《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 360 XDR:安全運(yùn)營落一子而全盤活

360 XDR:安全運(yùn)營落一子而全盤活

2022-11-13
來源:安全419
關(guān)鍵詞: 安全運(yùn)營 360XDR

  數(shù)字化技術(shù)的不斷發(fā)展,讓網(wǎng)絡(luò)攻擊變得更加隱蔽和復(fù)雜。

  面對(duì)內(nèi)在脆弱性與外部威脅升級(jí)的雙重挑戰(zhàn),企業(yè)試圖買辦一個(gè)機(jī)械化兵團(tuán),期待有一招制敵的能力。而現(xiàn)實(shí)是“多兵種配置”帶來的問題往往多到超出想象,更何況想要指揮運(yùn)轉(zhuǎn)這個(gè)兵團(tuán)更不容易。

  于是越來越多的企業(yè)開始思考,在高級(jí)威脅隨時(shí)“空降”的高壓之下,應(yīng)該如何在解決現(xiàn)有矛盾的基礎(chǔ)上提升關(guān)乎生命線的“應(yīng)考”能力?

  日前,在第十屆互聯(lián)網(wǎng)安全大會(huì)(ISC 2022)上,360數(shù)字安全集團(tuán)副總裁余凱在演講時(shí)談到,XDR是實(shí)現(xiàn)企業(yè)安全運(yùn)營“落一子而全盤活”的核心技術(shù)。

  會(huì)后,安全419采訪到了余凱,邀請(qǐng)他就當(dāng)前業(yè)內(nèi)XDR發(fā)展現(xiàn)狀、360 XDR自身的技術(shù)優(yōu)勢(shì),圍繞威脅檢測(cè)技術(shù)的過去、現(xiàn)在和未來分享了他自身的理解和洞察。

  安全運(yùn)營三大挑戰(zhàn)

  人員缺口大、產(chǎn)品碎片化、效果難度量

  余凱首先拋出了他的觀點(diǎn):當(dāng)前安全運(yùn)營面臨的挑戰(zhàn)實(shí)際上也是整個(gè)安全行業(yè)面臨的三大挑戰(zhàn),人、技術(shù)和流程,人、技術(shù)和流程。

  在人才方面,攻防經(jīng)驗(yàn)難以沉淀和安全人才培養(yǎng)難度大導(dǎo)致甲方長期缺乏安全運(yùn)營專家,在重大活動(dòng)保障期間只能臨時(shí)召集大量人員。但臨時(shí)拼湊的散裝戰(zhàn)隊(duì)水平參差不齊,難以持續(xù)維持安全運(yùn)營質(zhì)量。

  在技術(shù)方面,購買大量安全產(chǎn)品的眾多客戶也面對(duì)著此起彼伏的告警風(fēng)暴,真正面對(duì)攻擊卻還是后知后覺。試想,近期暴露的思科遭遇勒索事件,如果換成自己能及時(shí)看見并快速止損嗎?

  在流程和管理方面,很多企業(yè)經(jīng)過多年安全建設(shè),依然難以回答哪些產(chǎn)品真的有用?自身缺乏哪方面的能力?同行發(fā)生的事故發(fā)生在自己身上能抵御嗎?未來應(yīng)該將預(yù)算優(yōu)先投資到哪個(gè)品類上?舊的方案很難量化、顯性地回答這些問題。

  余凱指出,事實(shí)上無論是安全人員的短缺還是安全產(chǎn)品的碎片化,其背后的出發(fā)點(diǎn)仍然是想要解決“看不見高級(jí)威脅”和“告警風(fēng)暴”這兩大核心矛盾。

  “在我看來,安全運(yùn)營既是一個(gè)管理問題也是一個(gè)技術(shù)問題,技術(shù)層面解決得不好,就會(huì)持續(xù)地加重管理負(fù)擔(dān)和管理成本。想要真正提升安全運(yùn)營的效率,應(yīng)該嘗試從根源上著手解決痛點(diǎn)?!?/p>

  將上述三個(gè)挑戰(zhàn)拆解后可以發(fā)現(xiàn),它們之間彼此影響,環(huán)環(huán)相扣。人的挑戰(zhàn)根因是:

  01 安全建設(shè)較好的企業(yè)建立了安全運(yùn)營團(tuán)隊(duì),但是小團(tuán)隊(duì)的攻防認(rèn)知上限決定了運(yùn)營能力的天花板,個(gè)人最高水平成為團(tuán)隊(duì)的峰值。

  02 一方面安全建設(shè)碎片化堆砌了大量單品,為了對(duì)告警做出響應(yīng)甲方需要大量的人來進(jìn)行分段研判、處置這些碎片化的線索,重保期間更甚。

  03 安全專家本來就難以招募,經(jīng)過培養(yǎng)后流動(dòng)性大,成為企業(yè)難以提升運(yùn)營能力的攔路虎。

  而產(chǎn)品和技術(shù)挑戰(zhàn)背后是攻防對(duì)抗不可能止于邊界。沒有攻不破的網(wǎng)絡(luò),假定失陷(assume breach),敵已在我是不得不接受的現(xiàn)實(shí)。堆盒子的傳統(tǒng)模式其實(shí)是事件驅(qū)動(dòng)的思路,當(dāng)出現(xiàn)某個(gè)隱患或熱點(diǎn)時(shí)就增加一種設(shè)備來應(yīng)對(duì)。從效果看收效已不及預(yù)期。

  最后,也是最核心問題是:在具備人和技術(shù)的條件后,如何通過流程方式來驅(qū)動(dòng)和串聯(lián)二者,使的真正提高安全運(yùn)營能力?對(duì)于CSO來說,運(yùn)營工作并不陌生但一直沒有很好地解決如何量化落地的問題。事實(shí)上面向合規(guī)建設(shè)能夠回答有或者沒有,卻無法明確運(yùn)營有效性的問題,最終導(dǎo)致企業(yè)無法看到自身的短板,陷入了不知道如何持續(xù)改進(jìn)的痛苦境地。

  這三個(gè)問題其實(shí)相互糾纏的,不能孤立地解決。將人、技術(shù)和流程的問題進(jìn)行整體看待進(jìn)而尋求系統(tǒng)化設(shè)計(jì)才能抓住根本?!傲?xí)慣上大家有個(gè)說法”3分技術(shù)7分管理“,我們很贊同安全運(yùn)營并不是技術(shù)與管理的割裂,但是非??粗毓芾硎且?yàn)橐酝狈玫淖ナ郑狈徑馊瞬艆T乏問題的技術(shù),只能通過加強(qiáng)管理來補(bǔ)位。新的技術(shù)加持下,通過技術(shù)來引導(dǎo)管理體系的建設(shè),管理保障技術(shù)的落地才是一個(gè)良性關(guān)系?!?/p>

  “大家都說現(xiàn)在安全廠商不賺錢,我認(rèn)為不賺錢的本質(zhì)原因在于大家還沒有解決‘看見’的問題,如果能夠幫助企業(yè)看見威脅的話,那么一系列安全問題就可以通過流程、預(yù)案、組織、自動(dòng)化甚至是強(qiáng)制解決的。正因?yàn)榇蠹铱床灰娀蚩床磺逋{,安全就形成了一個(gè)黑洞,企業(yè)不知道還要在看見威脅這件事情上花費(fèi)多少資源。很多時(shí)候就是因?yàn)椴恢廊绾慰匆娡{,就只能盲目投入,只好不停地買設(shè)備,不停地投入安全專家去看無效的告警。但事實(shí)上,專家應(yīng)該做的是跟和黑客對(duì)抗的事情,而不是去處理告警?!?/p>

  他表示,每一次科技革命本質(zhì)上都是通過一個(gè)技術(shù)創(chuàng)新高效地解決過去一個(gè)很費(fèi)錢或者是投入資源太大的問題,而360正是想通過自身的探索和實(shí)踐,更高效地解決「看見」的問題,讓整個(gè)安全的投入變得更加可控。“未來安全投入不一定會(huì)很小,但它一定不是無底洞。”

  XDR是數(shù)據(jù)質(zhì)量與規(guī)模質(zhì)變

  而激發(fā)的能力質(zhì)變

  為了解決「看見」的難題,XDR(Extended Detection And Response:擴(kuò)展檢測(cè)響應(yīng))作為一個(gè)新興的威脅檢測(cè)技術(shù)闖入了產(chǎn)業(yè)界的視野,受到行業(yè)普遍關(guān)注。

  根據(jù) Gartner 的定義,XDR是一個(gè)安全平臺(tái),將特定供應(yīng)商的多個(gè)安全產(chǎn)品,原生地集成到一個(gè)統(tǒng)一的安全運(yùn)行系統(tǒng)中。在 Gartner 新發(fā)布的《擴(kuò)展檢測(cè)和響應(yīng)的市場(chǎng)指南》中,已經(jīng)將 XDR 技術(shù)擴(kuò)展至 EDR、NDR、SWG、UTM等能力的綜合體。

  因此,XDR 中的“X”代表著以終端為起點(diǎn)的安全視野的持續(xù)擴(kuò)展,結(jié)合數(shù)據(jù)湖技術(shù)、自動(dòng)化編排技術(shù)及安全分析技術(shù),形成面向多種甚至未知安全場(chǎng)景的綜合性安全解決方案。

  想要打造出一款真正有效的XDR產(chǎn)品,更高效地解決「看見」的問題,數(shù)據(jù)無疑是一切的前提。當(dāng)前,數(shù)據(jù)已經(jīng)成為了數(shù)字經(jīng)濟(jì)的關(guān)鍵生產(chǎn)要素,在安全的語境下,數(shù)據(jù)驅(qū)動(dòng)安全在安全行業(yè)中也已成為共識(shí)。但在數(shù)據(jù)驅(qū)動(dòng)安全的背后,??數(shù)據(jù)的質(zhì)量顯然成為了關(guān)鍵成功因素。

  換而言之,當(dāng)采集數(shù)據(jù)這件事情變成??共識(shí)的時(shí)候,采集什么數(shù)據(jù)就變得至關(guān)重要。高質(zhì)量的數(shù)據(jù)采集,是讓數(shù)據(jù)分析行為更加高效的必要條件。如果對(duì)于對(duì)到底要采集什么樣的數(shù)據(jù)沒有清晰的洞察和認(rèn)知的話,就會(huì)陷入一個(gè)誤區(qū),讓一堆的無效的垃圾數(shù)據(jù)占據(jù)大量的計(jì)算資源,幾乎無法從中發(fā)現(xiàn)有效的信息。

  因此余凱提出,采集何種數(shù)據(jù)應(yīng)該由實(shí)戰(zhàn)定義。

  他表示,“實(shí)戰(zhàn)定義數(shù)據(jù)的本質(zhì)是明確我們要去做什么樣的分析,??我們到底要去檢測(cè)什么樣的攻擊。這背后的??核心在于,在過去的這么多年里,我們到底有沒有看過足量的攻擊,有沒有看過??歷史上一路走來攻擊方式的演變路徑。?正所謂”實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)“,只有看過了足夠多的攻擊實(shí)例,同時(shí)以一種相對(duì)系統(tǒng)化的方式,把這些攻擊實(shí)例以知識(shí)化的方式把它沉淀記錄下來,我們才有可能??針對(duì)每一個(gè)攻擊的手法、技戰(zhàn)術(shù),去判斷如果我要去識(shí)別這個(gè)攻擊手法,我應(yīng)該如何有效地去采集數(shù)據(jù)。?”

