亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

這是個(gè)全新的世界，不但會(huì)出現(xiàn)新的商業(yè)模式和數(shù)字物種，更能需要新的秩序和生存法則。當(dāng)傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)理念已經(jīng)無法適應(yīng)當(dāng)前的網(wǎng)絡(luò)安全形勢(shì)，我們的網(wǎng)絡(luò)安全觀已經(jīng)到了必須革新的時(shí)候了。“思維決定行動(dòng)”。

2017年，Gartner提出了精密編排的自動(dòng)化響應(yīng)SOAR模型（Security Orchestration，Automation and Response），并且提出將安全產(chǎn)品以及安全流程鏈接和整合起來，通過預(yù)定義的工作流（Work flow）和工作腳本（Playbook）來標(biāo)準(zhǔn)化事故的調(diào)查處置流程，提升威脅響應(yīng)的自動(dòng)化程度和執(zhí)行效率。SOAR模型一經(jīng)問世，便得到了信息安全廠商和大部分用戶的認(rèn)可，其原因如下：

• 縮短應(yīng)急處置安全事故的時(shí)間
• 減少和優(yōu)化傳統(tǒng)SOC中不必要和冗余的工作
• 安全產(chǎn)品整合的API加速了自動(dòng)化
• 豐富的安全數(shù)據(jù)服務(wù)：威脅情報(bào)平臺(tái)TIP
• 提高告警分析的質(zhì)量和偵測(cè)發(fā)現(xiàn)能力
• 提高工作精準(zhǔn)度，安全運(yùn)維流程的文檔化以及證據(jù)的管理
• 減少培訓(xùn)新安全運(yùn)維分析人員的代價(jià)
• 整體提高衡量和管理安全運(yùn)維的能力

2018年，正直檢測(cè)和響應(yīng)市場(chǎng)（Detection & Response）爆發(fā)的前期，SOAR、EDR、NDR、NTA、MDR、UEBA等概念和技術(shù)此起彼伏，在市場(chǎng)還在消化和吸收各種聲音的時(shí)候，亞信安全已對(duì)高級(jí)威脅治理進(jìn)行了全面升級(jí)，并推出了以EDR和NDR為技術(shù)支撐、以MDR為服務(wù)支撐，以SOAR自動(dòng)化精密編排為工作流支撐的XDR體系。

XDR可以解決什么問題？

XDR體系解決了持續(xù)演化的高級(jí)威脅和安全運(yùn)營(yíng)能力不匹配的矛盾。

1.持續(xù)演化的高級(jí)威脅

無論是以APT（高級(jí)持續(xù)性威脅）為代表的定向攻擊，還是以勒索、挖礦、釣魚、廣告詐騙為代表的大規(guī)模攻擊，攻擊者不斷嘗試使用新型攻擊技術(shù)，企圖繞過傳統(tǒng)檢測(cè)機(jī)制對(duì)目標(biāo)發(fā)起攻擊以達(dá)到某種目的，這種威脅我們統(tǒng)稱之為“高級(jí)威脅”。

為了統(tǒng)一威脅的描述，避免盲人摸象一般去談?wù)撏{，我們將威脅依次劃分為四個(gè)層面的內(nèi)容，即威脅描述分層模型，也稱威脅描述“點(diǎn)、線、面、體”四層次模型：

圖：威脅描述分層模型

高級(jí)威脅的發(fā)動(dòng)者無時(shí)無刻不在找尋滲透企業(yè)IT環(huán)境的途徑，其中一個(gè)最容易的通道，就是利用終端上的漏洞。因此，很多企業(yè)在 “修墻御敵”理論支撐下做了大量工作，無論是部署防火墻、防病毒、IPS等基于策略和規(guī)則的安全設(shè)備，甚至是基于行為和大數(shù)據(jù)分析等安全軟件的采購(gòu)，然而百密一疏，嚴(yán)防死守的方式顯然已經(jīng)無法滿足當(dāng)前的安全需求。

這更像是“馬奇諾防線”在網(wǎng)絡(luò)世界的再現(xiàn)：雖然企業(yè)在正面已經(jīng)構(gòu)建起堅(jiān)固的安全防線，但是網(wǎng)絡(luò)攻擊者正在采用迂回的策略，滲透到防線背后，讓網(wǎng)絡(luò)安全防護(hù)系統(tǒng)喪失作用。

2.安全運(yùn)營(yíng)成熟度及能力

?

