能相结合, 对隐蔽且持续多变的安全威胁进行多角度分析, 自动适应个性化的网络环境, 并不断优化自身的安全防御机制。通过实时的析策XDR平台，为您构建安心的安全体系。

析策XDR平台融合了实时流计算、决策引擎、知识图谱、自适应AI算法等自研的核心技术，主打“实时检测”和“自适应“能力，10毫秒内返回安全检测结果，并通过自适应算法达成安全策略的一键调优。帮助客户提升已有安全设备的自动化运营能力、打破安全数据孤岛，打造“以数据为驱动”的安全运营闭环。

来源：freebuf.com 2021-04-09 17:31:34 by: luweimm