Mandiant的網(wǎng)絡(luò)防御峰會以兩款新的軟件即服務(wù)(SaaS)產(chǎn)品——主動式入侵和情報監(jiān)控,以及勒索軟件防御驗證——作為開幕產(chǎn)品,Mandiant的名字也從FireEye(火眼)改為Mandiant,該公司首席執(zhí)行官凱文·曼迪亞在開幕主題演講中稱其為“Mandiant part deux”(曼迪昂特回歸)。新產(chǎn)品強(qiáng)調(diào)了該公司多年來沉淀的豐富知識和智慧的重要性,以及網(wǎng)絡(luò)安全控制措施的有效性和高效性。隨著火眼產(chǎn)品業(yè)務(wù)的出售,曼迪昂特重新聚焦以威脅情報和安全響應(yīng)專業(yè)領(lǐng)域。
曼迪亞說,去年對于CISO來說是艱難的一年。他在演講中補(bǔ)充道:“我記得自己當(dāng)時想,今年(2020年)是首席信息安全官最艱難的一年?!薄暗?021年同樣困難?!被鹧墼?020年底遭遇了一次網(wǎng)絡(luò)入侵,當(dāng)時俄羅斯政府支持的黑客在SolarWinds的軟件更新中插入了惡意代碼。他說,這種類型的“植入”威脅,即攻擊者在軟件構(gòu)建過程中植入惡意代碼,仍然是CISO最擔(dān)心的三大問題?!八?,底線是,供應(yīng)鏈攻擊是公平的游戲。你還會再見到他們,因為他們是網(wǎng)絡(luò)間諜的目標(biāo)。”
曼迪亞認(rèn)為,零日攻擊和勒索軟件構(gòu)成了當(dāng)今另外兩大威脅。他補(bǔ)充說:“我們在2021年看到的零日比過去兩年加起來還要多。”2019年,曼迪昂特記錄了32次野外零日攻擊。這些是從未見過的攻擊,沒有可用的補(bǔ)丁來修復(fù)漏洞。到2020年,這一數(shù)字略降至30次。到2021年為止,曼迪昂特已記錄了64個零日漏洞。
曼迪亞說:“有一個零日漏洞的地下市場,你現(xiàn)在可以獲得的利潤是如此之高,以至于過去零日是國家的上帝?!边@些民族國家的攻擊者“開發(fā)了它們,或者購買了它們,然后使用它們”?,F(xiàn)在,我們看到越來越多的犯罪活動使用零日攻擊,因為他們可以從這些攻擊中賺到大量的金錢。
當(dāng)然,勒索軟件是犯罪團(tuán)伙牟取暴利的另一種攻擊手段?!斑@是董事會的頭號話題,”曼迪亞說。“這正在改變我們業(yè)務(wù)的方式,但坦率地說,這意味著:不要成為組織中容易摘到的果實。想辦法增強(qiáng)你的安全感?!?/p>
從Mandiant到FireEye再到Mandiant
除了在華盛頓舉辦網(wǎng)絡(luò)防御峰會,并于本周發(fā)布了兩款SaaS產(chǎn)品外,Mandiant還完成了名稱更改。
FireEye最初在2014年以大約10億美元的價格收購了Mandiant,隨后將Mandiant的創(chuàng)始人曼迪婭提拔為首席執(zhí)行官?;鹧酃靖麨镸andiant是將其產(chǎn)品業(yè)務(wù)出售給私募股權(quán)公司Symphony Technology Group的結(jié)果。
今年6月,F(xiàn)ireEye表示將以12億美元的價格將其產(chǎn)品業(yè)務(wù)出售給STG,并將其Mandiant威脅情報和事件響應(yīng)部門重新整合為一家獨立公司。
在收購FireEye產(chǎn)品業(yè)務(wù)的幾個月前,STG斥資40億美元收購了McAfee的企業(yè)安全業(yè)務(wù)。去年,STG又以略高于20億美元的價格從戴爾技術(shù)公司(Dell Technologies)手中收購了安全供應(yīng)商RSA。
首席產(chǎn)品官Chris.Key表示,更名為Mandiant意義重大,因為它將重點放在了公司在網(wǎng)絡(luò)安全前線的工作上。他補(bǔ)充說,Mandiant每年要花20多萬個小時來應(yīng)對入侵?!按蠹s每兩個月進(jìn)行一次IR。這讓我們對攻擊者現(xiàn)在正在做什么有了巨大的了解,并掌握了如何防御攻擊的強(qiáng)大專業(yè)知識?!?/p>
他說:“我們看到的是,市場繼續(xù)在安全上花更多的錢,購買越來越多的控制措施,投入越來越多的人員來解決這個問題,但并沒有提高安全效率。”
Key說,這是因為有效的安全不是基于在IT環(huán)境中部署的控制和產(chǎn)品。而是基于安全控制背后的專業(yè)知識和情報。他還說,大多數(shù)攻擊都是利用多年前的漏洞攻破組織。
