“在我看來,這是一個跨時代的功能���,這標志著攻防雙方從此進入全面對抗��,而且是不同維度的對抗��?�!蔽⒉皆诰€TDP產(chǎn)品負責人趙林林在發(fā)布會的現(xiàn)場分享中如是介紹��。
此外���,在3月22日��,微步在線還宣布了對TDP產(chǎn)品性能的最新升級���。根據(jù)微步在線的消息,單臺10GB版TDP已經(jīng)正式對外發(fā)售��、開始服務客戶���。該版本的TDP在網(wǎng)絡抓包和流量處理方面都取得了突破性的性能改進�,流量量級在業(yè)內(nèi)處于領先地位��。由于云計算�����、大數(shù)據(jù)技術的高速發(fā)展�,目前大客戶所需的流量基本在10G以上,此次TDP的性能更新減少了單個項目所需的軟硬件數(shù)量�����,部署維護更簡單����,也降低了故障可能性。
內(nèi)核級結合�,流量和終端不再各自為戰(zhàn)
TDP和OneEDR的深度結合,意味著防守方企業(yè)不必再與攻擊者進行單點對抗��,而是能夠進入全面對抗的狀態(tài)�,相當于從單兵作戰(zhàn)進化為多兵種作戰(zhàn)。
首先���,TDP和OneEDR結合后���,企業(yè)安全人員可用的威脅分析維度增加了。由于威脅檢測和響應產(chǎn)品的場景化屬性非常強�,在可疑行為被發(fā)現(xiàn)后,僅憑流量和終端維度的分析����,企業(yè)安全人員無法判定某次可疑行為是否為攻擊行為、是否高風險����。但TDP和OneEDR結合后,流量側做分析時能將端作為一個分析因子�,端側做分析時也能將流量作為一個分析因子����,這就相當于讓企業(yè)安全人員對威脅的認知視角從一維進化到二維�����?���!耙约用艿膚ebshell為例,如果是在端上或者流量上發(fā)現(xiàn)了這個加密文件���,安全人員沒法判斷這個是不是惡意文件�����,只能歸類為可疑文件���。但如果我們的TDP告訴你,這個文件在流量和端上都加密了���,那么根據(jù)常識就知道���,這個文件大概率就是惡意的��。類似這種場景是可復制的�,因為多了一個可見的維度�,網(wǎng)絡威脅檢測能力就能得到大幅度提升?!壁w林林說�。
趙林林介紹說,目前行業(yè)中的許多網(wǎng)絡安全廠商都在流量檢測和終端檢測發(fā)力�����,推出的NDR和EDR產(chǎn)品也可以在一定程度上做到聯(lián)動���,但這兩種產(chǎn)品的聯(lián)動形態(tài)往往是粗糙����、初級的��,僅存在數(shù)據(jù)的互通��,無法在分析層面自動參照對方的提供的信息�。“以前NDR和EDR可以互為彼此的眼睛��,但無法在分析時使用同一個大腦。腦子不在一起��,就是假聯(lián)動�,”趙林林說,“而我們的TDP和OneEDR能夠在分析時深度結合�,真正做到了腦子在一起。我們未來會推出越來越多的安全產(chǎn)品�����,也會做到共用一個大腦�����?����!?/p>
主打流量檢測響應�����,落地威脅情報能力
那么�,TDP到底是一款什么的產(chǎn)品?趙林林指出了TDP的三個主要特性:基于情報、雙向全流量、檢測與響應并重��。
TDP的檢測基于威脅情報���。很多網(wǎng)絡安全產(chǎn)品的檢測方式是基于簽名����、規(guī)則�,或者AI算法,這些方式的共同特點是都從防守方角度出發(fā)���,去定義、歸納和猜測攻擊方具備什么樣的特征�、有什么樣的行為。而威脅情報是關于攻擊方的信息���,基礎的機讀威脅情報會提供攻擊者的IP��、域名����、惡意文件�、Hash值等,高級的人讀威脅情報則會提供攻擊者的TTPs(攻擊手法、攻擊技術和攻擊步驟)���,因此���,基于威脅情報的檢測意味著防守方不用單純依賴自己定義、歸納和猜測的信息���,可以直接把攻擊方的信息拿過來進行阻斷和進一步的分析溯源���。日常運維中,往往有百萬級的告警擺在安全人員面前�����,其中絕大多數(shù)都是誤報���。微步在線的威脅情報準確度是99.9%��,而TDP的告警準確率在經(jīng)過微步在線多個客戶的逐條檢驗后��,得出的平均值是99.97%����。是基于威脅情報的檢測能夠讓TDP的每一次告警都真實有效。
