在網(wǎng)絡(luò)安全行業(yè),“傳統(tǒng)安全服務(wù)”就像“常規(guī)體檢”����,由普通安服人員使用常規(guī)安服工具,對(duì)用戶(hù)的網(wǎng)絡(luò)和主機(jī)進(jìn)行合規(guī)檢查��、資產(chǎn)發(fā)現(xiàn)��、漏洞掃描�����、打補(bǔ)丁和網(wǎng)絡(luò)入侵檢測(cè)等���,這些普通安服人員往往缺乏更專(zhuān)業(yè)的知識(shí)和工具對(duì)異常的情況進(jìn)行深度的分析����。在國(guó)際上,以EDR技術(shù)為核心的威脅狩獵專(zhuān)家服務(wù)已經(jīng)獲得用戶(hù)的廣泛認(rèn)可�,其服務(wù)核心是由威脅狩獵專(zhuān)家,使用EDR終端檢測(cè)及響應(yīng)工具��,根據(jù)威脅跡象和異常情況主動(dòng)對(duì)高級(jí)威脅進(jìn)行“早發(fā)現(xiàn)”���、“早診斷”和“早處置”。
威脅狩獵服務(wù)的價(jià)值
亞信安全威脅狩獵服務(wù)為用戶(hù)帶來(lái)的價(jià)值 —— 3“早”1“高”:
- 早發(fā)現(xiàn):威脅狩獵是需要高級(jí)威脅的線(xiàn)索���,而安全產(chǎn)品告警和異常行為檢測(cè)是這些線(xiàn)索的來(lái)源����。黑客團(tuán)伙或者紅藍(lán)對(duì)抗攻擊方入侵總會(huì)利用一些未知的漏洞或者手段����,但是在入侵跳板主機(jī)成功后,會(huì)用一些常規(guī)的手段進(jìn)行提權(quán)���、探測(cè)和橫向移動(dòng)����,傳統(tǒng)的安全產(chǎn)品和EDR ATT&CK規(guī)則檢測(cè)框架都會(huì)發(fā)現(xiàn)一些“蛛絲馬跡”����,這些蛛絲馬跡就像是叢林中獵物留下的足跡�,指引著獵人進(jìn)行狩獵追蹤�����。
- 早診斷:EDR相比于傳統(tǒng)的端點(diǎn)安全防病毒產(chǎn)品的最大區(qū)別就在于操作系統(tǒng)內(nèi)核級(jí)別的行為日志高清記錄�,它就像是安裝在操作系統(tǒng)上的高清攝像頭,將進(jìn)程啟停��、文件操作�����、網(wǎng)絡(luò)連接�����、注冊(cè)表修改和系統(tǒng)日志如實(shí)記錄下來(lái)并且長(zhǎng)期存儲(chǔ)���。威脅狩獵人員可以輸入威脅線(xiàn)索和查詢(xún)條件���,EDR服務(wù)端能夠以可視化的方式繪制出進(jìn)程事件樹(shù),幫助威脅狩獵人員有效關(guān)聯(lián)出疑似威脅的入侵軌跡��,確認(rèn)威脅的影響范圍和影響程度,為根治問(wèn)題提供技術(shù)支撐����。
- 早處置:威脅狩獵人員使用EDR工具進(jìn)行遠(yuǎn)程的遏制和修復(fù),對(duì)高級(jí)威脅入侵造成的破壞和留存的后期進(jìn)行根治修復(fù)����,避免在紅藍(lán)對(duì)抗和上級(jí)監(jiān)管過(guò)程中集中爆發(fā)問(wèn)題��。
