8年技术迭代,深信服安全运营建设的探索之路(2)
时间:2023-04-21 18:07 来源:网络整理 作者:墨客科技 点击:次
为了解决攻防对抗连续性和人员精力的问题,安全托管服务MSS应运而生。我们将EDR、SIP接入MSS,以7*24小时持续在线服务,提供专家级能力支撑。 基于过往安全建设的持续投入,深信服安全运营体系能力不断加强,至此能有效满足常态化安全运营场景的各类需求。
以攻促防,是我们不断检验提升自身安全运营建设水平的重要手段。然而,在一次深信服蓝军的内部演习中,面对强大的攻击队,我们的内部防守依然顶着巨大的压力。 尽管守住了底线,但我们清醒地反思,复盘当前安全体系建设依然存在各类问题: 高价值告警难以有效定位、高级威胁难精准检出、攻击路径还原呈现碎片化、智能研判难度大、响应处置效率低等。 又一次,我们陷入了思考中。 3. 平台+组件+服务,检测响应新范式XDR 一筹莫展之间,我们开始回过头来看: 安全运营建设的本质需求是什么? 毫无疑问,我们面对的“敌人”始终是网络威胁,安全技术在不断发展,威胁也在不断迭代升级。因此,无论威胁如何变化,我们要始终领先威胁一步,抢占对抗攻击的先机,聚焦检测响应,实现真正的「安全效果」。 我们意识到,这不是以往堆叠设备,或者设备之间简单组合联动,就能够满足的需求。 安全运营聚焦检测响应的能力核心,需要通过汇集来自不同安全设备的一手遥测数据,秒级狙击威胁根因,进行多维度的聚合分析和响应决策,并结合服务,彻底闭环响应事件,才能保障安全效果的落地。 而这将通过什么技术实现?我们在XDR上看到了希望。 2022年3月,深信服在国内率先推出「云化SaaS XDR平台+组件+服务」。 作为0号样板点,深信服内部正式上线XDR平台,对接AF、SIP、EDR组件,形成一套以效果驱动的安全运营流程:
在一同梳理深信服安全运营建设之路的过程中,深信服CSO沙明表示,落地XDR平台超半年时间,真真切切感受到了「效果」: 告警削减:将原先日均1万+告警数,依赖XDR平台网端一手遥测数据聚合分析,生成日均600-800个事件(其中实验室病毒事件占比70-80%),海量告警削减达90%。 检测精准:能够精准识别出0day漏洞、免杀Shell、魔改FRP等以往难以检测的高级威胁,经验证,事件准确率高达95%。 威胁定性:通过智能定性分析,将不同类型告警进行分类分级,帮助运营人员聚焦高价值告警。 响应快速:对接安装EDR、CWPP的资产指纹清点,完成隔离主机、阻断进程等处置动作,运营人员表示「基本可在当天完成所有事件处置」。
02 以效果驱动安全运营 实战表现亮眼 光说不练假把式。体系框架搭好了,是时候上场展现真正的实力。2022年11月,在没有提前通知的情况下,深信服蓝军直接发起攻击。 攻防两股力量对立交织,深信服XDR平台精准检测出多种高级威胁,如0day漏洞攻击、钓鱼邮件+白利用攻击等,并联动AF、SIP、EDR等组件,结合一套顺畅的运营机制,事件闭环时间由原本5小时压缩至30分钟。XDR发挥出常态化攻防对抗「指挥作战中心」的作用。 演练结束后,深信服蓝军坦言,“以前总觉得防守方被动挨打,但这次感受到了真正的对抗”。 03 给用户的安全运营建设启示 作为一家网络安全头部厂商,深信服自身有一个坚定的使命,即通过真实环境下的产品体验和效果验证,不断精进产品质量,基于“简单有效、省心可靠”的理念给用户以启示: 安全运营建设应聚焦检测响应能力核心 (责任编辑:admin) |
- 上一篇:专访《太吾绘卷》茄子:直面压力,创造世界
- 下一篇:缴获的日本指挥刀