雙向全流量不僅意味著更全面的檢測�,還意味著更多維度的網(wǎng)絡攻擊信息。當TDP在檢測網(wǎng)絡攻擊時�����,進來的流量能讓TDP檢測到網(wǎng)絡攻擊的路徑���,也就是攻擊者做了什么��,而出去的流量則能讓TDP檢測到網(wǎng)絡攻擊的結果�����,也就是這次攻擊是否成功、且造成了什么影響��。這一點非常有價值��,因為安全運維人員應當優(yōu)先關注那些已經(jīng)攻擊成功且造成較大影響的攻擊事件���。所以�,TDP能夠在保證每次告警都真實有效時�����,把告警按照優(yōu)先級順序排序給安全人員展示出來,從而讓安全人員在應急響應時有序處理�,在第一時間把損失減到最小。
檢測與響應并重的設計����,讓安全人員能夠在發(fā)現(xiàn)問題之后一鍵處置,免于手動操作的繁瑣�。趙林林介紹,目前TDP能夠通過旁路網(wǎng)絡阻斷�����、聯(lián)動第三方防火墻設備���、終端取證查殺等多種方式做到處置的閉環(huán)���。
讓企業(yè)的安全人員不再干“臟活、累活”
趙林林特別強調(diào)了TDP在產(chǎn)品設計上如何注重用戶體驗����。他表示,不同層級的用戶會產(chǎn)生不同的需求���,安全團隊的負責人需要周期性關注安全態(tài)勢�,安全經(jīng)理則既關心風險和處置,也關心匯報和管理��,而對于企業(yè)的一線安全人員來說�,要優(yōu)先去處理哪些問題就是他們最關心的。因此����,TDP在進行產(chǎn)品設計的時候考慮到了所有層級的用戶需求。
TDP能夠為用戶提供整體安全態(tài)勢大屏感知及安全等級評估�����,還可以提供場景豐富�����,專業(yè)準確的報告�,滿足用戶多種匯報需求����。此外,TDP能夠靈活地個性化通知����,可以將系統(tǒng)運行狀態(tài)和安全告警分別推送給相應人員����。
在細節(jié)功能設計上���,TDP做了攻擊成功���、資產(chǎn)梳理、敏感行為定義等工作��,幫助客戶的安全運維人員增加攻擊判定維度����、提高檢測準確性,并且在設計功能時從甲方安全人員的需求出發(fā)��。趙林林以攻擊成功的功能為例進行了說明��。去判斷攻擊是否成功不需要太高的技術門檻��,但是網(wǎng)絡攻擊的種類很多���,而且每種攻擊的成功失敗都要做判斷�����,如果安全廠商要在產(chǎn)品中加入這個功能�,勢必耗費較多人力物力,正因如此����,TDP才要加入這個功能,用自動化的方式把這件事從客戶手中接過來���,釋放出甲方安全人員的精力��,讓他們?nèi)プ龈袃r值的事���。
關于微步在線:
微步在線是中國新一代網(wǎng)絡安全公司代表性企業(yè)、網(wǎng)絡威脅發(fā)現(xiàn)和響應專家����。公司持續(xù)將威脅情報能力產(chǎn)品化,推出基于流量和終端的“云+流量+端點”全方位威脅發(fā)現(xiàn)產(chǎn)品線并賦能給客戶�,幫助客戶建立全生命周期的威脅監(jiān)控體系。公司多次入選全球網(wǎng)絡安全500強�����,是2017-2020年唯一連續(xù)入選Gartner《全球威脅情報市場指南》的中國公司���,并獲“紅鯡魚亞洲100強”稱號����。