- 高質(zhì)量:在亞信安全威脅狩獵諸多的成功案例中����,我們發(fā)現(xiàn)用戶(hù)對(duì)于安全事件線(xiàn)索的看法普遍處于“狼來(lái)了”的麻木狀態(tài),即各種安全廠(chǎng)家的產(chǎn)品(尤其是安全態(tài)勢(shì)感知平臺(tái))每天都生成海量的告警信息�����,而安全運(yùn)維人員即使加班加點(diǎn)也無(wú)法處理如此多的告警事件�����,結(jié)果就是放任這些告警于不顧��,等到黑客團(tuán)伙真正發(fā)起總攻的時(shí)候��,毫無(wú)防范之力。亞信安全推出的大終端2.0運(yùn)維平臺(tái)從根本上改善了上述被動(dòng)的防護(hù)態(tài)勢(shì)��,我們將亞信安全產(chǎn)品(例如OfficeScan�����、DS�����、TDA等)的日常告警日志聚類(lèi)成有優(yōu)先級(jí)排序的安全事件��,并且聯(lián)動(dòng)到EDR產(chǎn)品進(jìn)行遏制�、調(diào)查和修復(fù),完成威脅狩獵分析早發(fā)現(xiàn)�、早診斷和早處置的閉環(huán)操作。
亞信安全的威脅狩獵服務(wù)���,區(qū)別于傳統(tǒng)的安全服務(wù)和紅藍(lán)對(duì)抗的攻防服務(wù)��,開(kāi)辟了高級(jí)威脅檢測(cè)響應(yīng)的服務(wù)新賽道�����。
威脅狩獵服務(wù)依托亞信安全的EDR行為檢測(cè)能力和威脅分析的專(zhuān)家能力���,能夠有效地檢測(cè)零日漏洞等高級(jí)威脅���,解決這些安全漏洞可能隱藏幾年都發(fā)現(xiàn)不了的安全風(fēng)險(xiǎn)。
威脅狩獵服務(wù)由亞信安全具備攻防能力的威脅狩獵專(zhuān)家為用戶(hù)提供高級(jí)威脅的溯源分析�,能夠回答 “誰(shuí)進(jìn)來(lái)了、是敵是友��、干了什么”的疑問(wèn)�����,能夠及早發(fā)現(xiàn)治理“潛伏”的高級(jí)威脅����,避免這些高級(jí)威脅在紅藍(lán)對(duì)抗�、重保的關(guān)鍵時(shí)刻集中發(fā)作。
為何選擇亞信安全威脅狩獵服務(wù)
亞信安全開(kāi)啟國(guó)內(nèi)威脅狩獵服務(wù)新賽道:
- 亞信安全的專(zhuān)業(yè)威脅狩獵服務(wù)�,為用戶(hù)提供本地和遠(yuǎn)程的高級(jí)威脅檢測(cè)響應(yīng)服務(wù),開(kāi)啟了國(guó)內(nèi)威脅狩獵服務(wù)新賽道��。
- 在已經(jīng)購(gòu)買(mǎi)EDR產(chǎn)品的客戶(hù)中��,威脅狩獵服務(wù)積累了眾多成功案例�����,幫助用戶(hù)主動(dòng)檢測(cè)并溯源潛伏在端點(diǎn)側(cè)的高級(jí)威脅,深受用戶(hù)好評(píng)��。
- EDR作為威脅狩獵服務(wù)中的高效工具���,其操作系統(tǒng)高清記錄和高級(jí)威脅檢測(cè)能力��,為威脅狩獵專(zhuān)家提供技術(shù)支撐�。亞信安全EDR產(chǎn)品在2020年IDC中國(guó)的廠(chǎng)商評(píng)估中位列“領(lǐng)導(dǎo)象限”��。
- 亞信安全EDR產(chǎn)品通過(guò)了國(guó)內(nèi)權(quán)威第三方評(píng)測(cè)機(jī)構(gòu)賽可達(dá)實(shí)驗(yàn)室的專(zhuān)業(yè)評(píng)測(cè)����,在國(guó)際知名的ATT&CK架構(gòu)模型中以124個(gè)技術(shù)點(diǎn)覆蓋度在國(guó)內(nèi)處于突出地位。
