Mandiant的網(wǎng)絡(luò)防御峰會(huì)以兩款新的軟件即服務(wù)（SaaS）產(chǎn)品——主動(dòng)式入侵和情報(bào)監(jiān)控，以及勒索軟件防御驗(yàn)證——作為開(kāi)幕產(chǎn)品，Mandiant的名字也從FireEye（火眼）改為Mandiant，該公司首席執(zhí)行官凱文·曼迪亞在開(kāi)幕主題演講中稱其為“Mandiant part deux”（曼迪昂特回歸）。新產(chǎn)品強(qiáng)調(diào)了該公司多年來(lái)沉淀的豐富知識(shí)和智慧的重要性，以及網(wǎng)絡(luò)安全控制措施的有效性和高效性。隨著火眼產(chǎn)品業(yè)務(wù)的出售，曼迪昂特重新聚焦以威脅情報(bào)和安全響應(yīng)專業(yè)領(lǐng)域。

　　曼迪亞說(shuō)，去年對(duì)于CISO來(lái)說(shuō)是艱難的一年。他在演講中補(bǔ)充道：“我記得自己當(dāng)時(shí)想，今年（2020年）是首席信息安全官最艱難的一年。”“但2021年同樣困難。”火眼在2020年底遭遇了一次網(wǎng)絡(luò)入侵，當(dāng)時(shí)俄羅斯政府支持的黑客在SolarWinds的軟件更新中插入了惡意代碼。他說(shuō)，這種類(lèi)型的“植入”威脅，即攻擊者在軟件構(gòu)建過(guò)程中植入惡意代碼，仍然是CISO最擔(dān)心的三大問(wèn)題?！八?，底線是，供應(yīng)鏈攻擊是公平的游戲。你還會(huì)再見(jiàn)到他們，因?yàn)樗麄兪蔷W(wǎng)絡(luò)間諜的目標(biāo)?！?/p>

　　曼迪亞認(rèn)為，零日攻擊和勒索軟件構(gòu)成了當(dāng)今另外兩大威脅。他補(bǔ)充說(shuō)：“我們?cè)?021年看到的零日比過(guò)去兩年加起來(lái)還要多?！?019年，曼迪昂特記錄了32次野外零日攻擊。這些是從未見(jiàn)過(guò)的攻擊，沒(méi)有可用的補(bǔ)丁來(lái)修復(fù)漏洞。到2020年，這一數(shù)字略降至30次。到2021年為止，曼迪昂特已記錄了64個(gè)零日漏洞。

　　曼迪亞說(shuō)：“有一個(gè)零日漏洞的地下市場(chǎng)，你現(xiàn)在可以獲得的利潤(rùn)是如此之高，以至于過(guò)去零日是國(guó)家的上帝。”這些民族國(guó)家的攻擊者“開(kāi)發(fā)了它們，或者購(gòu)買(mǎi)了它們，然后使用它們”?，F(xiàn)在，我們看到越來(lái)越多的犯罪活動(dòng)使用零日攻擊，因?yàn)樗麄兛梢詮倪@些攻擊中賺到大量的金錢(qián)。

　　當(dāng)然，勒索軟件是犯罪團(tuán)伙牟取暴利的另一種攻擊手段?！斑@是董事會(huì)的頭號(hào)話題，”曼迪亞說(shuō)。“這正在改變我們業(yè)務(wù)的方式，但坦率地說(shuō)，這意味著：不要成為組織中容易摘到的果實(shí)。想辦法增強(qiáng)你的安全感?！?/p>

　　從Mandiant到FireEye再到Mandiant

　　除了在華盛頓舉辦網(wǎng)絡(luò)防御峰會(huì)，并于本周發(fā)布了兩款SaaS產(chǎn)品外，Mandiant還完成了名稱更改。

　　FireEye最初在2014年以大約10億美元的價(jià)格收購(gòu)了Mandiant，隨后將Mandiant的創(chuàng)始人曼迪婭提拔為首席執(zhí)行官。火眼公司更名為Mandiant是將其產(chǎn)品業(yè)務(wù)出售給私募股權(quán)公司Symphony Technology Group的結(jié)果。

