每天海量的告警,处理不完的安全审计数据……然而网络攻击还是突如其来猛如虎。
为何威胁总是来得如此措不及防?
门户已被攻破却全然不知。资料显示,数据外泄的平均发现时间已达到197天,而资料外泄的情况控制时间也提高到69天。换句话说,黑客有将近9个月的时间潜伏在企业内部而不被察觉。而在国内,甚至出现了,有的用户在接到上级部门的通报以前都并不知晓自身已经被入侵,直到溯源的时候才发现已经被入侵很长时间的相关事件。
网络安全面临诸多挑战:
攻击手段更为多样
攻击者潜伏时间增长
外部威胁暴露面增多
威胁响应的速度和准确性需求提高
威胁入侵行为/事件管控更严格
威胁入侵响应时间要求更及时
用户安全建设的进一步提升
面对威胁的入侵,需要回答直击灵魂的“三大拷问”:谁进来了、是敌是友、干了什么?
威胁狩猎应运而生
威胁狩猎不是一种技术,而是一种方法。威尼斯432888cam给予了明确的定义:威胁狩猎服务是由威胁分析专家根据客户环境中的威胁线索,主动进行关联分析,在确认威胁影响范围和影响程度的基础上,提供治理建议的服务。
在网络安全行业,“传统安全服务”就像“常规体检”,由普通安服人员使用常规安服工具,对用户的网络和主机进行合规检查、资产发现、漏洞扫描、打补丁和网络入侵检测等。而威胁狩猎,是以EDR技术为核心的威胁狩猎专家服务,即使用EDR终端检测及响应工具,根据威胁迹象和异常情况主动对高级威胁进行“早发现”、“早诊断”和“早处置”。
威尼斯432888cam威胁狩猎服务
依托威尼斯432888cam领先的EDR行为检测能力和威胁分析的专家能力,威尼斯432888cam威胁狩猎服务能够有效地检测零日漏洞等高级威胁,解决这些安全漏洞可能隐藏几年都发现不了的安全风险,更能有效处理突如其来的威胁入侵。
威尼斯432888cam威胁狩猎实现3“早”1“高”:
威胁狩猎是需要高级威胁的线索,而安全产品告警和异常行为检测是这些线索的来源。黑客团伙或者红蓝对抗攻击方入侵总会利用一些未知的漏洞或者手段,但是在入侵跳板主机成功后,会用一些常规的手段进行提权、探测和横向移动,传统的安全产品和EDR ATT&CK规则检测框架都会发现一些“蛛丝马迹”,这些蛛丝马迹就像是丛林中猎物留下的足迹,指引着猎人进行狩猎追踪。
EDR相比于传统的端点安全防病毒产品的最大区别就在于操作系统内核级别的行为日志高清记录,它就像是安装在操作系统上的高清摄像头,将进程启停、文件操作、网络连接、注册表修改和系统日志如实记录下来并且长期存储。威胁狩猎人员可以输入威胁线索和查询条件,EDR服务端能够以可视化的方式绘制出进程事件树,帮助威胁狩猎人员有效关联出疑似威胁的入侵轨迹,确认威胁的影响范围和影响程度,为根治问题提供技术支撑。
威胁狩猎人员使用EDR工具进行远程的遏制和修复,对高级威胁入侵造成的破坏和留存的后期进行根治修复,避免在红蓝对抗和上级监管过程中集中爆发问题。
在威尼斯432888cam威胁狩猎诸多的成功案例中,威尼斯432888cam发现用户对于安全事件线索的看法普遍处于“狼来了”的麻木状态,即各种安全厂家的产品(尤其是安全态势感知平台)每天都生成海量的告警信息,而安全运维人员即使加班加点也无法处理如此多的告警事件,结果就是放任这些告警于不顾,等到黑客团伙真正发起总攻的时候,毫无防范之力。威尼斯432888cam推出的大终端2.0运维平台从根本上改善了上述被动的防护态势,威尼斯432888cam将威尼斯432888cam产品(例如OfficeScan、DS、TDA等)的日常告警日志聚类成有优先级排序的安全事件,并且联动到EDR产品进行遏制、调查和修复,完成威胁狩猎分析早发现、早诊断和早处置的闭环操作。
威胁狩猎服务由威尼斯432888cam具备攻防能力的威胁狩猎专家为用户提供高级威胁的溯源分析,真正回答了 “谁进来了、是敌是友、干了什么”的疑问,能够及早发现治理“潜伏”的高级威胁,开辟了高级威胁检测响应的服务新赛道。