  利用大數(shù)據(jù)技術(shù)是當(dāng)下解決安全運(yùn)營的主要方法之一,無論采集多少數(shù)據(jù)一個(gè)企業(yè)僅可以形成具備自我視角的“小數(shù)據(jù)”,但具備全行業(yè)乃至全國視角的真“大數(shù)據(jù)”是企業(yè)難以實(shí)現(xiàn)的。只有“小數(shù)據(jù)”+真“大數(shù)據(jù)”相結(jié)合才是未來的解決思路。

  在360的視角看來,在全網(wǎng)全球超大規(guī)模海量數(shù)據(jù)中看到每一次攻擊活動(dòng)都是一條“攻擊殺傷鏈”,當(dāng)前多數(shù)組織部署的安全產(chǎn)品及其構(gòu)建的縱深防御體系之所以檢測(cè)與響應(yīng)能力不足,其根源在于大數(shù)安全產(chǎn)品都是在基于某一個(gè)技術(shù)點(diǎn)去做檢測(cè)和防御,沒有形成對(duì)攻擊殺傷鏈全景的視角。

  余凱將這種防守方式比喻為“盲人摸象”,單個(gè)的安全產(chǎn)品只能在某個(gè)點(diǎn)上去做檢測(cè),導(dǎo)致無法看到事件的全貌,自然難以對(duì)抗高級(jí)威脅的入侵。因此他再次強(qiáng)調(diào)這一觀點(diǎn),只有系統(tǒng)性地將過去的攻擊實(shí)例以知識(shí)化的方式沉淀記錄下來,再基于技戰(zhàn)術(shù)去做推演,才能夠真正明確一條攻擊殺傷鏈涉及哪些資產(chǎn)、哪些漏洞,需要采集哪些數(shù)據(jù)來做檢測(cè),而哪些安全設(shè)備能夠提供這樣的數(shù)據(jù)等等,做出一系列推演。

  “安全行業(yè)常常講以攻促防或者未知攻焉知防,它其實(shí)不是一個(gè)自然而然的邏輯,不是說你懂了攻,??你就一定能懂防,而是說你懂了攻,你能不能夠系統(tǒng)性地整理攻擊的知識(shí)。??因?yàn)槟阌幸惶讓⒐舻闹R(shí)轉(zhuǎn)換成為防御策略的??方法論和產(chǎn)品驗(yàn)證的方式,最終才能夠真正地做到以攻促防?!?/p>

  因此,360基于過去17年專注網(wǎng)絡(luò)安全技術(shù)產(chǎn)品和服務(wù),以及在安全大數(shù)據(jù)、知識(shí)庫、安全專家方面的積累,將過往看到的APT攻擊、黑客滲透、惡意軟件等多種威脅事件分門別類地進(jìn)行了梳理和沉淀,圍繞每一條攻擊殺傷鏈的全過程,包括入侵,橫移、逃逸、竊取數(shù)據(jù)每一個(gè)過程記錄和整理出來,形成了360核心的攻防知識(shí)圖譜,而這套知識(shí)圖譜也是驅(qū)動(dòng)360 XDR不斷成長和進(jìn)化的核心資源。??

  “根據(jù)360記錄的這些技戰(zhàn)術(shù),我們就可以去明確,針對(duì)這些技戰(zhàn)術(shù)我需要怎樣的數(shù)據(jù)源,??如何去做檢測(cè)分析,如何準(zhǔn)備應(yīng)急預(yù)案。同時(shí)因?yàn)槲覀兛催^這些攻擊,便可以將這些攻擊通過一種??滅活重放的方式去做覆蓋性的評(píng)測(cè),通過一套系統(tǒng)性的方式??去度量企業(yè)的縱深防御體系下面的每個(gè)安全產(chǎn)品,在對(duì)應(yīng)的那個(gè)點(diǎn)上面有沒有成功抵擋到攻擊??殺傷鏈上本應(yīng)該擋住的那一環(huán),這個(gè)時(shí)候就形成了一個(gè)度量標(biāo)準(zhǔn),以這樣的方式去幫助企業(yè)在根因上面去看見差距,持續(xù)改進(jìn)?!?/p>