　　今年6月，F(xiàn)ireEye表示將以12億美元的價(jià)格將其產(chǎn)品業(yè)務(wù)出售給STG，并將其Mandiant威脅情報(bào)和事件響應(yīng)部門(mén)重新整合為一家獨(dú)立公司。

　　在收購(gòu)FireEye產(chǎn)品業(yè)務(wù)的幾個(gè)月前，STG斥資40億美元收購(gòu)了McAfee的企業(yè)安全業(yè)務(wù)。去年，STG又以略高于20億美元的價(jià)格從戴爾技術(shù)公司（Dell Technologies）手中收購(gòu)了安全供應(yīng)商RSA。

　　首席產(chǎn)品官Chris.Key表示，更名為Mandiant意義重大，因?yàn)樗鼘⒅攸c(diǎn)放在了公司在網(wǎng)絡(luò)安全前線的工作上。他補(bǔ)充說(shuō)，Mandiant每年要花20多萬(wàn)個(gè)小時(shí)來(lái)應(yīng)對(duì)入侵?！按蠹s每?jī)蓚€(gè)月進(jìn)行一次IR。這讓我們對(duì)攻擊者現(xiàn)在正在做什么有了巨大的了解，并掌握了如何防御攻擊的強(qiáng)大專業(yè)知識(shí)?！?/p>

　　他說(shuō)：“我們看到的是，市場(chǎng)繼續(xù)在安全上花更多的錢(qián)，購(gòu)買(mǎi)越來(lái)越多的控制措施，投入越來(lái)越多的人員來(lái)解決這個(gè)問(wèn)題，但并沒(méi)有提高安全效率?！?/p>

　　Key說(shuō)，這是因?yàn)橛行У陌踩皇腔谠贗T環(huán)境中部署的控制和產(chǎn)品。而是基于安全控制背后的專業(yè)知識(shí)和情報(bào)。他還說(shuō)，大多數(shù)攻擊都是利用多年前的漏洞攻破組織。

　　“如果我們看看像SolarWinds這樣的廣泛的供應(yīng)鏈攻擊：每一個(gè)主要控制供應(yīng)商的產(chǎn)品都牽涉其中，但仍然有18000個(gè)客戶得到了SolarWinds能夠利用的糟糕的二進(jìn)制文件，”Key說(shuō)?！案鶕?jù)我們的專業(yè)知識(shí)和追蹤能力，只有一個(gè)團(tuán)隊(duì)能夠發(fā)現(xiàn)（漏洞）。如果我們能擴(kuò)大這種專業(yè)知識(shí)和智慧，我們就能讓這個(gè)行業(yè)變得更有效?！?/p>

　　這就是為什么Mandiant推出了XDR平臺(tái)，并希望成為一家獨(dú)立的公司：“不是通過(guò)專注于控制，而是通過(guò)使這些控制更有效、更高效，來(lái)應(yīng)對(duì)這些挑戰(zhàn)，”他說(shuō)。

　　勒索軟件防御驗(yàn)證

　　Mandiant本周推出的一款新的軟件即服務(wù)（SaaS）產(chǎn)品直接應(yīng)對(duì)勒索軟件的威脅。這款產(chǎn)品的設(shè)計(jì)都是為了支持Mandiant的多供應(yīng)商擴(kuò)展檢測(cè)和響應(yīng)（XDR）平臺(tái)，該平臺(tái)被稱為Mandiant Advantage，將于2022年初全面投入使用。

　　勒索軟件防御驗(yàn)證允許組織測(cè)試他們針對(duì)流行勒索軟件的安全控制，確定他們?nèi)菀资艿侥男┕?，然后在防御中修?fù)的這些缺陷，這樣他們就不會(huì)受到攻擊。它是由Mandiant對(duì)活躍勒索軟件組織的威脅情報(bào)提供的。

　　“我們維護(hù)并上這些勒索組織的一個(gè)大數(shù)據(jù)庫(kù)，它的不斷更新，基于我們?cè)诶账魇录憫?yīng)中看到信息，”首席產(chǎn)品官Chris.Key在接受采訪時(shí)表示，他補(bǔ)充說(shuō)，這是一個(gè)動(dòng)態(tài)的威脅評(píng)估。

