终端安全的“微”小一“步”,XDR的一大步 | 微步在线发布OneEDR

  • A+
所属分类:安全新闻

大家好,我们是微步在线,一家不仅仅会搞威胁情报的公司。


前两天我们宣布了新一轮融资消息(点这里),很多人都想知道我们下一步想做什么,毕竟我们累计融资金额已经超过10亿元了,再满足于做一家细分领域的公司,就难免有点“不思进取”。


所以我们在3月17号搞了点事情,我们发布了端点检测响应产品 OneEDR。
终端安全的“微”小一“步”,XDR的一大步 | 微步在线发布OneEDR


// 我们为什么想搞一个 EDR 产品?

大家都知道,网络威胁的背后是攻击者,企业每天在网络环境中发现几十万、上百万告警,但这些告警经过清洗提炼以后,绝大部分无效告警都会被过滤掉,有效的告警经过聚合以后,会变成十几个、甚至几个攻击事件。安全运维人员只要集中精力把这几个攻击事件解决掉,就已经完成了当天的主要工作。


事实上,如果没有合适的威胁检测和响应工具,安全运维人员很容易被来自各个网关、端口的告警淹没。有了工具也没法一劳永逸,由于威胁检测和响应产品的场景化属性非常强,只能各自为战。我们可以通过防火墙、DNS 解析等手段把大部分坏人筛出去,但还是会有一小撮坏人成功混入,而流量检测只能通过他们的行进路线来判断谁是坏人,当坏人们进到服务器、PC 等终端内部以后,仅凭流量检测,我们没办法知道坏人在服务器里干了什么。
终端安全的“微”小一“步”,XDR的一大步 | 微步在线发布OneEDR


如果有一个基于端点的检测产品和流量检测产品结合起来,端侧出了什么事情,能“告诉”流量侧,两边发现的告警、敏感行为等放在一起分析,这样就会发现,在流量侧和端侧分别表现为低风险的告警,背后可能是一起高风险的事件,单独用流量检测或者端点检测都无法检出。


这就是我们想搞 EDR 产品的初心。当有坏人想攻击我们时,我们能通过 DNS 解析把他们筛出去,能用蜜罐把他们圈住,能从流量里看到他们的蛛丝马迹,也能在终端上时时刻刻盯着他们的动向,稍有不对就可以一键处置。然后,低级威胁的溯源归产品,高级威胁的溯源归分析师。


// 微步在线的 OneEDR 现在能做到哪些事情?

OneEDR 最强大的功能就在于能和我们的流量检测响应产品 TDP 结合起来。OneEDR 和 TDP 在做分析的时候,可以互相成为彼此的“眼”和“大脑”,流量侧在做分析时,能用到端提供的信息,同样端在做分析的时候也能用到流量侧的信息,这样的深度联动能做到很多事情,比如对 webshell 的发现,我们现在可以做到 99% 以上的检出。


回到 OneEDR 本身。想做好一个终端检测响应产品,就必须做到知己知彼,才能把告警聚合成事件,我们在设计 OneEDR 的时候,从一开始就是威胁情报和机器学习两条腿走路。作为微步产品矩阵的一员,OneEDR 从一开始就装载了微步在线的威胁情报能力,同时还能够将安全运营人员的处置记录作为反馈信息,利用机器学习算法持续优化、自适应更新检测算法,打造专属该企业的检测引擎系统。


所以,如果简单概括我们 OneEDR 的优势,应该是:绝不漏报,极少误报,高效溯源,非常轻量
终端安全的“微”小一“步”,XDR的一大步 | 微步在线发布OneEDR


OneEDR 能够聚焦入侵检测,全面发现入侵行为。首先,依赖微步在线高水准的威胁情报,OneEDR 清楚掌握黑客团伙动向,实时检出 C&C 远控、僵尸网络、网络黑产等攻击威胁。其次,基于 ATT&CK 框架,OneEDR 聚焦黑客入侵动作并多点布防,全面检测黑客的异常登录、漏洞利用、反弹 shell、后门安装、本地提权、横向移动等全链路攻击,实现一次入侵多点告警,黑客无处遁形。同样重要的是,通过对海量恶意文件的学习,OneEDR 对挖矿、勒索、webshell、后门等木马脚本有非常高的检出率。最后依托微步在线成熟的云沙箱服务,OneEDR 对可疑文件的进行深度甄别,绝不漏报。


OneEDR 可以精准发现入侵,整体准确率高达 90% 以上。一方面,OneEDR 接入准确率达 99.9% 的情报和准确率达 99% 的 webshell引擎,做到箭无虚发;另一方面,OneEDR 将所有行为检测结果和文件检测结果对应到 ATT&CK 攻击阶段,对一次攻击事件进行多点关联、全链路取证,确认黑客攻击链路方才告警,做到极少误报。


OneEDR 还能自动还原攻击全链路,助力高效运营。OneEDR 提供高效易用的图溯源工具,可以直观展示完整的黑客攻击链路和攻击范围,并能在图上操作调取行为日志定点深挖,提高溯源效率。此外,OneEDR 采用小终端大服务的架构设计,服务端的大数据处理平台支持开发复杂高效的机器学习算法用于检测入侵行为,提升了检测能力并最大限度地减少了对端上服务的影响。


在实现上述功能和优势的同时,OneEDR 占用户网络和软硬件资源极小。OneEDR 对用户 Agent CPU 消耗控制在 1% 以下,内存消耗控制在 70MB,同时在终端上应用数据过滤和压缩技术,可控制采集数据量平均在每天 10MB 左右,对 CPU 性能和网络带宽的影响极小。

 

// 不仅仅会搞威胁情报,微步在线还能做什么?

微步在线一直在做的事,就是把威胁情报能力放在更多的安全场景中,我们能成为威胁发现和响应专家的前提,就是建立起“云+终端+流量”的检测响应体系。

终端安全的“微”小一“步”,XDR的一大步 | 微步在线发布OneEDR


我们的流量检测响应产品 TDP 已经部署在 300 余家大型企业中,我们的本地威胁情报管理平台 TIP 支撑着能源、电力、互联网、制造业等多个行业的网络安全,我们还把威胁情报和 DNS 结合在一起,做出了国内第一个 DNS 防护产品 OneDNS。所有的产品线背后都是微步在线的威胁情报云,在 OneEDR 发布之前,我们离“云+终端+流量”还差一个终端的距离。


今天,这个距离已经消失了。我们的 OneEDR 可能只是终端安全的微小一步,但这将是我们 XDR 路线的一大步。


微步在线OneEDR线上开箱

3月25日,我们将以直播形式进行OneEDR开箱&答疑,欢迎届时观看!(扫码报名)

P.S. 参与直播,还有更多福利哦~

终端安全的“微”小一“步”,XDR的一大步 | 微步在线发布OneEDR


终端安全的“微”小一“步”,XDR的一大步 | 微步在线发布OneEDR


点击”阅读原文“,立即报名

本文始发于微信公众号(安全威胁情报):终端安全的“微”小一“步”,XDR的一大步 | 微步在线发布OneEDR

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: