近年来,随着数字产业化和产业数字化进程加快,网络安全的基础性、关键性作用更加突出。加之百年变局和世纪疫情交织叠加,国际环境日趋复杂,网络霸权主义对世界和平与发展构成威胁,国家产业链、供应链及关键基础设施频繁遭受冲击,网络空间安全的形势复杂多变,针对关键基础设施行业和新技术、新场景的网络安全威胁事件频发。
2022年6月,西北工业大学表示,西工大电子邮件系统遭受网络攻击。9月5日,国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA网络攻击事件调查报告》,揭露了境外黑客组织长期渗透控制中国基础设施核心设备,窃取中国用户隐私信息的事实。
这一安全事件让APT高级可持续性威胁这一行业用语走到台前,让社会各界加深了对活跃在网络阴暗面的网络攻击活动的认知。事实上,在大众视野之外,APT攻击、勒索攻击、超大规模数据泄露、波及范围极广的重大安全漏洞等类型众多的安全事件时刻都在发生,网络空间的安全形势岌岌可危。
攻击手段持续升级 安全挑战前所未有
随着当前网络攻击愈加复杂,且通过各类技术、工具的自动化攻击也令攻击数量显著增长,传统安全产品无论是在应对这种持续性威胁的能力上有明显不足,尤其是企业安全建设必备的如防火墙、IDS、IPS等等设备也因攻击数量的增加而产生的告警数量日益增长,加之这些安全产品彼此之间相互割裂,告警数量呈现多源并发增长,也令企业的安全运营效率进一步降低。
综合业内多位安全专家的解读,当前威胁检测和响应工作难点主要存在于以下层面:
1
攻击呈现碎片化、复杂化。如今的攻击者已经具备比较全面的情报收集能力和分析能力,会使用更系统化的攻击工具和更具针对性的攻击手法,角度刁钻、手段叠加、样本多变,反映在安全事件层面则呈现出碎片化和复杂化的特点,攻击行为不易被发现,在内部横向移动提权感染多个点位,却很难有效溯源分析出攻击的全貌。
2
IT架构演化导致攻击入口增多。传统的IT架构逐渐向云端迁移,云计算环境涉及IT基础硬件、操作系统以及业务系统等,虚拟机、微服务及容器的广泛应用让传统的设备边界不再那么清晰,企业的资产暴露面显著扩大,导致攻击入口增多而且愈加复杂。
3
单点防御能效低下。企业多年来跟随其信息化发展而逐步建立的安全防护体系已呈堆叠之势,网络侧、主机侧、应用侧都部署了不同的检测、防御、监控、诱捕等功能的产品,大量异构产品各自聚焦于单点的检测,缺乏统一的安全策略,上下文缺失,给运营人员带来大量告警,效率低,准确率低,而云化环境中故障域的耦合更加紧密,针对问题根源的判断十分困难。
4
突发安全事件波及广、影响深。类似log4j漏洞、SolarWinds攻击等影响范围巨大的安全事件如今发生得越来越频繁,开源软件的广泛使用、各行业供应链的成熟导致基础框架、组件爆发漏洞极易引起涟漪效应。这类事件往往让企业猝不及防,没有有效的手段发现并处置风险。
面对愈发严峻的安全挑战,政企用户迫切需要一个更加系统的的安全平台或解决方案,来体系化解决威胁事件的检测、溯源、取证、响应与处置问题。
XDR热浪已至 国内XDR市场百花齐放
IT环境、技术的发展让攻击手段不断进化、安全形势日益严峻,相应的,威胁检测与响应技术也在不停更迭。在安全419理解来看,威胁不仅出现在网络流量侧,硬件、服务器、中间件等主机终端同样需要重视,各家安全厂商纷纷从流量侧、终端侧、主机侧提出了威胁检测与响应解决方案。
但与此同时,作为一个更具综合型的系统化解决方案,XDR也正在从概念层面走向落地。XDR(Extended Detection And Response,扩展检测与响应)在当前仍然还可以算是一个新的概念,自2018年由Palo Alto Networks提出至今,也未满五年,不可否认的是,这几年来它一直广受追捧,而在Gartner于2020年将其列入《安全和风险管理趋势》的第一项技术趋势之后,一时间XDR概念热潮更是汹涌,在我国同样如此。