  余凱將這個(gè)度量和驗(yàn)證能力稱為“抗攻擊能力評(píng)估”,當(dāng)前國際上一線的安全廠商,都已經(jīng)具備了類似的能力,而微軟正是其中的佼佼者。

  作為當(dāng)前全球隱形的網(wǎng)絡(luò)安全巨頭,雖然微軟并未對(duì)外界過多宣講自家XDR產(chǎn)品,但事實(shí)上微軟看到的這些攻擊實(shí)例要遠(yuǎn)遠(yuǎn)超過常人所想,通過它的操作系統(tǒng)和云服務(wù),微軟能夠拿到的??數(shù)據(jù)量級(jí)也超乎所想。海量的威脅數(shù)據(jù)決定了微軟能夠站在更高的山巔上,以更高維度的視野俯瞰全貌,進(jìn)而更全面的構(gòu)建自身XDR的完整體系,這一優(yōu)勢(shì)是其他中小規(guī)模廠商所無法比擬的,而這也與360一路走來20年實(shí)踐殊途同歸。

  XDR能為我們做什么?

  360 XDR如何做到落一子而全盤活?

  在過往的威脅檢測(cè)與響應(yīng)技術(shù)中,NDR(網(wǎng)絡(luò)威脅檢測(cè)與響應(yīng))的出現(xiàn)彌補(bǔ)了傳統(tǒng)IDS/IPS安全解決方案留下的網(wǎng)絡(luò)側(cè)安全盲點(diǎn),用更先進(jìn)的分析技術(shù)來檢測(cè)網(wǎng)絡(luò)可疑流量,極大的提升了檢測(cè)和阻止網(wǎng)絡(luò)威脅的能力。

  EDR(端點(diǎn)安全檢測(cè)與響應(yīng))的出現(xiàn),因?yàn)榻K端能獲得高質(zhì)量數(shù)據(jù),并壓倒性覆蓋攻擊殺傷鏈的關(guān)鍵技戰(zhàn)術(shù),則更直接有效增強(qiáng)了企業(yè)「看見」威脅的能力。

  而XDR的誕生,則實(shí)現(xiàn)了對(duì)NDR、EDR、SIEM、SOAR等安全產(chǎn)品的有機(jī)整合,在各臺(tái)設(shè)備傳輸過來的安全大數(shù)據(jù)賦能下,XDR能夠比任何一個(gè)安全設(shè)備都更快、更深入、更有效的實(shí)現(xiàn)檢測(cè)與響應(yīng)威脅,從更廣泛的來源收集和整理數(shù)據(jù),以更高的全局視角看清每一次攻擊殺傷鏈的全貌。

  余凱表示,過去大家沒辦法將攻擊手法、攻擊實(shí)例一條條地梳理積累下來,就很難工程化的去做產(chǎn)品,這樣就會(huì)造成對(duì)于安全專家個(gè)人能力的依賴,需要某一個(gè)人來指出,當(dāng)前哪里存在風(fēng)險(xiǎn)需要加固、發(fā)現(xiàn)了哪幾個(gè)高危動(dòng)作可能存在攻擊風(fēng)險(xiǎn)等等。但在攻防知識(shí)圖譜的賦能下就能夠做出一款工程化的XDR產(chǎn)品,根據(jù)這套知識(shí)庫去做持續(xù)的更新,去評(píng)估和驗(yàn)證整個(gè)產(chǎn)品布防體系有效性。

  “抗攻擊能力評(píng)估帶給我們的價(jià)值是,當(dāng)一次新的攻擊事件發(fā)生后,我能夠迅速地通過滅活重放的方式做覆蓋性評(píng)測(cè),去驗(yàn)證當(dāng)前的防御力量到底夠不夠強(qiáng)大?是不是每一個(gè)安全設(shè)備都采集到了它需要的數(shù)據(jù),檢測(cè)到了它需要檢測(cè)到的攻擊?如果沒有,我需要補(bǔ)充什么樣的能力到XDR體系?”

