旧版搜索
  • 新版搜索
  • 旧版搜索

历史搜索 全部删除

    热门搜索

      威胁检测与响应(TDR)市场指南发布,中睿天下表现亮眼

      以“攻防”为主要场景的威胁检测与响应解决方案受市场追捧

      • TDR指南发布, 中睿天下入选

      近日,数字安全领域第三方调研机构数世咨询发布《威胁检测与响应(TDR)市场指南》报告。

      近几年大型攻防演练活动中,以“攻防”为主要场景的威胁检测与响应解决方案已经成为众多机构的主要安全需求,作为经实践验证行之有效的解决方案。为了客观真实地反映该细分领域的市场及技术情况,报告中的能力点阵图从应用创新力与市场执行力两大维度,对国内威胁检测与响应(TDR)提供商进行了侧写。

      15家安全厂商入选本次威胁检测与响应(TDR)点阵图,分别为:中睿天下、奇安信、绿盟科技、安恒信息、科来、深信服、安博通、东巽科技、斗象科技、恒安嘉新、华清信安、金睛云华、兰云科技、启明星辰、亚信安全。中睿天下的代表产品为「攻击溯源」系列产品。

      • 以攻防为主要场景的威胁检测与响应解决方案成主要安全需求

      威胁检测与响应(TDR)指以全流量检测与分析技术为核心,并结合威胁情报、脆弱性检测、加密流量解析、日志分析 、EDR、SOAR、沙箱、专家服务等功能模块,以网络攻防对抗为主要场景的一体化解决方案。

      据调研,目前国内用户采购威胁检测与响应(TDR)整体解决方案的需求主要围绕以下三方面:

      1.    现有的安全建设体系难以应对实战化、常态化、智能化的攻击手法,针对APT及未知威胁、高级威胁需要有效防护手段。

      2.    完善企业内部的安全运营体系,与SOC/SIEM、大数据平台、威胁情报等体系实现互补和对接。

      3.    安全及威胁攻击可视化,清晰明确业务造成攻击的状况, 提升客户威胁回溯和响应处置能力,自动化能力。

      随着各种新型攻击的持续发生, IT与互联网应用的快速发展,国家各项政策规范的制定以及重大网安活动的推动,基于通信流量的检测响应技术势必成为安全领域最重要的安全防护手段,TDR市场将持续增长,预计2021年TDR市场约为39亿元左右。

      • 应用场景:威胁检测、攻击行为分析以及应急响应溯源

      威胁检测、攻击行为分析以及应急响应溯源是TDR的主要场景。

      威胁检测场景中,在前期全面资产盘点、收敛攻击暴露面的基础上,首先进行漏洞扫描、弱口令排查等脆弱性检测;针对潜在的各类恶意软件,基于已知威胁库进行规则检测,阻断大部分已知安全威胁;对于可能存在的未知威胁,通过全流量采集、网络协议解码和元数据提取等步骤,建立完整的协议及数据包索引,并逐步形成流量协议、通联关系、行为统计等特征基线,为后续的关联分析提供数据基础;对于邮件、终端、蜜罐等安全产品上报的文件以及流量中提取得到的所有文件,应当配以AV引擎进行检测查杀,如有条件,还可导入沙箱进行二次动态检测。

      攻击行为分析场景中,及时、优质的威胁情报是有效的加分项。将威胁情报前置,在流量检测环节就对检测对象(包括IP地址、域名、URL等)进行自动化威胁情报碰撞,提升告警的准确度,降低误报率,为接下来的响应溯源环节提供准确线索。利用威胁情报还可以对历史流量日志进行回溯分析,利用最新的威胁情报碰撞历史的流量日志,发现可能潜藏有一段时间的未知高级威胁。面对高级安全专家人员短缺的现实情况,各安全企业普遍选择将web攻击、钓鱼、弱口令、爆破攻击、僵木蠕等常见威胁行为提炼为场景化模型。此外,为了积累更多模型覆盖更多威胁,并使TDR产品/解决方案具备一定的自动化分析能力,除了按照killchain、ATT&CK等主流框架积累模型外,还通过机器学习、社区化运营等来搜集异常行为模型。

