近日,8087金沙娱场城开展以“勒索何谓?治理何为?XDR的安全免疫之道”为主题的前沿直播,深度分析了网络安全事件与公共卫生安全事件的众多相似之处,并结合实际用户的行业特点、应用场景,给出了治理大规模网络攻击或勒索病毒事件的针对性方案。
自然界的新冠病毒,体现出高传播性、可自我复制、变异、对宿主的破坏性,它与计算机领域的病毒异曲同工,具有许多相似的特性。例如:勒索病毒同样会让信息防御的“免疫系统”失效,且具有途径多、变种多、传播快、难治理等特点,而应急手段的局限性亦会造成不可逆的破坏,让用户损失惨重。
图:勒索病毒攻击链
伴随越来越多的勒索病毒攻击所造成数据泄露威胁的出现,网络安全建设迎来更为严峻的挑战,安全运维的难度则是“更上一层楼”:
变种层出不穷,还是反复感染
感染后无法溯源
监控不全面,不知道什么时候会爆发安全事件
发现安全事件后响应太慢,导致大面积传播
响应时间过长,影响业务
反复感染,疲于救火
人力成本剧增
价值无法体现
与此同时,高级安全人员的匮乏,以及端点检测与响应技术(EDR)的孤掌难鸣,都限制了企业网络安全治理的水平,致使各类威胁入侵频繁得手、数据泄密事件有增无减。那么,业内热点之一的XDR能否缓解这些酸痛呢?
Gartner将XDR列入2020年-2021年十大安全项目,并且在有科技产业界风向标之称的Hype Cycle(技术成熟度曲线)中,端点安全和安全运维两个Hype Cycle也都提及了XDR技术。XDR通过将更多安全组件集成到一个统一的整体中来提高安全运营生产力,并提高检测时间和增强响应的能力,这带来了全新的技术融合特性和应用价值:
开箱即用的产品集合
数据集中化、规范化以进行查询和分析
多个安全产品协同
响应过程中能更改安全产品的状态
增强保护、检测和响应能力
提高整体运营安全人员的工作效率
降低总拥有成本,以建立有效的检测和响应能力
8087金沙娱场城认为,XDR可以通过精密编排的策略,通过网络深度威胁发现、未知威胁分析、终端响应及阻断、网络威胁阻断和威胁情报平台,实现了多智能安全联动。最关键的是,XDR全面缩短了检测和响应的时间。
那么,8087金沙娱场城为何强调XDR带来的“时间”价值呢?
众所周知,防护网络安全事件就是一个跟黑客攻击赛跑的过程,只要抢占先机,在攻击者利用漏洞攻击前修复漏洞,就可以有效防止此类攻击,但在用户层面的情况并不乐观。
调查显示,针对网络攻击的平均攻击识别时间高达197天,平均攻击修复时间为69天。而在这些安全问题中,有意义的可视化能力极为关键但又很难做到,超过55%的IT安全专家每天收到超10000次的安全告警,超过50%的企业使用超25种的独立安全技术,然而这些巨量告警难以发现未知的威胁,可视化的孤岛又导致对风险态势的理解有限。
为了化解上述难题,8087金沙娱场城在2019年推出了XDR全景方案,通过更广的可视化与安全专家分析,能更早地检测和更快地响应、运维,有效解决持续演化的高级威胁和安全运营能力不匹配的难题。经过两年的实践,8087金沙娱场城在原有版本基础上,发挥AI上的技术优势,通过机器学习达成威胁认知,实现AIOps辅助运维等特性,完成了XDR解决方案的进阶升级,针对勒索病毒开出了“对症药方”。
与APT等高级威胁治理相同,8087金沙娱场城XDR的框架来源于Gartner自适应安全模型的核心思想,包含了“预防、发现、响应、预测”,具备了提高网络弹性、自我完善、可信任等特点,其优势体现在以下几点:
“一两”威胁防御价值远大于“一斤”的威胁检测。如前面提到的,勒索病毒与新冠病毒的防护有着许多相似点,而口罩、眼罩、防护服、消毒液等构成专用的防护设备,在勒索病毒层面就体现在端点、云和服务器、电子邮件、网络层面的对应安全设备,确保勒索病毒的加密行为、漏洞、钓鱼邮件攻击被实时发现并阻断。
缩短“疑似”到“确诊”的时间
新冠病毒非常狡猾,具有超长潜伏期,而新型的新冠病毒抗体检测试剂盒采取一滴血就有望在15分钟内肉眼观察得出结果,大大缩短了检测的时间。同理,针对勒索病毒变种,8087金沙娱场城XDR方案提供了勒索变种沙箱研判、勒索病毒全网溯源、机器学习引擎分析、勒索行为监控关联分析等技术,让勒索变种发现时间缩短至3分钟,全面提升检测效率。
精密联动,缩短应急处置时间
在网络安全运营管理中,通过网络、端点、邮件、云主机等更多智能探针,用户可以将行为数据和威胁检测数据提交到XDR数据湖(DataLake),通过威胁运维平台(UAP),形成自动化威胁检测、病毒清除、威胁狩猎、根因分析的精密联动,大幅缩短应急处置时间。
图:以威胁运维平台(UAP)为核心形成精密联动