2021年3月17日，中國新一代網(wǎng)絡安全代表性公司、威脅情報領軍企業(yè)微步在線在“邁向XDR”E輪融資暨產(chǎn)品發(fā)布會上，正式宣布對外發(fā)布旗下威脅感知平臺Threat Detection Platform的新版本，在該版本中，基于流量做檢測響應的TDP能夠?qū)崿F(xiàn)與微步在線旗下終端檢測響應產(chǎn)品OneEDR的內(nèi)核級結(jié)合，形成“端點+流量”的檢測響應模式。

　　“在我看來，這是一個跨時代的功能，這標志著攻防雙方從此進入全面對抗，而且是不同維度的對抗。”微步在線TDP產(chǎn)品負責人趙林林在發(fā)布會的現(xiàn)場分享中如是介紹。

　　此外，在3月22日，微步在線還宣布了對TDP產(chǎn)品性能的最新升級。根據(jù)微步在線的消息，單臺10GB版TDP已經(jīng)正式對外發(fā)售、開始服務客戶。該版本的TDP在網(wǎng)絡抓包和流量處理方面都取得了突破性的性能改進，流量量級在業(yè)內(nèi)處于領先地位。由于云計算、大數(shù)據(jù)技術的高速發(fā)展，目前大客戶所需的流量基本在10G以上，此次TDP的性能更新減少了單個項目所需的軟硬件數(shù)量，部署維護更簡單，也降低了故障可能性。

　　內(nèi)核級結(jié)合，流量和終端不再各自為戰(zhàn)

　　TDP和OneEDR的深度結(jié)合，意味著防守方企業(yè)不必再與攻擊者進行單點對抗，而是能夠進入全面對抗的狀態(tài)，相當于從單兵作戰(zhàn)進化為多兵種作戰(zhàn)。

　　首先，TDP和OneEDR結(jié)合后，企業(yè)安全人員可用的威脅分析維度增加了。由于威脅檢測和響應產(chǎn)品的場景化屬性非常強，在可疑行為被發(fā)現(xiàn)后，僅憑流量和終端維度的分析，企業(yè)安全人員無法判定某次可疑行為是否為攻擊行為、是否高風險。但TDP和OneEDR結(jié)合后，流量側(cè)做分析時能將端作為一個分析因子，端側(cè)做分析時也能將流量作為一個分析因子，這就相當于讓企業(yè)安全人員對威脅的認知視角從一維進化到二維。“以加密的webshell為例，如果是在端上或者流量上發(fā)現(xiàn)了這個加密文件，安全人員沒法判斷這個是不是惡意文件，只能歸類為可疑文件。但如果我們的TDP告訴你，這個文件在流量和端上都加密了，那么根據(jù)常識就知道，這個文件大概率就是惡意的。類似這種場景是可復制的，因為多了一個可見的維度，網(wǎng)絡威脅檢測能力就能得到大幅度提升。”趙林林說。

　　趙林林介紹說，目前行業(yè)中的許多網(wǎng)絡安全廠商都在流量檢測和終端檢測發(fā)力，推出的NDR和EDR產(chǎn)品也可以在一定程度上做到聯(lián)動，但這兩種產(chǎn)品的聯(lián)動形態(tài)往往是粗糙、初級的，僅存在數(shù)據(jù)的互通，無法在分析層面自動參照對方的提供的信息。“以前NDR和EDR可以互為彼此的眼睛，但無法在分析時使用同一個大腦。腦子不在一起，就是假聯(lián)動，”趙林林說，“而我們的TDP和OneEDR能夠在分析時深度結(jié)合，真正做到了腦子在一起。我們未來會推出越來越多的安全產(chǎn)品，也會做到共用一個大腦。”