      在响应溯源阶段,TDR在与MDR、EDR、NDR联动时,应当具备一定的自动化编排能力,同时为其他厂商的设备预留接口。值得一提的是,如果在前期做过详尽的资产盘点,并考虑到资产的业务价值,那么在响应优先级中即可有所体现。而且,基于NTA的全包存储、还原取证等能力,及情报辅助去除佯攻噪音后,交由人工专家进一步溯源。

      以上检测、分析、响应三个环节经过实践检验后,应当融入用户的安全运营流程,并持续迭代改进。特别是在大型攻防演练活动常态化以后,安全产品/解决方案的流程化成熟运转,是其能力得以真正发挥的重要方式。

      • 中睿优势:利用「攻击溯源」构建面向实战对抗的新一代高级安全防护体系

      网络攻击溯源区别于传统防护理念,它从攻击者视角出发,通过场景化建模和自动智能化分析,将不同时序、不同部位的攻击碎片重组为攻击事件,并对攻击者手法、目的、身份、背景等进行深度溯源,最终实现精准、高效的威胁发现和应急处置,从而使用户具备在网络空间安全“强对抗”背景下的必要能力。

      基于核心团队近20年的一线攻防实战经验,以及对政府、能源、金融、交通等行业业务的深入研究,中睿天下确定了“基于业务的深度检测与攻击溯源”技术路线,将多年的攻防经验持续转化到产品实践中,并通过「攻击溯源」技术构建面向实战对抗的新一代高级安全防护体系,帮助政企用户显著提升网络安全监测预警、分析研判、态势感知、攻击溯源以及应急处置等能力,有效应对来自外部专业组织和势力的高强度网络攻击。

      具体实践路线如下:

      1、    对特征匹配技术的深入挖掘

      这是传统威胁检测产品必备的一项技能。中睿天下根据多年的攻防经验,结合DPI、DFI技术和双向流检测技术,对特征匹配技术进行深入挖掘,大幅提升威胁检测的范围和准确性,有效防范大部分已知威胁和一部分未知威胁。

      2、    NTA技术加持

      通过NTA技术,建立网络流量模型基线,同时利用机器学习技术和大数据分析技术,发现异常行为和攻击行为。

      深度流量分析。从时间、会话、协议、事件等不同维度进行网络流量追踪分析,根据发现的异常事件进行深度追踪、溯源,快速确定潜在的威胁,全面评估事件的危害。

      纵深检测体系。基于攻击者发起攻击的生命周期,建立一个纵深检测体系,覆盖攻击者攻击的主要环节。这样即使一点失效和被攻击者绕过,也可以在后续的点进行补充,让攻击者很难整体逃逸检测。

      利用以上检测技术,融合于杀伤链检测过程,对攻击者每个环节中的攻击和行为进行检测和捕获,已能取得良好效果。但根据中睿天下多年的攻防对抗经验,这还不够。高级的攻击者一般目标明确,发起攻击前深入调研,精心构建攻击方案和路线,甚至可能出现攻击者比运营者更了解企业网络环境的情况。他们小心翼翼,模仿用户的访问习惯和正常行为,躲过了特征检测和流量模型的捕获,从纯技术层面已经不能有效鉴定是否异常。

          所以,在此基础上,中睿天下更进一步,将威胁检测技术、威胁检测体系与业务深度融合,根据不同的行业特色、不同的业务背景、不同的网络环境,因地制宜,形成量身打造的威胁检测体系与方案。

      3、    场景化检测,让隐匿威胁无处遁形

      场景化是中睿天下基于业务深度检测的优秀实践。它不是孤立的模型,而是与上述两种检测技术体系相辅相成,紧密结合。场景化也不是简单的条件组合,它是网络行为与业务环境的深度契合。

      (1)业务梳理

      基于业务检测,首先要让系统“掌握”业务,包括网络资产的自动识别、网络流量的流向分布、网络结构的自主画像、业务区域的自动构建与人工编辑、核心业务系统的定位与权重划分、基于业务网络行为的行为基线等等。

