“在我看來����,這是一個跨時代的功能�����,這標(biāo)志著攻防雙方從此進(jìn)入全面對抗,而且是不同維度的對抗�����?����!蔽⒉皆诰€TDP產(chǎn)品負(fù)責(zé)人趙林林在發(fā)布會的現(xiàn)場分享中如是介紹����。
此外,在3月22日����,微步在線還宣布了對TDP產(chǎn)品性能的最新升級。根據(jù)微步在線的消息��,單臺10GB版TDP已經(jīng)正式對外發(fā)售��、開始服務(wù)客戶�。該版本的TDP在網(wǎng)絡(luò)抓包和流量處理方面都取得了突破性的性能改進(jìn)��,流量量級在業(yè)內(nèi)處于領(lǐng)先地位�����。由于云計算、大數(shù)據(jù)技術(shù)的高速發(fā)展���,目前大客戶所需的流量基本在10G以上��,此次TDP的性能更新減少了單個項目所需的軟硬件數(shù)量�����,部署維護(hù)更簡單�����,也降低了故障可能性����。
內(nèi)核級結(jié)合��,流量和終端不再各自為戰(zhàn)
TDP和OneEDR的深度結(jié)合�����,意味著防守方企業(yè)不必再與攻擊者進(jìn)行單點(diǎn)對抗�,而是能夠進(jìn)入全面對抗的狀態(tài)�,相當(dāng)于從單兵作戰(zhàn)進(jìn)化為多兵種作戰(zhàn)����。
首先,TDP和OneEDR結(jié)合后�����,企業(yè)安全人員可用的威脅分析維度增加了����。由于威脅檢測和響應(yīng)產(chǎn)品的場景化屬性非常強(qiáng),在可疑行為被發(fā)現(xiàn)后�����,僅憑流量和終端維度的分析����,企業(yè)安全人員無法判定某次可疑行為是否為攻擊行為、是否高風(fēng)險��。但TDP和OneEDR結(jié)合后����,流量側(cè)做分析時能將端作為一個分析因子,端側(cè)做分析時也能將流量作為一個分析因子�,這就相當(dāng)于讓企業(yè)安全人員對威脅的認(rèn)知視角從一維進(jìn)化到二維?�!耙约用艿膚ebshell為例���,如果是在端上或者流量上發(fā)現(xiàn)了這個加密文件���,安全人員沒法判斷這個是不是惡意文件,只能歸類為可疑文件����。但如果我們的TDP告訴你,這個文件在流量和端上都加密了����,那么根據(jù)常識就知道,這個文件大概率就是惡意的����。類似這種場景是可復(fù)制的,因為多了一個可見的維度�,網(wǎng)絡(luò)威脅檢測能力就能得到大幅度提升?�!壁w林林說。
趙林林介紹說���,目前行業(yè)中的許多網(wǎng)絡(luò)安全廠商都在流量檢測和終端檢測發(fā)力�,推出的NDR和EDR產(chǎn)品也可以在一定程度上做到聯(lián)動�����,但這兩種產(chǎn)品的聯(lián)動形態(tài)往往是粗糙���、初級的���,僅存在數(shù)據(jù)的互通,無法在分析層面自動參照對方的提供的信息�。“以前NDR和EDR可以互為彼此的眼睛�,但無法在分析時使用同一個大腦。腦子不在一起�,就是假聯(lián)動,”趙林林說��,“而我們的TDP和OneEDR能夠在分析時深度結(jié)合����,真正做到了腦子在一起���。我們未來會推出越來越多的安全產(chǎn)品,也會做到共用一個大腦����?����!?/p>
主打流量檢測響應(yīng)���,落地威脅情報能力
那么�,TDP到底是一款什么的產(chǎn)品?趙林林指出了TDP的三個主要特性:基于情報���、雙向全流量��、檢測與響應(yīng)并重�。
TDP的檢測基于威脅情報�����。很多網(wǎng)絡(luò)安全產(chǎn)品的檢測方式是基于簽名�、規(guī)則��,或者AI算法����,這些方式的共同特點(diǎn)是都從防守方角度出發(fā)�,去定義、歸納和猜測攻擊方具備什么樣的特征���、有什么樣的行為��。而威脅情報是關(guān)于攻擊方的信息�,基礎(chǔ)的機(jī)讀威脅情報會提供攻擊者的IP���、域名���、惡意文件、Hash值等�����,高級的人讀威脅情報則會提供攻擊者的TTPs(攻擊手法��、攻擊技術(shù)和攻擊步驟),因此���,基于威脅情報的檢測意味著防守方不用單純依賴自己定義�、歸納和猜測的信息���,可以直接把攻擊方的信息拿過來進(jìn)行阻斷和進(jìn)一步的分析溯源�����。日常運(yùn)維中,往往有百萬級的告警擺在安全人員面前�����,其中絕大多數(shù)都是誤報���。微步在線的威脅情報準(zhǔn)確度是99.9%�,而TDP的告警準(zhǔn)確率在經(jīng)過微步在線多個客戶的逐條檢驗后����,得出的平均值是99.97%。是基于威脅情報的檢測能夠讓TDP的每一次告警都真實有效�����。
