2019年2月,微步在線正式宣布,旗下產(chǎn)品Web攻擊感知平臺(tái)Threat Detection Platform for Server(TDPS)推出2.0版本。經(jīng)過數(shù)年的迭代升級(jí),TDPS已經(jīng)具有準(zhǔn)確預(yù)警、溯源分析、資產(chǎn)梳理等多項(xiàng)成熟能力,實(shí)現(xiàn)攻擊行為準(zhǔn)確感知、攻擊過程完整追溯、攻擊成功精準(zhǔn)告警、企業(yè)實(shí)際暴露資產(chǎn)梳理等典型安全需求,目前已有金融、能源、互聯(lián)網(wǎng)、政務(wù)云等行業(yè)客戶。

用好威脅情報(bào),化繁為簡(jiǎn)、聚焦真正威脅

“網(wǎng)絡(luò)中只有兩種企業(yè),一種知道自己被黑了,另一種不知道?!边@已經(jīng)成為企業(yè)安全人員的共識(shí),要有效應(yīng)對(duì)網(wǎng)絡(luò)威脅,首先要承認(rèn)敵在暗我在明,想對(duì)企業(yè)發(fā)起攻擊的攻擊者們不計(jì)其數(shù)。既然無(wú)法防止攻擊的發(fā)生,就只能在攻擊發(fā)生后盡快察覺并阻斷。

真實(shí)的攻擊是綜合攻擊手法的疊加,橫跨各個(gè)應(yīng)用層面,但80%是來(lái)自于Web層面的。解決這80%來(lái)自Web的攻擊,將會(huì)解決企業(yè)日常安全運(yùn)營(yíng)中主要的威脅。而就威脅情報(bào)的角度來(lái)看,威脅情報(bào)在IP和攻擊情報(bào)能力上的邊界,又將在很大程度上影響攻擊感知能力的邊界。這是Web攻擊感知平臺(tái)的立足點(diǎn)。Web攻擊感知平臺(tái)以情報(bào)驅(qū)動(dòng),以攻擊感知為核心,企業(yè)安全人員只需要投入精力去關(guān)注首頁(yè)的兩個(gè)指標(biāo):攻擊成功、針對(duì)性攻擊。

攻擊成功是指給主機(jī)、網(wǎng)絡(luò)和業(yè)務(wù)造成實(shí)質(zhì)性的損害,或已經(jīng)控制或拿到數(shù)據(jù)。而針對(duì)性攻擊指標(biāo)意味著這些攻擊者并不是在廣撒網(wǎng),而是瞄準(zhǔn)了這家公司,即使對(duì)方?jīng)]有攻擊成功,安全人員也需要關(guān)注對(duì)方的活動(dòng)和行為。一旦攻擊成功威脅性可能更高。

微步在線將攻擊成功和針對(duì)性攻擊作為核心指標(biāo),能大大減輕數(shù)據(jù)噪聲,從而為企業(yè)安全人員節(jié)省工作時(shí)間。如果安全產(chǎn)品以告警為核心,那么安全人員將被每日數(shù)萬(wàn)乃至數(shù)十萬(wàn)的告警淹沒,不得不在大量的誤報(bào)中尋找真正有威脅的告警,而安全人員每日能夠處理的威脅大概在3-5起左右。Web攻擊感知平臺(tái)不僅能讓安全人員只關(guān)注真實(shí)存在風(fēng)險(xiǎn)的告警,還能夠智能聚合攻擊源,將多個(gè)告警匯總成為一次攻擊事件,從而將該次攻擊事件的時(shí)間線梳理出來(lái),并將相關(guān)日志都提取出來(lái)呈現(xiàn)給安全人員。

梳理客戶資產(chǎn),給客戶安全感

微步在線的核心創(chuàng)始團(tuán)隊(duì)基本來(lái)自于企業(yè)安全團(tuán)隊(duì),因此Web攻擊感知平臺(tái)在設(shè)計(jì)階段就致力于為客戶提供知己知彼的能力。

