赤豹XDR大數據安全平臺:讓安全從點到面全方位防御網絡威脅
2023-07-28?來源:安全資訊
讓安全從點到面全方位防御網絡威脅
多年來,我們建設的防御體系在面對攻擊者時顯得無力,攻防不對稱的問題日益嚴重。
孫子兵法中有句名言:“知彼知己者,百戰不殆;不知彼而知己,一勝一負;不知彼,不知己,每戰必殆。”在網絡安全中,戰斗的本質就是對抗。
我們需要比攻擊者更快、更靈活,要先以攻擊者的思維方式思考問題,了解攻擊者的視角,才有可能在這場戰爭中取得勝利。
然而,多年來的安全建設讓我們購買了許多先進的防御武器,卻并不了解自身的情況,或者只是從防御者的角度考慮,只關注已知IT資產的漏洞發現和修復。
傳統的解決方案存在諸多問題,碎片化且維護成本高,導致信息孤島,缺乏上下文信息,效率低下。安全運營人員常常被大量的告警、漏洞和事件所淹沒,不知如何應對。而傳統的人工方法、周期性的快照式檢查以及工具化的方式已經無法有效應對攻擊面不斷擴大的網絡風險和威脅。所以政企網絡安全需要從“點”到“面”做全方位的網絡防御體系。
什么是攻擊面管理?
2018年 ,Gartner在一次安全沙龍上督促CSO監測與管理攻擊面。
2019年分析師拉波特首次提出攻擊面管理的概念,該分析師現在一家叫Cymru的攻擊面管理公司。
2022 年初Forrester 在發布的報告中將攻擊面管理定義為“持續發現、識別、清點和評估實體 IT 資產風險的過程。
2022年10月出的中國安全運營技術成熟度曲線報告中,Gartner對攻擊面管理的定義是: 持續地發現、分類和評估組織所有資產的安全性,是人員、流程、技術和服務的有機結合。
無論是那種說法,攻擊面管理都是站在攻擊者視角對內網安全進行評估,用攻擊者視角運營防守方的資產安全。
那么赤豹XDR是怎么做的呢?
01 解決“語言”問題,打破信息孤島
赤豹XDR大數據安全平臺能將已有安全防護設備也納入到了管理體系當中,“知彼”需先“知己”。
許多企業的網絡安全能力由大量的安全產品堆疊而成,不同的產品負責不同的職能,對應不同的攻擊面,各自為戰;不同的產品可能來自于不同的安全廠商,產生的數據有自己的語言,彼此之間無法溝通。
面對這些混亂的語言,企業并不具備“翻譯”能力,這樣一來,不僅使得安全運營變得異常復雜,同時割裂了相互的可見性,最終限制了企業整體應對威脅的能力,讓原本期望通過多個產品累加安全能力的初衷,變成了1+1<2。
赤豹XDR大數據安全平臺能為企業建立一套安全“巴別塔”,通過強大的數據整合能力、靈活的策略聯動能力,可以將各自為戰的武器整合至一個統一的部隊當中,真正做到共同作戰,實現1+1>2。
XDR的核心是攻擊鏈檢測,“X”代表著以終端為起點的安全視野持續擴展。XDR將特定供應商的多類安全產品,原生地集成到一個統一的安全運行系統中,共享安全大數據,提供一體化威脅檢測、告警管理和事件研判響應處置能力。
02 摸清家底,從攻擊者視角繪制資產臺賬
資產在政企單位網絡中扮演著基礎組成元素的角色,它們直接面臨著各種安全威脅。而資產與漏洞數據則成為了進行安全分析和安全運營的不可或缺的基礎數據。
赤豹XDR大數據安全平臺提供了針對攻擊面資產與風險的全生命周期管理解決方案。通過從外部攻擊面和全網攻擊面的視角出發,我們利用情報、主動掃描、被動監測、終端保護、日志分析以及第三方數據等多種手段,全面審查企業內外網的資產與風險狀況,并發現那些潛藏的未知影子資產。
赤豹XDR大數據安全平臺內置了多種資產分類,并同時支持自定義資產模型。這意味著我們能夠匯聚、加工和融合來自多個來源的風險數據,并基于資產和情報等多個維度,對漏洞進行優先級排序和處置。我們全面地展示和梳理了攻擊面資產以及相關的風險情況,幫助廣大客戶深入了解自身網絡情況,讓他們可以"看見"自己。
03 大數據分析引擎,看見全網威脅
赤豹XDR大數據安全平臺融合多重安全分析理念,構建大數據智能分析引擎,性能進一步優化,支撐領先的百萬EPS分析性能,同時支持200+用戶同時在線使用該系統。本次發布的2.0版本,在關聯分析、XDR分析、威脅預警均進行了優化升級,預置開箱即用100+關聯分析規則和1000+XDR分析規則,全面覆蓋客戶關注高的熱門安全場景。
在告警展示方面,赤豹XDR大數據安全平臺在威脅告警的邏輯結構、重點信息和易讀性上進行深度優化和提升。支持多重安全分析機制協同運轉,即時識別安全威脅,動態調整威脅等級,持續追蹤高級別攻擊事件。
在安全事件研判方面,赤豹XDR大數據安全平臺以故事線敘述安全事件,關聯以終端為核心等各種來源的數據,結合一體化資漏底圖,形成針對攻擊事件的全面視圖,凸顯高價值分析信息,直觀看見相關證據和影響面大小,在海量數據中自動化梳理實體及實體間關系,加速研判效率。
04 協同處置,構建一體化作戰指揮系統
赤豹XDR大數據安全平臺通過跨產品、跨部門、跨層級的協同響應和指揮調度,對攻擊活動進行統一響應、清理、修復、加固和通報,進而實現高效處置。
赤豹XDR大數據安全平臺提供了高度開放的接口,能夠對接任何廠商的日志,通過HTTP、SNMP等接口可與各個設備進行聯動處置。
平臺具備自動化響應處置能力,可以智能處置安全問題與事件,輔助運營人員決策處置,減少負擔,提高效率。平臺支持用戶自定義劇本。對于發現的安全事件可自動啟動預編排的響應流程,從而實現安全告警的自動化處置,從而實現事件快速、閉環處置。