XDR技术则将最初的IDS、IPS、NTA、HIDS、EDR、NDR等都列为扩展项,XDR并非是一个单品,而是一个“套件”,几乎可以接纳所有面向威胁检测与相应的产品或模块,并最终通过一个系统去进行管理。它强调的是由孤立单点式威胁检测过渡到基于更多上下文数据,进行全面威胁检测的整体安全思路的转变。
从XDR技术诞生至今,国内已有多家安全厂商躬身入局,包括综合性安全厂商、拥有XDR定义下某一类产品的专业厂商甚至一些初创厂商都在这一被称之为“下一个安全发展方向”的领域增加投入,期望能够令自己赢下未来之战。
纵观当前行业中的XDR玩家,我们认为,考虑到XDR高集成的特点以及不同品牌、产品之间的相对不够开放的情况影响,综合性安全厂商依靠自身在产品线的多方位布局、深厚的实战经验沉淀、丰富的客户资源等多方面优势,将会在当前阶段整体的XDR市场竞争格局中具备较强优势。而专业厂商和XDR领域的初创企业,其所具备更强创新驱动力将有利于为行业提供更多的新思路,充分发挥在“专”方面的优势,同样是推动XDR产品能力进步的重要动能,伴随着市场的逐渐成熟,他们必将拥有更广阔的发展空间。
2022年初,安全419推出《高级威胁检测与响应解决方案》系列访谈,邀请相关安全厂商分享主动感知、分析、防御、溯源高级威胁的成功经验,及其方案服务的能力和特色,分享最佳用户实践。
通过对多家安全厂商相关产品/解决方案与业务情况的走访调研,基于自身的理解,从技术创新、应用实践、客户评价、行业口碑等多个维度择优推荐其中具有代表性的部分优秀厂商,最终推荐给各行业用户重点关注,为企业用户加强安全建设提供一定的参考。
PS:
以下推荐不涉及排名先后,按公司名称首字母排序
安全419 编辑推荐
高级威胁检测与响应细分赛道优秀企业
安芯网盾
企
业
介
绍
安芯网盾是内存安全领域的开拓者和领军者,致力于为政府、金融、运营商、军工、教育、医疗、互联网及大型企业等行业客户提供新一代高级威胁实时防护解决方案。安芯网盾基于内存保护技术推出了内存安全细分领域的主打产品「内存保护系统」,是国内首家提供基于内存的主机安全解决方案,基于CPU指令集执行监控、内存访问行为监控、程序行为分析等前沿技术实现,建立程序运行时的安全保障能力,不断提升主动防护能力,尽量减少在攻击完成后再采取安全措施的“亡羊补牢”局面,有效应对系统设计缺陷、外部入侵等威胁,实时防御并终止无文件攻击、0day漏洞攻击、内存马攻击等高级威胁,有效保障客户核心业务不被中断、核心数据不被窃取。
编辑推荐理由
网络安全行业总是不缺乏创新,安芯网盾就是其中优秀的创新代表企业之一。安芯网盾是国内首家提出内存安全保护技术以及推出成熟可落地安全产品的厂商,填补了业界在此类安全产品方面的空白。在安芯网盾的带领下,许多大厂都基于内存的保护技术上做了大量的架构重构。在主机和终端有效利用内存保护这种新的技术来检测针对内存的漏洞利用和内存马攻击,已经成为了当前业内普遍认可的威胁检测技术路线。而相较业内一些初入局者,安芯网盾的内存保护技术落地应用时提供的保护面更广泛,其技术可以为服务器、PC提供全方位的内存安全保护,并不是只针对内存进行单纯的威胁检测或数据保护,且未来还可包容更多的应用场景。
相关报道
奇安信
企
业
介
绍
奇安信科技集团股份有限公司(以下简称奇安信,股票代码688561)成立于2014年,专注于网络空间安全市场,向政府、企业用户提供新一代企业级网络安全产品和服务,在人员规模、收入规模和产品覆盖度上均位居行业第一。
编辑推荐理由