雙向全流量不僅意味著更全面的檢測,還意味著更多維度的網(wǎng)絡(luò)攻擊信息�����。當(dāng)TDP在檢測網(wǎng)絡(luò)攻擊時����,進(jìn)來的流量能讓TDP檢測到網(wǎng)絡(luò)攻擊的路徑,也就是攻擊者做了什么�����,而出去的流量則能讓TDP檢測到網(wǎng)絡(luò)攻擊的結(jié)果���,也就是這次攻擊是否成功���、且造成了什么影響。這一點(diǎn)非常有價值��,因為安全運(yùn)維人員應(yīng)當(dāng)優(yōu)先關(guān)注那些已經(jīng)攻擊成功且造成較大影響的攻擊事件�。所以,TDP能夠在保證每次告警都真實有效時�����,把告警按照優(yōu)先級順序排序給安全人員展示出來,從而讓安全人員在應(yīng)急響應(yīng)時有序處理�,在第一時間把損失減到最小。
檢測與響應(yīng)并重的設(shè)計�����,讓安全人員能夠在發(fā)現(xiàn)問題之后一鍵處置��,免于手動操作的繁瑣�。趙林林介紹,目前TDP能夠通過旁路網(wǎng)絡(luò)阻斷����、聯(lián)動第三方防火墻設(shè)備�、終端取證查殺等多種方式做到處置的閉環(huán)。
讓企業(yè)的安全人員不再干“臟活�����、累活”
趙林林特別強(qiáng)調(diào)了TDP在產(chǎn)品設(shè)計上如何注重用戶體驗�。他表示,不同層級的用戶會產(chǎn)生不同的需求�����,安全團(tuán)隊的負(fù)責(zé)人需要周期性關(guān)注安全態(tài)勢,安全經(jīng)理則既關(guān)心風(fēng)險和處置�,也關(guān)心匯報和管理,而對于企業(yè)的一線安全人員來說����,要優(yōu)先去處理哪些問題就是他們最關(guān)心的。因此���,TDP在進(jìn)行產(chǎn)品設(shè)計的時候考慮到了所有層級的用戶需求��。
TDP能夠為用戶提供整體安全態(tài)勢大屏感知及安全等級評估���,還可以提供場景豐富,專業(yè)準(zhǔn)確的報告����,滿足用戶多種匯報需求。此外��,TDP能夠靈活地個性化通知�,可以將系統(tǒng)運(yùn)行狀態(tài)和安全告警分別推送給相應(yīng)人員。
在細(xì)節(jié)功能設(shè)計上��,TDP做了攻擊成功、資產(chǎn)梳理���、敏感行為定義等工作��,幫助客戶的安全運(yùn)維人員增加攻擊判定維度����、提高檢測準(zhǔn)確性����,并且在設(shè)計功能時從甲方安全人員的需求出發(fā)。趙林林以攻擊成功的功能為例進(jìn)行了說明��。去判斷攻擊是否成功不需要太高的技術(shù)門檻�����,但是網(wǎng)絡(luò)攻擊的種類很多�,而且每種攻擊的成功失敗都要做判斷�����,如果安全廠商要在產(chǎn)品中加入這個功能����,勢必耗費(fèi)較多人力物力�����,正因如此���,TDP才要加入這個功能,用自動化的方式把這件事從客戶手中接過來�����,釋放出甲方安全人員的精力�����,讓他們?nèi)プ龈袃r值的事���。
關(guān)于微步在線:
微步在線是中國新一代網(wǎng)絡(luò)安全公司代表性企業(yè)����、網(wǎng)絡(luò)威脅發(fā)現(xiàn)和響應(yīng)專家��。公司持續(xù)將威脅情報能力產(chǎn)品化�����,推出基于流量和終端的“云+流量+端點(diǎn)”全方位威脅發(fā)現(xiàn)產(chǎn)品線并賦能給客戶,幫助客戶建立全生命周期的威脅監(jiān)控體系���。公司多次入選全球網(wǎng)絡(luò)安全500強(qiáng)���,是2017-2020年唯一連續(xù)入選Gartner《全球威脅情報市場指南》的中國公司,并獲“紅鯡魚亞洲100強(qiáng)”稱號����。