能夠妥善處理攻擊,靠的是威脅情報(bào)的一雙“慧眼”,分辨出來(lái)者是黑是白,這正是“知彼”,而當(dāng)企業(yè)無(wú)法探知網(wǎng)絡(luò)世界中來(lái)自外部的威脅時(shí),企業(yè)還可以將自身潛在的風(fēng)險(xiǎn)點(diǎn)梳理清楚,從風(fēng)險(xiǎn)點(diǎn)來(lái)反推自己可能會(huì)遭到哪些攻擊,這是“知己”。

因此,Web攻擊感知平臺(tái)單獨(dú)劃分出一個(gè)資產(chǎn)梳理模塊,針對(duì)企業(yè)對(duì)外開放的端口、后臺(tái)、IP和域名進(jìn)行盤點(diǎn)掃描,自動(dòng)發(fā)現(xiàn)企業(yè)有哪些潛在的風(fēng)險(xiǎn)點(diǎn)。一般情況下,資產(chǎn)盤點(diǎn)都需要大量的掃描網(wǎng)絡(luò),費(fèi)時(shí)費(fèi)力,而且如果服務(wù)器本身已經(jīng)負(fù)載過大,很容易引起宕機(jī)。Web攻擊感知平臺(tái)通過旁路檢測(cè)雙向流量,能夠自動(dòng)識(shí)別對(duì)外開放的端口和后臺(tái),不消耗資源,也不會(huì)給服務(wù)器帶來(lái)很大負(fù)擔(dān)。

資產(chǎn)盤點(diǎn)的一個(gè)好處是,當(dāng)一個(gè)網(wǎng)絡(luò)威脅發(fā)生后,安全人員能夠快速根據(jù)端口、服務(wù)、應(yīng)用的開放情況來(lái)推定此次網(wǎng)絡(luò)威脅對(duì)企業(yè)安全的影響,并且有的放矢地進(jìn)行處置,此外,在Web攻擊感知平臺(tái)中,還能通過盤點(diǎn)對(duì)外后臺(tái)來(lái)識(shí)別撞庫(kù)行為。

如果用戶是高手?

Web攻擊感知平臺(tái)不僅能夠減輕用戶的工作量,還為用戶保留了一個(gè)“自由模式”,如果用戶是一位安全高手,不滿足于產(chǎn)品內(nèi)的算法模型,想自主溯源一些威脅時(shí),要怎么操作?

微步在線的Web攻擊感知平臺(tái)會(huì)存儲(chǔ)企業(yè)全流量,并設(shè)計(jì)了一個(gè)“調(diào)查”模塊,專門用于溯源日志,其中按照攻擊相關(guān)、敏感行為、協(xié)議相關(guān)等字段進(jìn)行了分類,支持用戶對(duì)日志進(jìn)行靈活的條件式搜索,還可以連接到微步在線旗下的威脅情報(bào)搜索引擎,進(jìn)一步對(duì)可疑IP進(jìn)行溯源分析。

此外,Web攻擊感知平臺(tái)還能和態(tài)勢(shì)感知、WAF等安全防護(hù)系統(tǒng)結(jié)合,讓企業(yè)用戶能夠縱深向、多維度感知到安全態(tài)勢(shì),做好檢測(cè)和響應(yīng)工作。

關(guān)于微步在線:

微步在線成立于2015年,是國(guó)內(nèi)專注于提供威脅情報(bào)能力輸出的安全創(chuàng)新型企業(yè),已成為國(guó)內(nèi)威脅情報(bào)領(lǐng)軍品牌,提供專業(yè)的威脅檢測(cè)產(chǎn)品與服務(wù)。2017-2018年多次入選全球網(wǎng)絡(luò)安全500強(qiáng)(CyberSecurity 500),并成為唯一入選Gartner全球威脅情報(bào)市場(chǎng)指南的中國(guó)公司。

分享到

songjy

相關(guān)推薦