2019年2月,微步在線正式宣布,旗下產(chǎn)品Web攻擊感知平臺Threat Detection Platform for Server(TDPS)推出2.0版本。經(jīng)過數(shù)年的迭代升級,TDPS已經(jīng)具有準確預(yù)警、溯源分析、資產(chǎn)梳理等多項成熟能力,實現(xiàn)攻擊行為準確感知、攻擊過程完整追溯、攻擊成功精準告警、企業(yè)實際暴露資產(chǎn)梳理等典型安全需求,目前已有金融、能源、互聯(lián)網(wǎng)、政務(wù)云等行業(yè)客戶。

用好威脅情報,化繁為簡、聚焦真正威脅

“網(wǎng)絡(luò)中只有兩種企業(yè),一種知道自己被黑了,另一種不知道?!边@已經(jīng)成為企業(yè)安全人員的共識,要有效應(yīng)對網(wǎng)絡(luò)威脅,首先要承認敵在暗我在明,想對企業(yè)發(fā)起攻擊的攻擊者們不計其數(shù)。既然無法防止攻擊的發(fā)生,就只能在攻擊發(fā)生后盡快察覺并阻斷。

真實的攻擊是綜合攻擊手法的疊加,橫跨各個應(yīng)用層面,但80%是來自于Web層面的。解決這80%來自Web的攻擊,將會解決企業(yè)日常安全運營中主要的威脅。而就威脅情報的角度來看,威脅情報在IP和攻擊情報能力上的邊界,又將在很大程度上影響攻擊感知能力的邊界。這是Web攻擊感知平臺的立足點。Web攻擊感知平臺以情報驅(qū)動,以攻擊感知為核心,企業(yè)安全人員只需要投入精力去關(guān)注首頁的兩個指標:攻擊成功、針對性攻擊。

攻擊成功是指給主機、網(wǎng)絡(luò)和業(yè)務(wù)造成實質(zhì)性的損害,或已經(jīng)控制或拿到數(shù)據(jù)。而針對性攻擊指標意味著這些攻擊者并不是在廣撒網(wǎng),而是瞄準了這家公司,即使對方?jīng)]有攻擊成功,安全人員也需要關(guān)注對方的活動和行為。一旦攻擊成功威脅性可能更高。

微步在線將攻擊成功和針對性攻擊作為核心指標,能大大減輕數(shù)據(jù)噪聲,從而為企業(yè)安全人員節(jié)省工作時間。如果安全產(chǎn)品以告警為核心,那么安全人員將被每日數(shù)萬乃至數(shù)十萬的告警淹沒,不得不在大量的誤報中尋找真正有威脅的告警,而安全人員每日能夠處理的威脅大概在3-5起左右。Web攻擊感知平臺不僅能讓安全人員只關(guān)注真實存在風(fēng)險的告警,還能夠智能聚合攻擊源,將多個告警匯總成為一次攻擊事件,從而將該次攻擊事件的時間線梳理出來,并將相關(guān)日志都提取出來呈現(xiàn)給安全人員。

梳理客戶資產(chǎn),給客戶安全感

微步在線的核心創(chuàng)始團隊基本來自于企業(yè)安全團隊,因此Web攻擊感知平臺在設(shè)計階段就致力于為客戶提供知己知彼的能力。

能夠妥善處理攻擊,靠的是威脅情報的一雙“慧眼”,分辨出來者是黑是白,這正是“知彼”,而當(dāng)企業(yè)無法探知網(wǎng)絡(luò)世界中來自外部的威脅時,企業(yè)還可以將自身潛在的風(fēng)險點梳理清楚,從風(fēng)險點來反推自己可能會遭到哪些攻擊,這是“知己”。

因此,Web攻擊感知平臺單獨劃分出一個資產(chǎn)梳理模塊,針對企業(yè)對外開放的端口、后臺、IP和域名進行盤點掃描,自動發(fā)現(xiàn)企業(yè)有哪些潛在的風(fēng)險點。一般情況下,資產(chǎn)盤點都需要大量的掃描網(wǎng)絡(luò),費時費力,而且如果服務(wù)器本身已經(jīng)負載過大,很容易引起宕機。Web攻擊感知平臺通過旁路檢測雙向流量,能夠自動識別對外開放的端口和后臺,不消耗資源,也不會給服務(wù)器帶來很大負擔(dān)。

資產(chǎn)盤點的一個好處是,當(dāng)一個網(wǎng)絡(luò)威脅發(fā)生后,安全人員能夠快速根據(jù)端口、服務(wù)、應(yīng)用的開放情況來推定此次網(wǎng)絡(luò)威脅對企業(yè)安全的影響,并且有的放矢地進行處置,此外,在Web攻擊感知平臺中,還能通過盤點對外后臺來識別撞庫行為。

如果用戶是高手?

Web攻擊感知平臺不僅能夠減輕用戶的工作量,還為用戶保留了一個“自由模式”,如果用戶是一位安全高手,不滿足于產(chǎn)品內(nèi)的算法模型,想自主溯源一些威脅時,要怎么操作?

微步在線的Web攻擊感知平臺會存儲企業(yè)全流量,并設(shè)計了一個“調(diào)查”模塊,專門用于溯源日志,其中按照攻擊相關(guān)、敏感行為、協(xié)議相關(guān)等字段進行了分類,支持用戶對日志進行靈活的條件式搜索,還可以連接到微步在線旗下的威脅情報搜索引擎,進一步對可疑IP進行溯源分析。

此外,Web攻擊感知平臺還能和態(tài)勢感知、WAF等安全防護系統(tǒng)結(jié)合,讓企業(yè)用戶能夠縱深向、多維度感知到安全態(tài)勢,做好檢測和響應(yīng)工作。

關(guān)于微步在線:

微步在線成立于2015年,是國內(nèi)專注于提供威脅情報能力輸出的安全創(chuàng)新型企業(yè),已成為國內(nèi)威脅情報領(lǐng)軍品牌,提供專業(yè)的威脅檢測產(chǎn)品與服務(wù)。2017-2018年多次入選全球網(wǎng)絡(luò)安全500強(CyberSecurity 500),并成為唯一入選Gartner全球威脅情報市場指南的中國公司。

分享到

songjy

相關(guān)推薦