　　他解釋說(shuō)：“在我們與客戶合作的過(guò)程中，測(cè)試的內(nèi)容會(huì)根據(jù)客戶的資料和我們所看到的最活躍的威脅而改變。”

　　該產(chǎn)品為客戶提供了針對(duì)勒索軟件的主動(dòng)保護(hù)，而不是等待Mandiant或其他事故響應(yīng)團(tuán)隊(duì)在攻擊后進(jìn)行清理。Key說(shuō)，它的獨(dú)特之處在于，它為組織機(jī)構(gòu)提供了他們沒(méi)有受到保護(hù)的勒索軟件菌株的量化信息。

　　“市場(chǎng)上大多數(shù)安全控制供應(yīng)商的產(chǎn)品都會(huì)說(shuō)他們正在保護(hù)客戶免受勒索軟件的侵害，但他們沒(méi)有提供任何可量化的信息，”他說(shuō)。“此外，在大多數(shù)情況下，我們?cè)诳蛻粼獾狡茐牟l(fā)生勒索軟件事件后進(jìn)入他們的環(huán)境，他們擁有他們認(rèn)為可以保護(hù)他們的控制措施，但這些控制措施沒(méi)有正確設(shè)置或只是沒(méi)有能力。因此，您可以從未量化安全性的控制供應(yīng)商那里獲得錯(cuò)誤的安全感。”

　　勒索軟件防御驗(yàn)證使用真實(shí)的勒索軟件測(cè)試組織的安全控制，“因此我們可以 100% 肯定地告訴您，當(dāng)該勒索軟件發(fā)生時(shí)，您的環(huán)境會(huì)做什么，以及您的控制是否檢測(cè)到并阻止了它，”Key 說(shuō)。

　　隨著勒索軟件攻擊的增加，組織的安全態(tài)勢(shì)已轉(zhuǎn)移到董事會(huì)級(jí)別的討論中。Key補(bǔ)充說(shuō)，CISO 需要能夠回答在Darkside或REvil勒索軟件攻擊事件中企業(yè)會(huì)發(fā)生什么。

　　通常，答案是：“我們認(rèn)為我們會(huì)沒(méi)事的。我們買(mǎi)了很多安全產(chǎn)品，”他說(shuō)。然而，Mandiant 的新型勒索軟件預(yù)防產(chǎn)品“是關(guān)于將要發(fā)生的事情的經(jīng)驗(yàn)數(shù)據(jù)?！?/p>

　　主動(dòng)的入侵和情報(bào)監(jiān)控

　　Mandiant的第二款新產(chǎn)品“主動(dòng)的入侵和情報(bào)監(jiān)控”（Active Breach and Intel Monitoring）可以識(shí)別組織IT環(huán)境中的相關(guān)泄露指標(biāo)（IOC）。這是基于Mandiant全球事件響應(yīng)團(tuán)隊(duì)的入侵調(diào)查和威脅情報(bào)研究的實(shí)時(shí)信息。

　　使用這些數(shù)據(jù)，安全模塊搜索客戶的數(shù)據(jù)，查找30天前的IOC指標(biāo)。它使用基于數(shù)據(jù)科學(xué)的評(píng)分和相關(guān)因素（如行程方向和IOC類(lèi)型）對(duì)IOC匹配進(jìn)行優(yōu)先排序，以便安全團(tuán)隊(duì)能夠更有效地應(yīng)對(duì)高優(yōu)先級(jí)的威脅。

　　客戶看到關(guān)于SolarWinds入侵或Colonial Pipeline勒索軟件攻擊的頭條新聞，“客戶經(jīng)常聽(tīng)到的一件事是：我們?nèi)绾沃廊肭质欠癜l(fā)生在我們的環(huán)境中？”而主動(dòng)式入侵和情報(bào)監(jiān)控所做的是將客戶的安全數(shù)據(jù)與我們的事故應(yīng)急人員在前線發(fā)現(xiàn)的數(shù)據(jù)聯(lián)系起來(lái)?！?/p>

　　值得注意的是，Mandiant事件響應(yīng)團(tuán)隊(duì)對(duì)Colonial Pipeline和SolarWinds都做出了回應(yīng)，而其威脅追蹤者最初發(fā)現(xiàn)了SolarWinds的漏洞。