深信服SaaS XDR轻松化解威胁检测响应难题
发布时间:2022-08-01 10:59:02 所属栏目:安全 来源:互联网
导读:网络安全事件频发,产品买了一堆,但组织单位的日常不是在救火,就是在救火的路上。问题根因到底在哪? l从组织单位安全建设的角度:一次攻击事件的产生,会在多个路径上留下攻击痕迹。组织单位过去买了很多安全设备,单个设备仅能发现单一的攻击痕迹,且设
|
网络安全事件频发,产品买了一堆,但组织单位的日常不是在“救火”,就是在“救火”的路上。问题根因到底在哪? l从组织单位安全建设的角度:一次攻击事件的产生,会在多个路径上留下攻击痕迹。组织单位过去买了很多安全设备,单个设备仅能发现单一的攻击痕迹,且设备之间各自为战、检测割裂,难以将多个节点的痕迹自动关联成一个完整的安全事件,导致陷入海量告警中分身乏术; l从恶意黑客攻击手法的角度:随着恶意黑客的技战术(TTP)手法不断升级,过往的检测设备只能捕捉到黑客的部分攻击手法,因而存在大量误报漏报,无法精准定位威胁; l从运维人员分析响应的角度:面对误报漏报、分散在不同设备上的攻击痕迹,需要运维人员从不同设备告警日志中寻找一个事件的攻击痕迹,安全运维人员能力与精力有限,难以保障及时跟进告警分析与事件响应。 因此,面对威胁检测响应难题,深信服在与用户交流时,常常能听到他们发出的「灵魂三连问」: · l如何从海量告警中解脱,聚焦安全事件? l如何发现潜伏威胁,提升检测精准度? l如何提高运营效能,省心省力还省钱? · 粉碎威胁检测与响应难题,直击灵魂拷问,深信服可扩展检测响应平台SaaS XDR作出全新解答。 Part 1 以入屋行窃为比喻,小偷会先在楼栋里踩点,对目标房间进行标记,确定最佳行动时机,撬开门锁实施盗窃。可见一个安全事件的发生不是一蹴而就的,小偷踩点、做标记、撬门锁等一举一动都会留下痕迹。 恶意黑客的攻击也是如此,通常以网络(N:Network)、终端(E:Endpoint)行为为主。过去,每一步攻击行为对应终端杀软和流量检测设备会分别告警,但网端两侧告警无法进行深度关联分析,由此产生大量告警信息,而无法生成安全事件。 不同于全量数据采集,一种新型监控测量技术——遥测行为数据采集,能够主动收集各遥测点与攻击技战术相关的行为数据,通过引擎将遥测数据进行聚合分析,及时捕获攻击行为及展示更多状态信息,帮助用户深度了解是否存在安全风险,甚至回溯已发生的安全事件,还原攻击故事线。 深信服SaaS XDR正是通过采集关联网络侧和终端侧的遥测数据,如网络连接信息、数据包关键内容、终端进程调用、计划任务等,可覆盖ATT&CK超163项攻击手法,将端、网、云等遥测数据进行故事线关联,构建完整、高质量的攻击链,实现分钟级入侵识别。 将海量告警通过自动化的检测能力聚合,深信服SaaS XDR能够有效削减离散的、海量的网端两侧原始告警信息,告警数量控制在有限人力可承担范畴内,转换为用户能够理解的安全事件,告警削减比例近90%。 Part 2 如何理解IOA与IOC检测技术?同样以小偷入室盗窃为例,IOA检测技术代表着小区安保能够发现小偷踩点、标记、撬开门锁的行为,及时制止小偷的盗窃行为,而IOC检测技术则代表着小偷实施盗窃后,通过监控、指纹等证据追踪抓到小偷。 由此可以理解,IOA 是在攻击尚未得手阶段,即时检测出各种攻击行为特征;IOC 则是在攻击得手后,被攻陷系统呈现的各种失陷特征。IOC 检测准确率高,但无法发现潜伏高级威胁。相较而言,IOA 能够主动检测,即时寻找可能发生攻击的预警信号,例如代码执行、持久驻留、隐蔽、C&C通信和横向移动等,检测难度较大,但能及时发现潜伏高级威胁。 深信服SaaS XDR将IOA与IOC检测技术相结合,实现事中攻击行为的持续监测与事后追踪溯源的快速响应,这也意味着安全建设思路从被动防御转向主动检测。 (编辑:阳江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
