亞信安全 “威脅狩獵服務” 開辟高級網(wǎng)絡威脅治理新賽道
責編:gltian |2021-04-25 10:01:56APT攻擊、無文件攻擊、加密流量、社會工程、勒索軟件,對手一連串的“組合拳”對終端發(fā)起了瘋狂攻擊,并且這些技術基本都可以穿透所有傳統(tǒng)安全產(chǎn)品下堆疊出的安全架構(gòu)和系統(tǒng)。但也許你并不需要被動挨揍,威脅狩獵(Threat Hunting)將會為你的反擊贏得“加分”。
亞信安全正式推出威脅狩獵服務,以“早發(fā)現(xiàn)、早診斷、早處置、高質(zhì)量”為優(yōu)勢原則,為用戶徹底解決缺少高級攻擊防御經(jīng)驗、缺乏相關高級技術工具、無法對威脅進行溯源等難題提供全面協(xié)助。
什么是威脅狩獵服務?
威脅狩獵是主動的發(fā)現(xiàn)網(wǎng)絡中惡意數(shù)據(jù)及行為的安全審計方法。威脅狩獵服務是由威脅分析專家根據(jù)客戶環(huán)境中的威脅線索,主動進行關聯(lián)分析,在確認威脅影響范圍和影響程度的基礎上,提供治理建議的服務。
判斷威脅狩獵的成熟度級別需要考慮以下三個基本因素:
- 收集和分析數(shù)據(jù)的工具;
- 所收集的數(shù)據(jù)質(zhì)量及細粒度;
- 威脅分析專家的技能水平和獵捕經(jīng)驗。
傳統(tǒng)安全服務 vs 威脅狩獵服務
在網(wǎng)絡安全行業(yè),“傳統(tǒng)安全服務”就像“常規(guī)體檢”,由普通安服人員使用常規(guī)安服工具,對用戶的網(wǎng)絡和主機進行合規(guī)檢查、資產(chǎn)發(fā)現(xiàn)、漏洞掃描、打補丁和網(wǎng)絡入侵檢測等,這些普通安服人員往往缺乏更專業(yè)的知識和工具對異常的情況進行深度的分析。在國際上,以EDR技術為核心的威脅狩獵專家服務已經(jīng)獲得用戶的廣泛認可,其服務核心是由威脅狩獵專家,使用EDR終端檢測及響應工具,根據(jù)威脅跡象和異常情況主動對高級威脅進行“早發(fā)現(xiàn)”、“早診斷”和“早處置”。
威脅狩獵服務的價值
亞信安全威脅狩獵服務為用戶帶來的價值 —— 3“早”1“高”:
早發(fā)現(xiàn):威脅狩獵是需要高級威脅的線索,而安全產(chǎn)品告警和異常行為檢測是這些線索的來源。黑客團伙或者紅藍對抗攻擊方入侵總會利用一些未知的漏洞或者手段,但是在入侵跳板主機成功后,會用一些常規(guī)的手段進行提權、探測和橫向移動,傳統(tǒng)的安全產(chǎn)品和EDR ATT&CK規(guī)則檢測框架都會發(fā)現(xiàn)一些“蛛絲馬跡”,這些蛛絲馬跡就像是叢林中獵物留下的足跡,指引著獵人進行狩獵追蹤。
早診斷:EDR相比于傳統(tǒng)的端點安全防病毒產(chǎn)品的最大區(qū)別就在于操作系統(tǒng)內(nèi)核級別的行為日志高清記錄,它就像是安裝在操作系統(tǒng)上的高清攝像頭,將進程啟停、文件操作、網(wǎng)絡連接、注冊表修改和系統(tǒng)日志如實記錄下來并且長期存儲。威脅狩獵人員可以輸入威脅線索和查詢條件,EDR服務端能夠以可視化的方式繪制出進程事件樹,幫助威脅狩獵人員有效關聯(lián)出疑似威脅的入侵軌跡,確認威脅的影響范圍和影響程度,為根治問題提供技術支撐。
早處置:威脅狩獵人員使用EDR工具進行遠程的遏制和修復,對高級威脅入侵造成的破壞和留存的后期進行根治修復,避免在紅藍對抗和上級監(jiān)管過程中集中爆發(fā)問題。
高質(zhì)量:在亞信安全威脅狩獵諸多的成功案例中,我們發(fā)現(xiàn)用戶對于安全事件線索的看法普遍處于“狼來了”的麻木狀態(tài),即各種安全廠家的產(chǎn)品(尤其是安全態(tài)勢感知平臺)每天都生成海量的告警信息,而安全運維人員即使加班加點也無法處理如此多的告警事件,結(jié)果就是放任這些告警于不顧,等到黑客團伙真正發(fā)起總攻的時候,毫無防范之力。亞信安全推出的大終端2.0運維平臺從根本上改善了上述被動的防護態(tài)勢,我們將亞信安全產(chǎn)品(例如OfficeScan、DS、TDA等)的日常告警日志聚類成有優(yōu)先級排序的安全事件,并且聯(lián)動到EDR產(chǎn)品進行遏制、調(diào)查和修復,完成威脅狩獵分析早發(fā)現(xiàn)、早診斷和早處置的閉環(huán)操作。
亞信安全的威脅狩獵服務,區(qū)別于傳統(tǒng)的安全服務和紅藍對抗的攻防服務,開辟了高級威脅檢測響應的服務新賽道。
威脅狩獵服務依托亞信安全的EDR行為檢測能力和威脅分析的專家能力,能夠有效地檢測零日漏洞等高級威脅,解決這些安全漏洞可能隱藏幾年都發(fā)現(xiàn)不了的安全風險。
威脅狩獵服務由亞信安全具備攻防能力的威脅狩獵專家為用戶提供高級威脅的溯源分析,能夠回答 “誰進來了、是敵是友、干了什么”的疑問,能夠及早發(fā)現(xiàn)治理“潛伏”的高級威脅,避免這些高級威脅在紅藍對抗、重保的關鍵時刻集中發(fā)作。
為何選擇亞信安全威脅狩獵服務
亞信安全開啟國內(nèi)威脅狩獵服務新賽道:
亞信安全的專業(yè)威脅狩獵服務,為用戶提供本地和遠程的高級威脅檢測響應服務,開啟了國內(nèi)威脅狩獵服務新賽道。
在已經(jīng)購買EDR產(chǎn)品的客戶中,威脅狩獵服務積累了眾多成功案例,幫助用戶主動檢測并溯源潛伏在端點側(cè)的高級威脅,深受用戶好評。
EDR作為威脅狩獵服務中的高效工具,其操作系統(tǒng)高清記錄和高級威脅檢測能力,為威脅狩獵專家提供技術支撐。亞信安全EDR產(chǎn)品在2020年IDC中國的廠商評估中位列“領導象限”。
亞信安全EDR產(chǎn)品通過了國內(nèi)權威第三方評測機構(gòu)賽可達實驗室的專業(yè)評測,在國際知名的ATT&CK架構(gòu)模型中以124個技術點覆蓋度在國內(nèi)處于突出地位。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡與信息法治建設回顧