      业务梳理是技术难度较高的环节。这不单单是准确性和全面性的问题,更是进行业务检测的根本基础。如果这一基础不扎实,上层的构建也是徒劳。

      (2)基于业务的模型构建

      掌握了以上业务信息,检测引擎才可以深入地有的放矢。整合有效的业务元素、网络元素和风险元素,杀伤链基于业务环境进行重新构建,网络行为基于业务模型进行重新审视。如针对攻击者在该业务网络会发生的威胁意图、威胁路线、威胁手段,进行部署防控,建立跟业务紧密结合的场景模型,让看似正常的网络访问现出威胁原形——源于互联网的扫描,可能无关痛痒,但源于网络内部的扫描,就已经触发了威胁红线。

      同时,基于各行业真实业务环境,自定义行业应用场景,让安全与业务相结合,满足行业化属性的安全需求,达到真正意义上的安全可控、业务可用。

      (3)用户自主设计模型场景

      安全产品的检测能力体现的是厂商或产品的安全能力,但人始终是安全的主体,没有赋予客户安全能力,整个安全产品的交付就没有形成闭环。相比客户,安全厂商不敢说自己比客户更懂业务运行。因而,让客户具备检测的意识和思路,具备构建业务审查模型的能力和工具,尤为重要。而场景化模型平台就是攻防经验的交付,积累与沉淀的抓手,让客户游刃有余,让更懂业务的人做更好的业务防护。

      至此,一套攻击溯源体系已经运转起来。

      基于业务的深度检测,是在基于技术的威胁检测基础上,进一步的深入与拓展,是一个精细化、本地化的过程。它能够让行业内的威胁检测技术发挥出更大的潜力与效果。

      有幸,中睿天下走在实践的路上,且「攻击溯源」系列产品及解决方案经实践检验行之有效,目前已在政府、能源、金融、国防、电信、交通、教育、医疗、互联网等重点行业得到成功验证,成功应用于海关总署、国家税务总局等政府单位,和以国家电网、南方电网、中国石油、中国石化、中国海油、中核集团、三峡集团、中国农业银行、中国光大银行、华泰证券、中国联通等为代表的大型企业。

      本文为转载内容,授权事宜请联系原著作权人。
      商业资讯
      点赞
      收藏
      看评论
      沉浸模式

      评论

      暂无评论哦,快来评价一下吧!
      热门排行April 19

      威胁检测与响应(TDR)市场指南发布,中睿天下表现亮眼

      以“攻防”为主要场景的威胁检测与响应解决方案受市场追捧

      2020/12/31 20:36

      • TDR指南发布, 中睿天下入选

      近日,数字安全领域第三方调研机构数世咨询发布《威胁检测与响应(TDR)市场指南》报告。

      近几年大型攻防演练活动中,以“攻防”为主要场景的威胁检测与响应解决方案已经成为众多机构的主要安全需求,作为经实践验证行之有效的解决方案。为了客观真实地反映该细分领域的市场及技术情况,报告中的能力点阵图从应用创新力与市场执行力两大维度,对国内威胁检测与响应(TDR)提供商进行了侧写。

      15家安全厂商入选本次威胁检测与响应(TDR)点阵图,分别为:中睿天下、奇安信、绿盟科技、安恒信息、科来、深信服、安博通、东巽科技、斗象科技、恒安嘉新、华清信安、金睛云华、兰云科技、启明星辰、亚信安全。中睿天下的代表产品为「攻击溯源」系列产品。

      • 以攻防为主要场景的威胁检测与响应解决方案成主要安全需求

      威胁检测与响应(TDR)指以全流量检测与分析技术为核心,并结合威胁情报、脆弱性检测、加密流量解析、日志分析 、EDR、SOAR、沙箱、专家服务等功能模块,以网络攻防对抗为主要场景的一体化解决方案。

      据调研,目前国内用户采购威胁检测与响应(TDR)整体解决方案的需求主要围绕以下三方面:

      1.    现有的安全建设体系难以应对实战化、常态化、智能化的攻击手法,针对APT及未知威胁、高级威胁需要有效防护手段。

      2.    完善企业内部的安全运营体系,与SOC/SIEM、大数据平台、威胁情报等体系实现互补和对接。

      3.    安全及威胁攻击可视化,清晰明确业务造成攻击的状况, 提升客户威胁回溯和响应处置能力,自动化能力。

      随着各种新型攻击的持续发生, IT与互联网应用的快速发展,国家各项政策规范的制定以及重大网安活动的推动,基于通信流量的检测响应技术势必成为安全领域最重要的安全防护手段,TDR市场将持续增长,预计2021年TDR市场约为39亿元左右。

