2021年3月17日，中國(guó)新一代網(wǎng)絡(luò)安全代表性公司、威脅情報(bào)領(lǐng)軍企業(yè)微步在線在“邁向XDR”E輪融資暨產(chǎn)品發(fā)布會(huì)上，正式宣布對(duì)外發(fā)布旗下威脅感知平臺(tái)Threat Detection Platform的新版本，在該版本中，基于流量做檢測(cè)響應(yīng)的TDP能夠?qū)崿F(xiàn)與微步在線旗下終端檢測(cè)響應(yīng)產(chǎn)品OneEDR的內(nèi)核級(jí)結(jié)合，形成“端點(diǎn)+流量”的檢測(cè)響應(yīng)模式。

　　“在我看來，這是一個(gè)跨時(shí)代的功能，這標(biāo)志著攻防雙方從此進(jìn)入全面對(duì)抗，而且是不同維度的對(duì)抗。”微步在線TDP產(chǎn)品負(fù)責(zé)人趙林林在發(fā)布會(huì)的現(xiàn)場(chǎng)分享中如是介紹。

　　此外，在3月22日，微步在線還宣布了對(duì)TDP產(chǎn)品性能的最新升級(jí)。根據(jù)微步在線的消息，單臺(tái)10GB版TDP已經(jīng)正式對(duì)外發(fā)售、開始服務(wù)客戶。該版本的TDP在網(wǎng)絡(luò)抓包和流量處理方面都取得了突破性的性能改進(jìn)，流量量級(jí)在業(yè)內(nèi)處于領(lǐng)先地位。由于云計(jì)算、大數(shù)據(jù)技術(shù)的高速發(fā)展，目前大客戶所需的流量基本在10G以上，此次TDP的性能更新減少了單個(gè)項(xiàng)目所需的軟硬件數(shù)量，部署維護(hù)更簡(jiǎn)單，也降低了故障可能性。

　　內(nèi)核級(jí)結(jié)合，流量和終端不再各自為戰(zhàn)

　　TDP和OneEDR的深度結(jié)合，意味著防守方企業(yè)不必再與攻擊者進(jìn)行單點(diǎn)對(duì)抗，而是能夠進(jìn)入全面對(duì)抗的狀態(tài)，相當(dāng)于從單兵作戰(zhàn)進(jìn)化為多兵種作戰(zhàn)。

　　首先，TDP和OneEDR結(jié)合后，企業(yè)安全人員可用的威脅分析維度增加了。由于威脅檢測(cè)和響應(yīng)產(chǎn)品的場(chǎng)景化屬性非常強(qiáng)，在可疑行為被發(fā)現(xiàn)后，僅憑流量和終端維度的分析，企業(yè)安全人員無法判定某次可疑行為是否為攻擊行為、是否高風(fēng)險(xiǎn)。但TDP和OneEDR結(jié)合后，流量側(cè)做分析時(shí)能將端作為一個(gè)分析因子，端側(cè)做分析時(shí)也能將流量作為一個(gè)分析因子，這就相當(dāng)于讓企業(yè)安全人員對(duì)威脅的認(rèn)知視角從一維進(jìn)化到二維。“以加密的webshell為例，如果是在端上或者流量上發(fā)現(xiàn)了這個(gè)加密文件，安全人員沒法判斷這個(gè)是不是惡意文件，只能歸類為可疑文件。但如果我們的TDP告訴你，這個(gè)文件在流量和端上都加密了，那么根據(jù)常識(shí)就知道，這個(gè)文件大概率就是惡意的。類似這種場(chǎng)景是可復(fù)制的，因?yàn)槎嗔艘粋€(gè)可見的維度，網(wǎng)絡(luò)威脅檢測(cè)能力就能得到大幅度提升。”趙林林說。

　　趙林林介紹說，目前行業(yè)中的許多網(wǎng)絡(luò)安全廠商都在流量檢測(cè)和終端檢測(cè)發(fā)力，推出的NDR和EDR產(chǎn)品也可以在一定程度上做到聯(lián)動(dòng)，但這兩種產(chǎn)品的聯(lián)動(dòng)形態(tài)往往是粗糙、初級(jí)的，僅存在數(shù)據(jù)的互通，無法在分析層面自動(dòng)參照對(duì)方的提供的信息。“以前NDR和EDR可以互為彼此的眼睛，但無法在分析時(shí)使用同一個(gè)大腦。腦子不在一起，就是假聯(lián)動(dòng)，”趙林林說，“而我們的TDP和OneEDR能夠在分析時(shí)深度結(jié)合，真正做到了腦子在一起。我們未來會(huì)推出越來越多的安全產(chǎn)品，也會(huì)做到共用一個(gè)大腦。”