  余凱將這個(gè)過程比喻為高考,在這場(chǎng)關(guān)乎企業(yè)生命線的大考真正到來之前,每一名合格的考生首先應(yīng)該做的事情是不斷地刷題,把往屆考過的每一個(gè)知識(shí)點(diǎn)都掌握得爛熟于心。

  “我們可能會(huì)問,在屬于我們自己的考卷中一定會(huì)碰到之前刷過的題型嗎?不一定。但至少刷過的這些題型會(huì)讓你更有底氣。但我們行業(yè)中無論是安全的甲方還是乙方,大家都沒有認(rèn)真地經(jīng)歷這個(gè)刷題的過程,換句話說,大家都在猜題?!?/p>

  他認(rèn)為,安全的甲方應(yīng)該在安全建設(shè)中做到有所為有所不為,通俗來講就是,甲方安全負(fù)責(zé)人應(yīng)該只采購“與我相關(guān)”的安全產(chǎn)品,去驗(yàn)證“與我相關(guān)”的工具和攻擊,去修補(bǔ)“與我相關(guān)”的漏洞,去優(yōu)化“與我相關(guān)”的XDR縱深防御檢測(cè)與相應(yīng)體系。

  如果缺乏這一套攻防知識(shí)驅(qū)動(dòng),持續(xù)迭代優(yōu)化的XDR技術(shù),企業(yè)就會(huì)陷入到最初探討的三大挑戰(zhàn)中,需要依賴安全專家個(gè)人的能力,但有經(jīng)驗(yàn)的安全專家可遇而不可求;只能去猜測(cè)自己需要哪些安全產(chǎn)品盲目采購,帶來告警風(fēng)暴的難題;而缺乏度量評(píng)估改進(jìn)則又無法站在巨人的肩上看到高級(jí)威脅。

  因此余凱認(rèn)為,安全專家應(yīng)該從海量的告警工單中的得到解放,并重新回到與攻擊者高效對(duì)抗的維度上來,而這依賴當(dāng)前安全運(yùn)營體系可以自動(dòng)化應(yīng)對(duì)龐雜的史上曾經(jīng)發(fā)生的分門別類各種攻擊行為,也就是“與我相關(guān)”的實(shí)戰(zhàn)題庫。

  針對(duì)龐大的“實(shí)戰(zhàn)題庫”,360 XDR在落地的過程中如何打通各個(gè)廠商之間的數(shù)據(jù)壁壘,做到“落一子而全盤活”?

  余凱介紹,為了解決用戶本地安全產(chǎn)品各自為戰(zhàn)的痛點(diǎn),360目前已經(jīng)探索總結(jié)出來了一套賦能安全廠商的數(shù)據(jù)標(biāo)準(zhǔn)。簡單來說,360打造了一個(gè)安全分析工具作為中間件,通過這個(gè)中間件將用戶本地各種產(chǎn)品各種品牌的設(shè)備協(xié)同起來,幫用戶做統(tǒng)一分析,并且把360多年積累的大數(shù)據(jù)、分析研判、高級(jí)威脅情報(bào)等能力直接賦能給用戶,來自各家廠商的這些網(wǎng)絡(luò)安全設(shè)備的流量、日志、告警、樣本文件等都可以收集到這一套安全分析平臺(tái)進(jìn)行分析。同時(shí)以抗攻擊能力評(píng)估做整體效能度量和優(yōu)化改進(jìn)。

  360正在向所有的生態(tài)合作伙伴免費(fèi)提供這套分析平臺(tái),通過鏈接這個(gè)分析平臺(tái),安全廠商能夠把數(shù)據(jù)??共享到我們的分析平臺(tái)上面,與360形成一個(gè)作戰(zhàn)體系閉環(huán)。目前該平臺(tái)已經(jīng)支持國內(nèi)外主流的二三百家安全廠商的上千種設(shè)備。

  通過這樣的方式,360正在快速地推動(dòng)形成這套數(shù)據(jù)標(biāo)準(zhǔn)化的生態(tài),推動(dòng)這個(gè)生態(tài)下的每家安全廠商在開發(fā)時(shí)有規(guī)范,保證產(chǎn)品落地后的效果。

  XDR未來在何方?要到哪里去?