      • 应用场景:威胁检测、攻击行为分析以及应急响应溯源

      威胁检测、攻击行为分析以及应急响应溯源是TDR的主要场景。

      威胁检测场景中,在前期全面资产盘点、收敛攻击暴露面的基础上,首先进行漏洞扫描、弱口令排查等脆弱性检测;针对潜在的各类恶意软件,基于已知威胁库进行规则检测,阻断大部分已知安全威胁;对于可能存在的未知威胁,通过全流量采集、网络协议解码和元数据提取等步骤,建立完整的协议及数据包索引,并逐步形成流量协议、通联关系、行为统计等特征基线,为后续的关联分析提供数据基础;对于邮件、终端、蜜罐等安全产品上报的文件以及流量中提取得到的所有文件,应当配以AV引擎进行检测查杀,如有条件,还可导入沙箱进行二次动态检测。

      攻击行为分析场景中,及时、优质的威胁情报是有效的加分项。将威胁情报前置,在流量检测环节就对检测对象(包括IP地址、域名、URL等)进行自动化威胁情报碰撞,提升告警的准确度,降低误报率,为接下来的响应溯源环节提供准确线索。利用威胁情报还可以对历史流量日志进行回溯分析,利用最新的威胁情报碰撞历史的流量日志,发现可能潜藏有一段时间的未知高级威胁。面对高级安全专家人员短缺的现实情况,各安全企业普遍选择将web攻击、钓鱼、弱口令、爆破攻击、僵木蠕等常见威胁行为提炼为场景化模型。此外,为了积累更多模型覆盖更多威胁,并使TDR产品/解决方案具备一定的自动化分析能力,除了按照killchain、ATT&CK等主流框架积累模型外,还通过机器学习、社区化运营等来搜集异常行为模型。

      在响应溯源阶段,TDR在与MDR、EDR、NDR联动时,应当具备一定的自动化编排能力,同时为其他厂商的设备预留接口。值得一提的是,如果在前期做过详尽的资产盘点,并考虑到资产的业务价值,那么在响应优先级中即可有所体现。而且,基于NTA的全包存储、还原取证等能力,及情报辅助去除佯攻噪音后,交由人工专家进一步溯源。

      以上检测、分析、响应三个环节经过实践检验后,应当融入用户的安全运营流程,并持续迭代改进。特别是在大型攻防演练活动常态化以后,安全产品/解决方案的流程化成熟运转,是其能力得以真正发挥的重要方式。

      • 中睿优势:利用「攻击溯源」构建面向实战对抗的新一代高级安全防护体系

      网络攻击溯源区别于传统防护理念,它从攻击者视角出发,通过场景化建模和自动智能化分析,将不同时序、不同部位的攻击碎片重组为攻击事件,并对攻击者手法、目的、身份、背景等进行深度溯源,最终实现精准、高效的威胁发现和应急处置,从而使用户具备在网络空间安全“强对抗”背景下的必要能力。

      基于核心团队近20年的一线攻防实战经验,以及对政府、能源、金融、交通等行业业务的深入研究,中睿天下确定了“基于业务的深度检测与攻击溯源”技术路线,将多年的攻防经验持续转化到产品实践中,并通过「攻击溯源」技术构建面向实战对抗的新一代高级安全防护体系,帮助政企用户显著提升网络安全监测预警、分析研判、态势感知、攻击溯源以及应急处置等能力,有效应对来自外部专业组织和势力的高强度网络攻击。

      具体实践路线如下:

      1、    对特征匹配技术的深入挖掘

      这是传统威胁检测产品必备的一项技能。中睿天下根据多年的攻防经验,结合DPI、DFI技术和双向流检测技术,对特征匹配技术进行深入挖掘,大幅提升威胁检测的范围和准确性,有效防范大部分已知威胁和一部分未知威胁。

