【51CTO.com原创稿件】通过防火墙或者防病毒软件来把恶意攻击拦截在企业环境之外的防疫手段显然已经不足以应对当今复杂的安全环境。因为大多数的黑客都能够利用定制的恶意软件绕过传统的防毒解决方案,所以,采取主动防御的方式保护端点安全越来越有必要。
EDR技术凭借检测更为深入、不间断性、实时可视化程度更高等强大的功能,受到了众多企业的青睐。在国内,EDR产品经过五年的发展,已经成为各大安全厂商和新兴安全公司持续发力的方向。致力于成为企业客户的威胁发现和响应专家的微步在线,于近日正式发布了主机威胁检测响应产品OneEDR,与微步在线旗下基于网络流量检测的威胁感知平台TDP、互联网安全接入服务OneDNS、本地多源威胁情报管理平台TIP等共同构成微步在线的“云+流量+端点”威胁检测响应产品矩阵。
那么,微步在线的OneEDR有何不同呢?
重磅推出OneEDR:迈向XDR的一大步
据OneEDR的产品负责人介绍,OneEDR 是一款关注于主机入侵检测的新型检测与响应平台,基于轻量级的终端采集和分析Agent,通过收集终端的网络、进程、文件等行为事件,在平台侧利用威胁情报,文件检测与行为分析等技术手段,实现对主机入侵行为的精准发现、攻击路径自动化回溯,并支持对终端海量行为进行检索,同时支持对恶意入侵行为进行响应阻断。
的确,近年来随着网络规模不的断扩大,业务服务部署模式日益复杂,传统IDC 机房、私有云、公有云通常在一个企业中以混合结构出现。且云架构带来的多层的工作负载环境产生了数以万计的服务器,伴随而来的问题便是保障服务器主机安全的难度增大。服务器主机作为企业的核心资产,没有服务器主机安全就没有业务安全。无论是云主机还是传统IDC 中的实体服务器,其安全保障受到越来越多的关注,已经成为企业安全的“最后一道防线”。服务器失守带来的安全失控,不仅影响潜在的系统稳定性,导致业务运行可能出现终端,更有可能带来信息泄露,进一步导致经济和品牌价值的损失。对主机入侵的实时检测和快速
响,是目前企业安全建设的重要方向,在传统杀毒之外,更加有效的针对服务器设计的EDR是当前安全环境下的大势所趋。这也正是微步在线推出OneEDR产品的初衷。
目前OneEDR能够全面检测Webshell、反弹Shell、木马后门、主机提权、僵尸网络、挖矿威胁、勒索病毒、虚假内核、远控工具、恶意环境变量、漏洞利用、恶意进程、账号爆破等多种几十种威胁类型,全面检测已知和未知的攻击和威胁。同时能将安全运营人员的处置记录作为反馈信息,利用机器学习算法持续优化、自适应更新检测算法,打造专属该企业的检测引擎系统,有针对性地加强企业检测能力。
值得一提的是,OneEDR和微步在线的流量检测响应产品TDP具备深度结合的能力,不仅能让安全运维人员“看到”终端和流量中的网络威胁,还能够把终端和流量中获得的威胁信息统一管理、分析,聚合出安全事件的完整攻击链。
同时,OneEDR占用户网络和软硬件资源极小。OneEDR对用户Agent CPU消耗控制在1%以下,内存消耗控制在70MB,同时在终端上应用数据过滤和压缩技术,可控制采集数据量平均在每天10M左右,对CPU性能和网络带宽的影响极小。据介绍,目前,OneEDR能够精准发现入侵,威胁事件检出率高达99%,情报引擎准确率达99.9%。
内核级的结合,打造“端点+流量”的检测响应模式
针对“无效报警太多的痛点”,微步在线正式对外发布旗下威胁感知平台Threat Detection Platform(TDP)的新版本,在该版本中,基于流量做检测响应的TDP能够实现与微步在线旗下终端检测响应产品OneEDR的内核级结合,形成“端点+流量”的检测响应模式。
据微步在线技术合伙人、TDP产品负责人赵林林介绍,微步在线将TDP与OneEDR结合,是将网络流量监测和端点监测两部分联动,可以相互告知已获得的告警和敏感行为。 “一般NDR和EDR的联动,只能做到两者互为彼此的眼睛,但却无法使用同一个大脑来分析”。而微步在线实现的联动,不仅能让两者共享数据,还能在分析层面参照两方面的信息,其背后正是微步在线强大的“云安全大脑”——基于海量数据和分析的情报引擎。
微步在线技术合伙人、TDP产品负责人赵林林
全面迈向XDR
在Gartner《Innovation Insight for Extended Detection and Response》报告中,XDR被描述为安全威胁检测和事件响应SaaS工具,它从终端、流量、蜜罐、网关等处发现网络威胁,并与云端威胁情报、签名、规则库、特征库等数据进行联动比对,通过机器学习等技术,过滤数据噪声,减少误报和漏报,将告警自动聚合为完整安全事件,并实现一键处置。
目前,微步在线旗下的基于网络流量检测的威胁感知平台TDP、主机威胁检测响应产品OneEDR、互联网安全接入服务OneDNS、本地多源威胁情报管理平台TIP等产品,共同构成微步在线的“云+流量+端点”威胁检测响应产品矩阵,为全面迈向XDR打下了坚持基础。
微步在线创始人兼CEO薛锋表示:“为应对未知的网络安全威胁,微步在线正在迈向“XDR”,“XDR”代表了一种检测技术的大融合,因为在任何一个单点上,看到的东西都是不全面的,有失偏颇的。所以“XDR”的“X”代表了拓展,它能把很多不同方向东西汇集在一起进行全面检测。这个是未来的大的方向。”
微步在线创始人兼CEO薛锋
3月17日,微步在线宣布完成E轮5亿元人民币融资,此前,微步在线于2020年9月完成了3亿元人民币的D轮融资。仅仅半年时间,完成两次融资,金额累积达8亿。在2017-2020年,微步在线连续三次入选Gartner《全球威胁情报市场指南》。这些亮眼的成绩,也是对微步在线对未来安全趋势的把控、产品的打磨,以及商业模式、市场布局的肯定。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】