圖：安全運(yùn)營(yíng)四階段成熟度及能力鴻溝

從上圖中我們看到，超過90%的用戶完成了“阻斷”階段的安全運(yùn)營(yíng)建設(shè)，大約60%的用戶著手“發(fā)現(xiàn)”階段的安全運(yùn)營(yíng)建設(shè)，但只有不足5%的用戶具備有限的“響應(yīng)”階段的安全運(yùn)營(yíng)能力。我們不難發(fā)現(xiàn)，從“發(fā)現(xiàn)”階段到“響應(yīng)”階段，事實(shí)上存在著一條巨大的安全運(yùn)營(yíng)“能力鴻溝”。正是這條能力鴻溝，致使高級(jí)威脅治理的落地遭遇了現(xiàn)實(shí)的瓶頸，而XDR的關(guān)鍵，就是解決這個(gè)現(xiàn)實(shí)問題，把“空”口補(bǔ)上。

那么，我們不妨先研究一下，從“發(fā)現(xiàn)”到“響應(yīng)”到底需要怎樣的能力構(gòu)成？到底是哪些關(guān)鍵能力的缺失影響了用戶的安全運(yùn)營(yíng)？

圖：從“發(fā)現(xiàn)”到“響應(yīng)”的能力構(gòu)成

大量成功的實(shí)踐告訴我們，從“發(fā)現(xiàn)”到“響應(yīng)”包括以下四個(gè)步驟的能力構(gòu)成：

第一步，“告警受理”：來自各類檢測(cè)工具的威脅告警通常會(huì)匯集到用戶的態(tài)勢(shì)/SIEM/SOC平臺(tái)，然后以工單的方式派發(fā)出來，接下來就是“告警受理”這個(gè)步驟，這個(gè)步驟包括兩部分內(nèi)容：告警分類和優(yōu)先級(jí)劃分，也就是告警的預(yù)處理；

第二步，“定性分析”：判斷威脅的真實(shí)性，確認(rèn)威脅的本質(zhì)和攻擊者的意圖；

第三步，“定量分析”：回溯攻擊場(chǎng)景、評(píng)估威脅的嚴(yán)重性、影響和范圍；

第四步，“響應(yīng)”：根據(jù)響應(yīng)腳本，制定并執(zhí)行響應(yīng)策略，完成修復(fù)補(bǔ)救。

以上過程需借助EDR、NDR、威脅情報(bào)、沙箱、ATT&CK等相關(guān)工具，以及MDR檢測(cè)和響應(yīng)安全專家服務(wù)，執(zhí)行自動(dòng)化告警預(yù)處理、驗(yàn)傷和取證、以及制定和執(zhí)行響應(yīng)策略等具體工作內(nèi)容，整個(gè)過程還需要案件管理、響應(yīng)預(yù)案、自動(dòng)化精密編排等流程作為保障，把這些內(nèi)容放在一起，就構(gòu)成了SOAR。

但是，受限于用戶安全領(lǐng)域?qū)I(yè)技能的缺乏，流程自動(dòng)化程度不高，以及配套的工具支撐不夠完善，以上每個(gè)環(huán)節(jié)的問題都可能被無限放大，最終導(dǎo)致戰(zhàn)略落地困難重重。

3.錯(cuò)誤的思維方式，導(dǎo)致錯(cuò)誤的行動(dòng)

比如：市場(chǎng)上不少人會(huì)認(rèn)為只要檢測(cè)到了威脅就可以及時(shí)作出響應(yīng)，對(duì)于早期市場(chǎng)用戶來說，很容易就接受了從“檢測(cè)”到“響應(yīng)”的最直觀的解決方案，而且這種解決方案確實(shí)很符合廣大企業(yè)，尤其符合中小企業(yè)的安全運(yùn)維能力現(xiàn)狀。很多廠商也迎合這種早期需求推出了簡(jiǎn)單的產(chǎn)品組合方案，試圖將“檢測(cè)”和“響應(yīng)”這兩個(gè)過程順理成章地過渡起來。