      2、    NTA技术加持

      通过NTA技术,建立网络流量模型基线,同时利用机器学习技术和大数据分析技术,发现异常行为和攻击行为。

      深度流量分析。从时间、会话、协议、事件等不同维度进行网络流量追踪分析,根据发现的异常事件进行深度追踪、溯源,快速确定潜在的威胁,全面评估事件的危害。

      纵深检测体系。基于攻击者发起攻击的生命周期,建立一个纵深检测体系,覆盖攻击者攻击的主要环节。这样即使一点失效和被攻击者绕过,也可以在后续的点进行补充,让攻击者很难整体逃逸检测。

      利用以上检测技术,融合于杀伤链检测过程,对攻击者每个环节中的攻击和行为进行检测和捕获,已能取得良好效果。但根据中睿天下多年的攻防对抗经验,这还不够。高级的攻击者一般目标明确,发起攻击前深入调研,精心构建攻击方案和路线,甚至可能出现攻击者比运营者更了解企业网络环境的情况。他们小心翼翼,模仿用户的访问习惯和正常行为,躲过了特征检测和流量模型的捕获,从纯技术层面已经不能有效鉴定是否异常。

          所以,在此基础上,中睿天下更进一步,将威胁检测技术、威胁检测体系与业务深度融合,根据不同的行业特色、不同的业务背景、不同的网络环境,因地制宜,形成量身打造的威胁检测体系与方案。

      3、    场景化检测,让隐匿威胁无处遁形

      场景化是中睿天下基于业务深度检测的优秀实践。它不是孤立的模型,而是与上述两种检测技术体系相辅相成,紧密结合。场景化也不是简单的条件组合,它是网络行为与业务环境的深度契合。

      (1)业务梳理

      基于业务检测,首先要让系统“掌握”业务,包括网络资产的自动识别、网络流量的流向分布、网络结构的自主画像、业务区域的自动构建与人工编辑、核心业务系统的定位与权重划分、基于业务网络行为的行为基线等等。

      业务梳理是技术难度较高的环节。这不单单是准确性和全面性的问题,更是进行业务检测的根本基础。如果这一基础不扎实,上层的构建也是徒劳。

      (2)基于业务的模型构建

      掌握了以上业务信息,检测引擎才可以深入地有的放矢。整合有效的业务元素、网络元素和风险元素,杀伤链基于业务环境进行重新构建,网络行为基于业务模型进行重新审视。如针对攻击者在该业务网络会发生的威胁意图、威胁路线、威胁手段,进行部署防控,建立跟业务紧密结合的场景模型,让看似正常的网络访问现出威胁原形——源于互联网的扫描,可能无关痛痒,但源于网络内部的扫描,就已经触发了威胁红线。

      同时,基于各行业真实业务环境,自定义行业应用场景,让安全与业务相结合,满足行业化属性的安全需求,达到真正意义上的安全可控、业务可用。

      (3)用户自主设计模型场景

      安全产品的检测能力体现的是厂商或产品的安全能力,但人始终是安全的主体,没有赋予客户安全能力,整个安全产品的交付就没有形成闭环。相比客户,安全厂商不敢说自己比客户更懂业务运行。因而,让客户具备检测的意识和思路,具备构建业务审查模型的能力和工具,尤为重要。而场景化模型平台就是攻防经验的交付,积累与沉淀的抓手,让客户游刃有余,让更懂业务的人做更好的业务防护。

      至此,一套攻击溯源体系已经运转起来。

      基于业务的深度检测,是在基于技术的威胁检测基础上,进一步的深入与拓展,是一个精细化、本地化的过程。它能够让行业内的威胁检测技术发挥出更大的潜力与效果。

      有幸,中睿天下走在实践的路上,且「攻击溯源」系列产品及解决方案经实践检验行之有效,目前已在政府、能源、金融、国防、电信、交通、教育、医疗、互联网等重点行业得到成功验证,成功应用于海关总署、国家税务总局等政府单位,和以国家电网、南方电网、中国石油、中国石化、中国海油、中核集团、三峡集团、中国农业银行、中国光大银行、华泰证券、中国联通等为代表的大型企业。

      本文为转载内容,授权事宜请联系原著作权人。