奇安信椒图云锁服务器安全管理系统(椒图)依据云工作负载保护平台 CWPP 框架打造,是一款深扎服务器攻击面管理和运行时防护的实战型服务器安全产品。椒图基于资产与风险管理,提前发现安全薄弱点,实现攻击面的有效管理;通过 In-App WAF 探针、RASP探针、内核加固探针等运行时防护技术,有效检测与抵御木马后门、暴力破解、无文件攻击、漏洞利用、SQL 注入等恶意攻击。在服务器端构筑事前加固、事中对抗、事后溯源的全程防线,实现网络层、系统层、应用层一体化防护,可有效保护服务器、虚拟机、云主机、容器等工作负载免受黑客及恶意代码攻击,满足实战攻防要求。同时,椒图凭借与奇安信安全服务、威胁情报、高级威胁发现、态势感知、终端等优势产品及能力的协同联动,可以为客户提供云内外一致的安全视野与管控粒度。
相关报道
微步在线
企
业
介
绍
微步成立于2015年,是数字时代网络安全技术创新型企业,专注于精准、高效、智能的网络威胁发现和响应,开创并引领中国威胁情报行业的发展,提供“云+流量+端点”全方位威胁发现和响应产品及服务,帮助客户建立全生命周期的威胁监控体系和安全响应能力。
编辑推荐理由
把威胁情报这件事情做到极致后,微步在线基于海量情报数据的安全云为核心能力,其安全能力和业务范围逐渐从威胁情报拓展到全方位的威胁发现和响应。去响应当前企业用户更多的安全需求,包括威胁感知、威胁情报管理、云化端点响应、云化互联网安全接入、安全分析社区和应急响应服务等多个场景。可以看到全速前进的微步在线正在打造一个全面的“检测-响应”产品矩阵,目前微步已推出了X安全情报社区、威胁发现与响应平台TDP、本地威胁情报管理平台TIP、互联网安全接入服务OneDNS、主机威胁检测响应平台OneEDR等基于不同安全场景和需求的网络威胁检测响应产品,不断将领先的威胁情报能力产品化,为企业威胁发现与安全运营工作赋能。
相关报道
未来智安
企
业
介
绍
北京未来智安科技有限公司(以下简称“未来智安”)以安全左中右的理念,为客户提供精准全面的攻击面管理、网络安全检测、高效自动化的威胁运营能力和产品方案。2021 年1月,未来智安成功推出国内首款XDR产品,产品已在金融、能源、运营商等行业头部客户落地应用,并获得高度评价。未来智安主打产品XDR具备终端和流量的全面检测能力,XDR平台智能化事件分析引擎(AiE)自动将每天千万级零散告警生成几十条完整攻击事件,攻击检测有效性提升百倍以上。XDR平台自动化安全编排技术(SOAR)实现事件响应处置的高效自动化,可将威胁事件运营效率从过去小时级提高到分钟级,运营效率提升8倍以上。
编辑推荐理由
凭借此前在EDR、SIEM方面的先发优势,目前已有多家一线安全大厂躬身入局XDR这一技术领域,但在我们看来,或许正是因为大厂与腰部安全厂商的相对隔离,导致大厂在集成不同品牌安全产品时面临诸多难点,而这也正是未来智安这样一家专注在XDR领域的初创安全厂商的机会所在。未来智安目前已经成为了XDR扩展检测与响应领域代表性厂商之一。基于原生的未来智安EDR、NDR,未来智安XDR能够实现跨端跨流量的立体化威胁检测,为安全运营带来完整的上下文和威胁的可见性。基于SOAR的安全编排与自动化响应处置能力,未来智安XDR能够针对不同类型的威胁告警进行告警的自动化分析核实及告警的归并,有效降低告警量及告警误报率,为客户提供高效自动化的威胁运营能力和产品方案。
相关报道
✦
推荐阅读
✦
粉丝福利群开放啦
加安全419好友进群
红包/书籍/礼品等不定期派送
原文始发于微信公众号(安全419):《安全419 编辑推荐 | 2022年度细分赛道优秀企业》高级威胁检测与响应篇
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论