然而，這么多年的高級(jí)威脅治理實(shí)踐一次次粉碎了上述這種簡(jiǎn)單的想法。任何方案的落地都需要大量實(shí)踐相佐證。當(dāng)用戶接受并部署高級(jí)威脅檢測(cè)類型的產(chǎn)品和解決方案之后，隨之而來的不僅僅是揭開了藏匿在網(wǎng)絡(luò)中各種污垢，還包括了海量的可疑威脅告警，當(dāng)運(yùn)維人員接到告警處置派單時(shí)，噩夢(mèng)也接踵而來。如何捕捉到“有82%只會(huì)保持一個(gè)小時(shí)的活躍性，70%只會(huì)出現(xiàn)一次的惡意軟件”，如何分析這些惡意軟件的活性？往往通過網(wǎng)絡(luò)檢測(cè)到的可疑威脅對(duì)象，在終端上卻找不到任何留存和活動(dòng)的跡象，運(yùn)維人員如何判斷告警的真實(shí)性？如何給出一份有價(jià)值的告警分析報(bào)告？如何制定和執(zhí)行處置策略？

在沒有采用這些檢測(cè)技術(shù)之前，用戶對(duì)于高級(jí)威脅大多眼不見心不煩，而采用了這些檢測(cè)技術(shù)之后，逐漸有用戶開始后悔了，因?yàn)樽陨淼募夹g(shù)能力、知識(shí)儲(chǔ)備、專業(yè)技能和現(xiàn)有流程并不足以應(yīng)對(duì)如此海量的告警。甚至絕大多數(shù)用戶根本沒有做好處置這些告警的準(zhǔn)備，用戶開始懷疑這些檢測(cè)產(chǎn)品或解決方案的價(jià)值，于是，他們選擇將此類產(chǎn)品或解決方案束之高閣，或者選擇對(duì)告警置之不理。

很多人會(huì)說，造成以上現(xiàn)實(shí)窘相的是由于高級(jí)威脅檢測(cè)技術(shù)的不成熟，造成誤報(bào)率居高不下，無法給予用戶高質(zhì)量的告警。然而，無論技藝多么高超醫(yī)生，如果不借助專業(yè)的分析工具或技術(shù)，不依靠過往的經(jīng)驗(yàn)，都不可能對(duì)一個(gè)疑似癥狀做出完全無誤的診斷。事實(shí)上，造成這種現(xiàn)狀的是市場(chǎng)初期絕大多數(shù)人對(duì)于從“檢測(cè)”到“響應(yīng)”的過于簡(jiǎn)單的認(rèn)知。

從“檢測(cè)”到“響應(yīng)”，必然繞不開“分析”這個(gè)關(guān)鍵階段。然而，無論是Gartner還是大多數(shù)第三方分析報(bào)告中，對(duì)“分析”這個(gè)環(huán)節(jié)都沒有給出太多的解釋，甚至沒有將“分析”列入其自適應(yīng)模型的關(guān)鍵階段。但無論如何“分析”階段所承載的正是“檢測(cè)和響應(yīng)”的核心業(yè)務(wù)邏輯。

XDR體系的核心構(gòu)成

突出從“偵測(cè)”“分析”到“響應(yīng)”整個(gè)過程的核心能力，我們將EDR、NDR、MDR和SOAR所構(gòu)成的精密編排的自動(dòng)化檢測(cè)和響應(yīng)體系定義為XDR，即亞信安全高級(jí)威脅治理戰(zhàn)略3.0的核心。

圖：XDR體系構(gòu)成

1.XDR技術(shù)螺旋矩陣模型

前面介紹過，威脅描述模型包括 “點(diǎn)、線、面、體”四個(gè)層次，威脅治理模型包括“偵測(cè)、分析、響應(yīng)、預(yù)測(cè)”四個(gè)階段，那么，如果我們把這兩個(gè)模型疊加起來，就會(huì)形成一個(gè)螺旋矩陣，如果將每個(gè)矩陣空格所對(duì)應(yīng)的關(guān)鍵技術(shù)標(biāo)注起來，就構(gòu)成了亞信安全XDR“技術(shù)螺旋矩陣模型”。如下圖所示：

