在網(wǎng)絡(luò)安全行業(yè)��,“傳統(tǒng)安全服務(wù)”就像“常規(guī)體檢”�����,由普通安服人員使用常規(guī)安服工具��,對用戶的網(wǎng)絡(luò)和主機(jī)進(jìn)行合規(guī)檢查�、資產(chǎn)發(fā)現(xiàn)�����、漏洞掃描�、打補(bǔ)丁和網(wǎng)絡(luò)入侵檢測等,這些普通安服人員往往缺乏更專業(yè)的知識和工具對異常的情況進(jìn)行深度的分析�。在國際上,以EDR技術(shù)為核心的威脅狩獵專家服務(wù)已經(jīng)獲得用戶的廣泛認(rèn)可���,其服務(wù)核心是由威脅狩獵專家��,使用EDR終端檢測及響應(yīng)工具���,根據(jù)威脅跡象和異常情況主動對高級威脅進(jìn)行“早發(fā)現(xiàn)”�、“早診斷”和“早處置”�����。
威脅狩獵服務(wù)的價值
亞信安全威脅狩獵服務(wù)為用戶帶來的價值 —— 3“早”1“高”:
- 早發(fā)現(xiàn):威脅狩獵是需要高級威脅的線索�����,而安全產(chǎn)品告警和異常行為檢測是這些線索的來源���。黑客團(tuán)伙或者紅藍(lán)對抗攻擊方入侵總會利用一些未知的漏洞或者手段,但是在入侵跳板主機(jī)成功后�����,會用一些常規(guī)的手段進(jìn)行提權(quán)����、探測和橫向移動,傳統(tǒng)的安全產(chǎn)品和EDR ATT&CK規(guī)則檢測框架都會發(fā)現(xiàn)一些“蛛絲馬跡”��,這些蛛絲馬跡就像是叢林中獵物留下的足跡,指引著獵人進(jìn)行狩獵追蹤�����。
- 早診斷:EDR相比于傳統(tǒng)的端點安全防病毒產(chǎn)品的最大區(qū)別就在于操作系統(tǒng)內(nèi)核級別的行為日志高清記錄�,它就像是安裝在操作系統(tǒng)上的高清攝像頭,將進(jìn)程啟停�、文件操作、網(wǎng)絡(luò)連接�����、注冊表修改和系統(tǒng)日志如實記錄下來并且長期存儲��。威脅狩獵人員可以輸入威脅線索和查詢條件��,EDR服務(wù)端能夠以可視化的方式繪制出進(jìn)程事件樹�,幫助威脅狩獵人員有效關(guān)聯(lián)出疑似威脅的入侵軌跡,確認(rèn)威脅的影響范圍和影響程度�,為根治問題提供技術(shù)支撐。
- 早處置:威脅狩獵人員使用EDR工具進(jìn)行遠(yuǎn)程的遏制和修復(fù)�,對高級威脅入侵造成的破壞和留存的后期進(jìn)行根治修復(fù),避免在紅藍(lán)對抗和上級監(jiān)管過程中集中爆發(fā)問題���。
- 高質(zhì)量:在亞信安全威脅狩獵諸多的成功案例中�����,我們發(fā)現(xiàn)用戶對于安全事件線索的看法普遍處于“狼來了”的麻木狀態(tài)��,即各種安全廠家的產(chǎn)品(尤其是安全態(tài)勢感知平臺)每天都生成海量的告警信息��,而安全運維人員即使加班加點也無法處理如此多的告警事件�,結(jié)果就是放任這些告警于不顧,等到黑客團(tuán)伙真正發(fā)起總攻的時候����,毫無防范之力。亞信安全推出的大終端2.0運維平臺從根本上改善了上述被動的防護(hù)態(tài)勢�,我們將亞信安全產(chǎn)品(例如OfficeScan、DS�����、TDA等)的日常告警日志聚類成有優(yōu)先級排序的安全事件�,并且聯(lián)動到EDR產(chǎn)品進(jìn)行遏制�、調(diào)查和修復(fù),完成威脅狩獵分析早發(fā)現(xiàn)����、早診斷和早處置的閉環(huán)操作�����。
亞信安全的威脅狩獵服務(wù)��,區(qū)別于傳統(tǒng)的安全服務(wù)和紅藍(lán)對抗的攻防服務(wù)���,開辟了高級威脅檢測響應(yīng)的服務(wù)新賽道。
威脅狩獵服務(wù)依托亞信安全的EDR行為檢測能力和威脅分析的專家能力��,能夠有效地檢測零日漏洞等高級威脅���,解決這些安全漏洞可能隱藏幾年都發(fā)現(xiàn)不了的安全風(fēng)險��。
威脅狩獵服務(wù)由亞信安全具備攻防能力的威脅狩獵專家為用戶提供高級威脅的溯源分析�����,能夠回答 “誰進(jìn)來了�����、是敵是友��、干了什么”的疑問��,能夠及早發(fā)現(xiàn)治理“潛伏”的高級威脅�,避免這些高級威脅在紅藍(lán)對抗、重保的關(guān)鍵時刻集中發(fā)作���。
為何選擇亞信安全威脅狩獵服務(wù)
亞信安全開啟國內(nèi)威脅狩獵服務(wù)新賽道:
- 亞信安全的專業(yè)威脅狩獵服務(wù)�,為用戶提供本地和遠(yuǎn)程的高級威脅檢測響應(yīng)服務(wù)���,開啟了國內(nèi)威脅狩獵服務(wù)新賽道���。
- 在已經(jīng)購買EDR產(chǎn)品的客戶中,威脅狩獵服務(wù)積累了眾多成功案例�,幫助用戶主動檢測并溯源潛伏在端點側(cè)的高級威脅,深受用戶好評����。
- EDR作為威脅狩獵服務(wù)中的高效工具,其操作系統(tǒng)高清記錄和高級威脅檢測能力�,為威脅狩獵專家提供技術(shù)支撐。亞信安全EDR產(chǎn)品在2020年IDC中國的廠商評估中位列“領(lǐng)導(dǎo)象限”���。
- 亞信安全EDR產(chǎn)品通過了國內(nèi)權(quán)威第三方評測機(jī)構(gòu)賽可達(dá)實驗室的專業(yè)評測,在國際知名的ATT&CK架構(gòu)模型中以124個技術(shù)點覆蓋度在國內(nèi)處于突出地位。