　　主打流量檢測響應，落地威脅情報能力

　　那么，TDP到底是一款什么的產(chǎn)品?趙林林指出了TDP的三個主要特性：基于情報、雙向全流量、檢測與響應并重。

　　TDP的檢測基于威脅情報。很多網(wǎng)絡安全產(chǎn)品的檢測方式是基于簽名、規(guī)則，或者AI算法，這些方式的共同特點是都從防守方角度出發(fā)，去定義、歸納和猜測攻擊方具備什么樣的特征、有什么樣的行為。而威脅情報是關于攻擊方的信息，基礎的機讀威脅情報會提供攻擊者的IP、域名、惡意文件、Hash值等，高級的人讀威脅情報則會提供攻擊者的TTPs(攻擊手法、攻擊技術和攻擊步驟)，因此，基于威脅情報的檢測意味著防守方不用單純依賴自己定義、歸納和猜測的信息，可以直接把攻擊方的信息拿過來進行阻斷和進一步的分析溯源。日常運維中，往往有百萬級的告警擺在安全人員面前，其中絕大多數(shù)都是誤報。微步在線的威脅情報準確度是99.9%，而TDP的告警準確率在經(jīng)過微步在線多個客戶的逐條檢驗后，得出的平均值是99.97%。是基于威脅情報的檢測能夠讓TDP的每一次告警都真實有效。

　　雙向全流量不僅意味著更全面的檢測，還意味著更多維度的網(wǎng)絡攻擊信息。當TDP在檢測網(wǎng)絡攻擊時，進來的流量能讓TDP檢測到網(wǎng)絡攻擊的路徑，也就是攻擊者做了什么，而出去的流量則能讓TDP檢測到網(wǎng)絡攻擊的結(jié)果，也就是這次攻擊是否成功、且造成了什么影響。這一點非常有價值，因為安全運維人員應當優(yōu)先關注那些已經(jīng)攻擊成功且造成較大影響的攻擊事件。所以，TDP能夠在保證每次告警都真實有效時，把告警按照優(yōu)先級順序排序給安全人員展示出來，從而讓安全人員在應急響應時有序處理，在第一時間把損失減到最小。

　　檢測與響應并重的設計，讓安全人員能夠在發(fā)現(xiàn)問題之后一鍵處置，免于手動操作的繁瑣。趙林林介紹，目前TDP能夠通過旁路網(wǎng)絡阻斷、聯(lián)動第三方防火墻設備、終端取證查殺等多種方式做到處置的閉環(huán)。

　　讓企業(yè)的安全人員不再干“臟活、累活”

　　趙林林特別強調(diào)了TDP在產(chǎn)品設計上如何注重用戶體驗。他表示，不同層級的用戶會產(chǎn)生不同的需求，安全團隊的負責人需要周期性關注安全態(tài)勢，安全經(jīng)理則既關心風險和處置，也關心匯報和管理，而對于企業(yè)的一線安全人員來說，要優(yōu)先去處理哪些問題就是他們最關心的。因此，TDP在進行產(chǎn)品設計的時候考慮到了所有層級的用戶需求。

　　TDP能夠為用戶提供整體安全態(tài)勢大屏感知及安全等級評估，還可以提供場景豐富，專業(yè)準確的報告，滿足用戶多種匯報需求。此外，TDP能夠靈活地個性化通知，可以將系統(tǒng)運行狀態(tài)和安全告警分別推送給相應人員。

　　在細節(jié)功能設計上，TDP做了攻擊成功、資產(chǎn)梳理、敏感行為定義等工作，幫助客戶的安全運維人員增加攻擊判定維度、提高檢測準確性，并且在設計功能時從甲方安全人員的需求出發(fā)。趙林林以攻擊成功的功能為例進行了說明。去判斷攻擊是否成功不需要太高的技術門檻，但是網(wǎng)絡攻擊的種類很多，而且每種攻擊的成功失敗都要做判斷，如果安全廠商要在產(chǎn)品中加入這個功能，勢必耗費較多人力物力，正因如此，TDP才要加入這個功能，用自動化的方式把這件事從客戶手中接過來，釋放出甲方安全人員的精力，讓他們?nèi)プ龈袃r值的事。

　　關于微步在線：

　　微步在線是中國新一代網(wǎng)絡安全公司代表性企業(yè)、網(wǎng)絡威脅發(fā)現(xiàn)和響應專家。公司持續(xù)將威脅情報能力產(chǎn)品化，推出基于流量和終端的“云+流量+端點”全方位威脅發(fā)現(xiàn)產(chǎn)品線并賦能給客戶，幫助客戶建立全生命周期的威脅監(jiān)控體系。公司多次入選全球網(wǎng)絡安全500強，是2017-2020年唯一連續(xù)入選Gartner《全球威脅情報市場指南》的中國公司，并獲“紅鯡魚亞洲100強”稱號。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內(nèi)容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網(wǎng)有任何內(nèi)容侵犯您的權益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。