　　主打流量檢測(cè)響應(yīng)，落地威脅情報(bào)能力

　　那么，TDP到底是一款什么的產(chǎn)品?趙林林指出了TDP的三個(gè)主要特性：基于情報(bào)、雙向全流量、檢測(cè)與響應(yīng)并重。

　　TDP的檢測(cè)基于威脅情報(bào)。很多網(wǎng)絡(luò)安全產(chǎn)品的檢測(cè)方式是基于簽名、規(guī)則，或者AI算法，這些方式的共同特點(diǎn)是都從防守方角度出發(fā)，去定義、歸納和猜測(cè)攻擊方具備什么樣的特征、有什么樣的行為。而威脅情報(bào)是關(guān)于攻擊方的信息，基礎(chǔ)的機(jī)讀威脅情報(bào)會(huì)提供攻擊者的IP、域名、惡意文件、Hash值等，高級(jí)的人讀威脅情報(bào)則會(huì)提供攻擊者的TTPs(攻擊手法、攻擊技術(shù)和攻擊步驟)，因此，基于威脅情報(bào)的檢測(cè)意味著防守方不用單純依賴自己定義、歸納和猜測(cè)的信息，可以直接把攻擊方的信息拿過來進(jìn)行阻斷和進(jìn)一步的分析溯源。日常運(yùn)維中，往往有百萬級(jí)的告警擺在安全人員面前，其中絕大多數(shù)都是誤報(bào)。微步在線的威脅情報(bào)準(zhǔn)確度是99.9%，而TDP的告警準(zhǔn)確率在經(jīng)過微步在線多個(gè)客戶的逐條檢驗(yàn)后，得出的平均值是99.97%。是基于威脅情報(bào)的檢測(cè)能夠讓TDP的每一次告警都真實(shí)有效。

　　雙向全流量不僅意味著更全面的檢測(cè)，還意味著更多維度的網(wǎng)絡(luò)攻擊信息。當(dāng)TDP在檢測(cè)網(wǎng)絡(luò)攻擊時(shí)，進(jìn)來的流量能讓TDP檢測(cè)到網(wǎng)絡(luò)攻擊的路徑，也就是攻擊者做了什么，而出去的流量則能讓TDP檢測(cè)到網(wǎng)絡(luò)攻擊的結(jié)果，也就是這次攻擊是否成功、且造成了什么影響。這一點(diǎn)非常有價(jià)值，因?yàn)榘踩\(yùn)維人員應(yīng)當(dāng)優(yōu)先關(guān)注那些已經(jīng)攻擊成功且造成較大影響的攻擊事件。所以，TDP能夠在保證每次告警都真實(shí)有效時(shí)，把告警按照優(yōu)先級(jí)順序排序給安全人員展示出來，從而讓安全人員在應(yīng)急響應(yīng)時(shí)有序處理，在第一時(shí)間把損失減到最小。

　　檢測(cè)與響應(yīng)并重的設(shè)計(jì)，讓安全人員能夠在發(fā)現(xiàn)問題之后一鍵處置，免于手動(dòng)操作的繁瑣。趙林林介紹，目前TDP能夠通過旁路網(wǎng)絡(luò)阻斷、聯(lián)動(dòng)第三方防火墻設(shè)備、終端取證查殺等多種方式做到處置的閉環(huán)。

　　讓企業(yè)的安全人員不再干“臟活、累活”

　　趙林林特別強(qiáng)調(diào)了TDP在產(chǎn)品設(shè)計(jì)上如何注重用戶體驗(yàn)。他表示，不同層級(jí)的用戶會(huì)產(chǎn)生不同的需求，安全團(tuán)隊(duì)的負(fù)責(zé)人需要周期性關(guān)注安全態(tài)勢(shì)，安全經(jīng)理則既關(guān)心風(fēng)險(xiǎn)和處置，也關(guān)心匯報(bào)和管理，而對(duì)于企業(yè)的一線安全人員來說，要優(yōu)先去處理哪些問題就是他們最關(guān)心的。因此，TDP在進(jìn)行產(chǎn)品設(shè)計(jì)的時(shí)候考慮到了所有層級(jí)的用戶需求。

　　TDP能夠?yàn)橛脩籼峁┱w安全態(tài)勢(shì)大屏感知及安全等級(jí)評(píng)估，還可以提供場(chǎng)景豐富，專業(yè)準(zhǔn)確的報(bào)告，滿足用戶多種匯報(bào)需求。此外，TDP能夠靈活地個(gè)性化通知，可以將系統(tǒng)運(yùn)行狀態(tài)和安全告警分別推送給相應(yīng)人員。

　　在細(xì)節(jié)功能設(shè)計(jì)上，TDP做了攻擊成功、資產(chǎn)梳理、敏感行為定義等工作，幫助客戶的安全運(yùn)維人員增加攻擊判定維度、提高檢測(cè)準(zhǔn)確性，并且在設(shè)計(jì)功能時(shí)從甲方安全人員的需求出發(fā)。趙林林以攻擊成功的功能為例進(jìn)行了說明。去判斷攻擊是否成功不需要太高的技術(shù)門檻，但是網(wǎng)絡(luò)攻擊的種類很多，而且每種攻擊的成功失敗都要做判斷，如果安全廠商要在產(chǎn)品中加入這個(gè)功能，勢(shì)必耗費(fèi)較多人力物力，正因如此，TDP才要加入這個(gè)功能，用自動(dòng)化的方式把這件事從客戶手中接過來，釋放出甲方安全人員的精力，讓他們?nèi)プ龈袃r(jià)值的事。

　　關(guān)于微步在線：

　　微步在線是中國(guó)新一代網(wǎng)絡(luò)安全公司代表性企業(yè)、網(wǎng)絡(luò)威脅發(fā)現(xiàn)和響應(yīng)專家。公司持續(xù)將威脅情報(bào)能力產(chǎn)品化，推出基于流量和終端的“云+流量+端點(diǎn)”全方位威脅發(fā)現(xiàn)產(chǎn)品線并賦能給客戶，幫助客戶建立全生命周期的威脅監(jiān)控體系。公司多次入選全球網(wǎng)絡(luò)安全500強(qiáng)，是2017-2020年唯一連續(xù)入選Gartner《全球威脅情報(bào)市場(chǎng)指南》的中國(guó)公司，并獲“紅鯡魚亞洲100強(qiáng)”稱號(hào)。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。