圖：XDR技術(shù)螺旋矩陣模型

2.XDR核心業(yè)務(wù)邏輯及工作流程

產(chǎn)品螺旋矩陣模型從結(jié)構(gòu)上闡述了高級(jí)威脅治理戰(zhàn)略所有相關(guān)產(chǎn)品的定位以及相互之間的靜態(tài)關(guān)系。下圖則描述了XDR的核心業(yè)務(wù)邏輯及工作流程：

圖：XDR核心業(yè)務(wù)邏輯及工作流程

3.XDR落地的關(guān)鍵要素

XDR解決方案包含三個(gè)核心要素：標(biāo)準(zhǔn)的預(yù)案、專業(yè)的調(diào)查工具、安全響應(yīng)專家。

（1）標(biāo)準(zhǔn)的預(yù)案

從最近亞信安全協(xié)助金融用戶做出的大量應(yīng)急響應(yīng)預(yù)案來看，預(yù)案針對(duì)每一種類型的黑客攻擊，都采取了XDR的7個(gè)步驟，這包括“準(zhǔn)備、發(fā)現(xiàn)、分析、遏制、消除、恢復(fù)、優(yōu)化”策略，進(jìn)而來確定用戶碰到不同的威脅類型的時(shí)候該怎么處置。

例如，很多企業(yè)發(fā)生過終端主機(jī)和網(wǎng)絡(luò)流量異常的情況，但是普通用戶層面卻沒有感受到明顯的網(wǎng)絡(luò)攻擊現(xiàn)象。在這個(gè)時(shí)候，XDR的方法是獲取威脅數(shù)據(jù)，把數(shù)據(jù)集中到本地威脅情報(bào)和云端威脅情報(bào)做分析，通過分析黑客進(jìn)攻的時(shí)間、路徑、工具等所有細(xì)節(jié)，其特征提取出來，再進(jìn)行遏制、清除、恢復(fù)和優(yōu)化。

（2）專業(yè)的調(diào)查工具

高效、精準(zhǔn)的應(yīng)急響應(yīng)需要專業(yè)的工具和設(shè)備支撐，這些設(shè)備能夠在網(wǎng)絡(luò)層面、服務(wù)器和終端內(nèi)核層面發(fā)現(xiàn)異常現(xiàn)象，這是確保查清楚黑客到底做了什么、目的是什么，通過什么方式的關(guān)鍵。

這些專業(yè)工具包括：高級(jí)威脅終端及主機(jī)檢測(cè)系統(tǒng)OSCE/DS、終端及主機(jī)存取證系統(tǒng)CTDI、高級(jí)威脅網(wǎng)絡(luò)檢測(cè)系統(tǒng)TDA、高級(jí)威脅網(wǎng)絡(luò)存取證系統(tǒng)TRA，高級(jí)威脅情報(bào)系統(tǒng)TIP、高級(jí)威脅分析設(shè)備DDAN、高級(jí)威脅綜合取證驗(yàn)傷分析系統(tǒng)UAP，以及本地和云端威脅情報(bào)的“雙回路”機(jī)制都是方案中極為重要的工具，它們?cè)诰芫幣诺念A(yù)案下聯(lián)動(dòng)工作，使得各個(gè)安全節(jié)點(diǎn)可以對(duì)APT定向攻擊、勒索軟件等高級(jí)攻擊的特征行為進(jìn)行發(fā)現(xiàn)、收集、分析和響應(yīng)。

其中，亞信安全的EDR還采用了動(dòng)態(tài)調(diào)查和審計(jì)技術(shù)DIA（Dynamic Investigation & Audit），通過云端和本地威脅情報(bào)“雙回路”、沙盒分析、網(wǎng)絡(luò)取證、終端取證、大數(shù)據(jù)關(guān)聯(lián)分析等技術(shù)手段，基于網(wǎng)絡(luò)和終端對(duì)黑客行為進(jìn)行抓取分析，確保了取證內(nèi)容的司法有效性和企業(yè)違規(guī)操作內(nèi)控審計(jì)的準(zhǔn)確性。