“如果我們看看像SolarWinds這樣的廣泛的供應(yīng)鏈攻擊:每一個主要控制供應(yīng)商的產(chǎn)品都牽涉其中,但仍然有18000個客戶得到了SolarWinds能夠利用的糟糕的二進(jìn)制文件,”Key說?!案鶕?jù)我們的專業(yè)知識和追蹤能力,只有一個團(tuán)隊能夠發(fā)現(xiàn)(漏洞)。如果我們能擴(kuò)大這種專業(yè)知識和智慧,我們就能讓這個行業(yè)變得更有效?!?/p>
這就是為什么Mandiant推出了XDR平臺,并希望成為一家獨立的公司:“不是通過專注于控制,而是通過使這些控制更有效、更高效,來應(yīng)對這些挑戰(zhàn),”他說。
勒索軟件防御驗證
Mandiant本周推出的一款新的軟件即服務(wù)(SaaS)產(chǎn)品直接應(yīng)對勒索軟件的威脅。這款產(chǎn)品的設(shè)計都是為了支持Mandiant的多供應(yīng)商擴(kuò)展檢測和響應(yīng)(XDR)平臺,該平臺被稱為Mandiant Advantage,將于2022年初全面投入使用。
勒索軟件防御驗證允許組織測試他們針對流行勒索軟件的安全控制,確定他們?nèi)菀资艿侥男┕?,然后在防御中修?fù)的這些缺陷,這樣他們就不會受到攻擊。它是由Mandiant對活躍勒索軟件組織的威脅情報提供的。
“我們維護(hù)并上這些勒索組織的一個大數(shù)據(jù)庫,它的不斷更新,基于我們在勒索事件響應(yīng)中看到信息,”首席產(chǎn)品官Chris.Key在接受采訪時表示,他補(bǔ)充說,這是一個動態(tài)的威脅評估。
他解釋說:“在我們與客戶合作的過程中,測試的內(nèi)容會根據(jù)客戶的資料和我們所看到的最活躍的威脅而改變?!?/p>
該產(chǎn)品為客戶提供了針對勒索軟件的主動保護(hù),而不是等待Mandiant或其他事故響應(yīng)團(tuán)隊在攻擊后進(jìn)行清理。Key說,它的獨特之處在于,它為組織機(jī)構(gòu)提供了他們沒有受到保護(hù)的勒索軟件菌株的量化信息。
“市場上大多數(shù)安全控制供應(yīng)商的產(chǎn)品都會說他們正在保護(hù)客戶免受勒索軟件的侵害,但他們沒有提供任何可量化的信息,”他說。“此外,在大多數(shù)情況下,我們在客戶遭到破壞并發(fā)生勒索軟件事件后進(jìn)入他們的環(huán)境,他們擁有他們認(rèn)為可以保護(hù)他們的控制措施,但這些控制措施沒有正確設(shè)置或只是沒有能力。因此,您可以從未量化安全性的控制供應(yīng)商那里獲得錯誤的安全感。”
勒索軟件防御驗證使用真實的勒索軟件測試組織的安全控制,“因此我們可以 100% 肯定地告訴您,當(dāng)該勒索軟件發(fā)生時,您的環(huán)境會做什么,以及您的控制是否檢測到并阻止了它,”Key 說。
隨著勒索軟件攻擊的增加,組織的安全態(tài)勢已轉(zhuǎn)移到董事會級別的討論中。Key補(bǔ)充說,CISO 需要能夠回答在Darkside或REvil勒索軟件攻擊事件中企業(yè)會發(fā)生什么。
通常,答案是:“我們認(rèn)為我們會沒事的。我們買了很多安全產(chǎn)品,”他說。然而,Mandiant 的新型勒索軟件預(yù)防產(chǎn)品“是關(guān)于將要發(fā)生的事情的經(jīng)驗數(shù)據(jù)?!?/p>
主動的入侵和情報監(jiān)控
Mandiant的第二款新產(chǎn)品“主動的入侵和情報監(jiān)控”(Active Breach and Intel Monitoring)可以識別組織IT環(huán)境中的相關(guān)泄露指標(biāo)(IOC)。這是基于Mandiant全球事件響應(yīng)團(tuán)隊的入侵調(diào)查和威脅情報研究的實時信息。
使用這些數(shù)據(jù),安全模塊搜索客戶的數(shù)據(jù),查找30天前的IOC指標(biāo)。它使用基于數(shù)據(jù)科學(xué)的評分和相關(guān)因素(如行程方向和IOC類型)對IOC匹配進(jìn)行優(yōu)先排序,以便安全團(tuán)隊能夠更有效地應(yīng)對高優(yōu)先級的威脅。
客戶看到關(guān)于SolarWinds入侵或Colonial Pipeline勒索軟件攻擊的頭條新聞,“客戶經(jīng)常聽到的一件事是:我們?nèi)绾沃廊肭质欠癜l(fā)生在我們的環(huán)境中?”而主動式入侵和情報監(jiān)控所做的是將客戶的安全數(shù)據(jù)與我們的事故應(yīng)急人員在前線發(fā)現(xiàn)的數(shù)據(jù)聯(lián)系起來?!?/p>
值得注意的是,Mandiant事件響應(yīng)團(tuán)隊對Colonial Pipeline和SolarWinds都做出了回應(yīng),而其威脅追蹤者最初發(fā)現(xiàn)了SolarWinds的漏洞。