  作為一項(xiàng)新興技術(shù),盡管XDR已經(jīng)在國內(nèi)外成為行業(yè)主流選項(xiàng),但仍然處于技術(shù)發(fā)展百家爭鳴探索階段,未來還存在廣闊的提升空間。在采訪最后,我們邀請(qǐng)余凱就XDR未來將向哪些方向拓展的話題分享了自己的看法。

  余凱表示,一個(gè)優(yōu)秀的XDR方案是終端安全技術(shù)、大數(shù)據(jù)分析技術(shù)、??抗攻擊能力評(píng)估技術(shù)以及攻防知識(shí)庫建設(shè)發(fā)展到高峰的一個(gè)自然成果。這四項(xiàng)支柱型核心技術(shù)是一個(gè)XDR廠商能夠看清攻擊殺傷鏈的先決條件。同時(shí),也只有先將這四項(xiàng)技術(shù)做深做實(shí),才能夠去討論下一步XDR發(fā)展方向的話題。

  在他看來,下一步XDR技術(shù)將會(huì)與資產(chǎn)以及全網(wǎng)情報(bào)數(shù)據(jù)深度結(jié)合,并向云地一體化運(yùn)營轉(zhuǎn)變。持續(xù)提升“看見”威脅能力和對(duì)抗效率。

  攻擊殺傷鏈的核心是威脅、資產(chǎn)和漏洞。因此,將資產(chǎn)攻擊面管理引入到XDR中形成作戰(zhàn)地圖十分重要?!叭绻髽I(yè)能夠詳細(xì)掌握自身的資產(chǎn)情況,那么當(dāng)一次攻擊事件發(fā)生時(shí),結(jié)合資產(chǎn)的情況能判斷攻擊事件從哪里來,進(jìn)行到了哪里,當(dāng)前的影響面是怎樣的,接下來還有多少資產(chǎn)可能存在風(fēng)險(xiǎn),以及應(yīng)該迅速做出什么樣的應(yīng)對(duì)方案及時(shí)止損,確保核心資產(chǎn)的安全性得到保障?!???

  在全網(wǎng)情報(bào)數(shù)據(jù)的維度上,假使能夠?qū)⒚恳淮喂羰录c攻擊者畫像相結(jié)合,并通過全網(wǎng)情報(bào)數(shù)據(jù)了解到攻擊者常用的工具、技戰(zhàn)術(shù)、過往或正在實(shí)施的攻擊活動(dòng)等,那么就能夠在第一時(shí)間根據(jù)相關(guān)信息調(diào)整事件等級(jí)、調(diào)配所需投入的資源,應(yīng)急響應(yīng)力度,在整個(gè)攻擊事件中搶到先機(jī)。

  云地一體化運(yùn)營的關(guān)鍵是將“看見”威脅的不確定性進(jìn)一步依賴云端以更廣視野,更大資源和更強(qiáng)能力解決。托管檢測(cè)和響應(yīng)(MDR, managed XDR)可以最大限度提升安全運(yùn)營效率效能。

  “全網(wǎng)情報(bào)數(shù)據(jù)能夠告訴我們,與攻擊者畫像相關(guān)的一切信息,他可能是誰,他所在的地域、常用的武器和攻擊方式。而資產(chǎn)就是本次攻擊殺傷鏈所在的戰(zhàn)場(chǎng)。安全終究是要回到攻防上面來,而只有知己知彼方能百戰(zhàn)不殆?!?/p>



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。