（3）MDR高級(jí)安全專家服務(wù)

成功的XDR應(yīng)用離不開專業(yè)化高級(jí)安全專家服務(wù)。與傳統(tǒng)MSSP主要幫客戶提供安全運(yùn)維和一般性安全事件響應(yīng)不同，亞信安全MDR的本質(zhì)是以攻防為核心的高級(jí)安全專家服務(wù)，該服務(wù)旨在主要幫助重點(diǎn)行業(yè)的重要客戶，為保護(hù)核心資產(chǎn)應(yīng)對(duì)定向攻擊（Targeted Attack）。亞信安全MDR是XDR圣誕樹體系中最頂端的星星，是“檢測(cè)”到“響應(yīng)”的所有技術(shù)和能力支撐中對(duì)攻防Know-How要求最高的一個(gè)環(huán)節(jié)，它是廠商能力的基石，是客戶的最后一道防線。

亞信安全MDR針對(duì)重大威脅事件提供事前、事中和事后的威脅檢測(cè)、分析、對(duì)抗、驗(yàn)傷、取證及修復(fù)補(bǔ)救等一系列安全服務(wù)，包括但不限于阻斷入侵、確定影響范圍、幫助恢復(fù)生產(chǎn)、調(diào)查取證和給出整改建議等。

在準(zhǔn)備階段，安全專家利用取證產(chǎn)品和工具，了解黑客攻擊過程和攻擊路徑，找到關(guān)鍵攻擊線索；

在執(zhí)行階段，通過確定影響的范圍，服務(wù)團(tuán)隊(duì)現(xiàn)場(chǎng)搜集數(shù)據(jù)，利用取證產(chǎn)品獲取關(guān)鍵信息，找出完整的證據(jù)鏈；

在結(jié)束階段，服務(wù)團(tuán)隊(duì)提供完整的黑客入侵報(bào)告，并原始數(shù)據(jù)和取證數(shù)據(jù)留檔保存，客戶可以利用后續(xù)整改方案，防止再次出現(xiàn)同類攻擊。

“C3安全峰會(huì)”精彩預(yù)告

2019年5月7日-8日,備受全球網(wǎng)絡(luò)安全從業(yè)者關(guān)注的網(wǎng)絡(luò)安全盛典——C3安全峰會(huì)即將在成都召開。本屆峰會(huì)將以“預(yù)建未來”（Plan UP）為主題，緊密契合國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略，結(jié)合5G、人工智能、物聯(lián)網(wǎng)、大數(shù)據(jù)等前沿引領(lǐng)技術(shù)和創(chuàng)新技術(shù)，針對(duì)當(dāng)今世界正在經(jīng)歷的科技革命和產(chǎn)業(yè)變革，分享全球最前沿的安全技術(shù)策略展望，深入討論5G商化應(yīng)用中的各類威脅風(fēng)險(xiǎn)，助力用戶打造智能、可靠、安全的網(wǎng)絡(luò)新場(chǎng)景，共同迎戰(zhàn)數(shù)字時(shí)代下的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，一起預(yù)建未來。

##

關(guān)于亞信安全

亞信安全是中國(guó)網(wǎng)絡(luò)安全行業(yè)領(lǐng)跑者，以安全數(shù)字世界為愿景，旨在護(hù)航產(chǎn)業(yè)互聯(lián)網(wǎng)。亞信安全是云安全、身份安全、終端安全、態(tài)勢(shì)感知、高級(jí)威脅治理、威脅情報(bào)技術(shù)領(lǐng)導(dǎo)者，同時(shí)是5G、云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)、工控、移動(dòng)六大安全場(chǎng)景引領(lǐng)者。在國(guó)內(nèi)擁有3個(gè)獨(dú)立研發(fā)中心，2,000人安全專業(yè)團(tuán)隊(duì)。欲了解更多，請(qǐng)?jiān)L問: http://www.asiainfo-sec.com

更多媒體垂詢，敬請(qǐng)聯(lián)絡(luò)：