2021年,全球网络空间安全形势愈发严峻,国家级网络攻击、勒索软件攻击、超大规模数据泄露、波及范围极广的重大安全漏洞等多类型安全事件的不断爆发,似乎预示着网络空间中一个新的格局正在重建。
今年5月,一场针对美国东海岸主要燃料管道运营商Colonial Pipeline公司的网络安全攻击,再次让美国陷入了困境,攻击行动让Colonial 公司被迫停止了输油管道的运营,直接切断了美国东海岸的输油动脉,这次事件让关键基础设施的脆弱性暴露在了大众面前,一次蓄谋已久的网络攻击完全有能力造成一次影响深远的社会危机。
在大国争端与地缘政治的背景下,我们能看到的是,网络安全形势日趋严峻,尤其是APT攻击和大规模的勒索软件攻击呈高发态势,在预谋已久的攻击者面前,很难有人可以独善其身,就连在安全方面投入了巨大的人力和财力的美国也一次次被击穿。
在复杂的技术对抗面前,以防火墙、杀毒软件为代表的传统安全防护体系似乎正在威胁检测与发现领域失效,甚至已经颇有些日薄西山的趋势。
业内的安全专家们逐渐达成一个共识:攻击者在每一次攻击行动前潜伏期更长,攻击的技术与步骤也更加的复杂,传统网络安全理念中将黑客阻挡于企业网络边界之外的做法已经逐渐失效,视角应该从阻止黑客进入转变为侧重阻止攻击者在内网的横向移动做出更大的破坏,以第一时间阻止网络攻击事态的继续恶化,最大限度的减少或避免攻击事件造成的损失。
随着业内对于高级威胁攻击的关注不断增加,威胁检测技术也从关注特征检测转向了关注行为分析检测。在具体做法上,安全厂商们除了在防火墙、杀软和IDS这“老三样”的基础上提升其处理性能和检测范围,并冠以“下一代”、“新一代”的标签外,也在积极探索研究EDR、NDR、NTA、SIEM、SOAR、XDR等威胁检测与响应技术,尤其是XDR得到了业界的普遍关注。
2020年,Gartner将XDR命名为第一大安全趋势,并表示XDR解决方案将“提高检测准确性,并提高安全运营效率和生产率。”XDR的全称为Endpoint Detection and Response,即可扩展的威胁检测与响应能力。因此,XDR代表了一种跨多个安全层收集并自动关联信息以实现快速威胁检测的方法,包括面向日志的安全信息和事件管理SIEM、面向运营的检测与响应服务MDR、面向端点的检测与响应EDR以及面向网络的的NDR和网络流量分析NTA。
综合业内多位安全专家的解读,在安全419理解来看,XDR技术为业界提供了一种攻击的检测模型,跨端点、网络、SaaS应用、云基础设施等各种可以处理的网络资源,为所有的网络层和应用程序堆栈提供可见性,同时具备高级检测、自动关联和机器学习能力,能够通过统一的威胁检测框架(如ATT&CK),实现在更多维度、更多位置、更加全面的检测,进而实现对威胁的自动响应和统一编排,可以快速发现事件,响应并阻止现有威胁和紧急威胁。
虽然当前业内有越来越多的厂商都宣称能够提供XDR解决方案,但技术不是一蹴而就的,需要大量的时间和场景来沉淀与打磨。事实上,单独一家安全厂商很难做到完全覆盖EDR、NTA、MDR等全系威胁检测技术,哪些厂商技术是实实在在的,又有哪些厂商只有一个宣传噱头?或许需要等市场的验证来进一步给出答案。
安全419面向国内市场中我们目前所接触并了解到的涉足高级威胁检测与响应领域的厂商,通过对其相关产品/解决方案与业务情况进行调研,基于自身的理解来择优推荐其中具有代表性的部分优秀厂商,为企业用户加强安全建设提供一定的参考。(以下推荐不涉及排名,按公司名称首字母排序)
推荐厂商:安芯网盾
厂商介绍:
安芯网盾(北京)科技有限公司(简称安芯网盾)成立于2019年,是业内专注于内存安全的一家明星技术企业,致力于为政府、金融、运营商、军工、教育、医疗、互联网及大型企业等行业客户提供面向未来的网络安全解决方案。帮助企业构建基于硬件虚拟化技术的内存安全环境,防御并终止在业务关键应用程序中的无文件攻击、0day漏洞攻击等高级威胁,切实有效保障用户的核心业务不被阻断、核心数据不被窃取。
推荐理由:
近年来,一个叫做“无文件攻击”的名词也跟着APT攻击一起大火,谓“无文件攻击”是指一种不会在目标主机的磁盘上写入任何恶意文件的攻击形式,通常情况下,反病毒引擎的检测是需要检测文件写入异常情况的,但无文件攻击不需要下载恶意文件和程序,通过恶意代码或者漏洞可以在内存中运行,来绕过反病毒引擎和检测产品,因此具有很强的隐蔽性和潜伏性,它也成为高级攻击者常用到的一种攻击技术手段。
业内安全专家们一直有在解析、分享和研究无文件攻击模型,但却一直没有提出可落地的针对性安全方案。因此,虽有一些违反广告法的嫌疑,但安芯网盾确实是国内至今为止唯一一家提出内存安全保护技术以及推出成熟可落地安全产品的厂商,填补了业界在此类安全产品方面的空白。
据此前采访了解,内存安全保护从技术角度来看,其核心原理是从计算机体系结构出发,因为任何需要CPU执行的代码、处理的数据都需要经过内存进行存储,所以需要基于实时的程序行为监控、内存操作监控等技术实现在应用程序级别保护内存。内存安全由内存访问行为监控、程序行为监控、智能行为分析引擎、系统安全增强和安全响应等模块构成,可阻止异常内存访问和恶意代码执行等攻击行为,为计算机系统构建一个完整的内存安全环境。
所以安芯网盾提出的内存安全有些像是在企业的端点安全防护外另起炉灶,建起一道全新的防线。并且,这条技术路线比从代码的角度看安全还要更加底层。在安全419看来,安芯网盾身上也有一些独特的气质,自己独自开辟了一个安全品类,为企业检测和防护高级威胁提供了一个新的思路,并且,内存安全保护产品与威胁检测防御产品的结合,也定会产生1+1大于2的效果。
推荐厂商:金睛云华
厂商介绍:
北京金睛云华科技有限公司(简称金睛云华)成立于2016年,创始人及核心团队来自华为、启明星辰和东软, 首席科学家由著名的网络安全专家谭晓生担任。公司团队在网络安全和人工智能领域有十余年的研究经验和技术积累, 并拥有十多项基于人工智能的网络安全检测专利。公司以“ AI驱动安全”为核心理念,致力于利用UEBA、大数据和人工智能技术在网络安全领域持续创新,为客户提供全流量高级威胁检测和大数据安全分析等产品与解决方案。
推荐理由:
放眼整个人工智能领域,做AI研究的人才本身不多,而且他们都在研究人脸识别、图像处理或者自然语言处理方面的应用,集中在智能驾驶、个性化推荐算法等方面。安全是一个非常小众的研究场景,因此真正懂AI还懂安全,最后还愿意做AI安全研究的人少之又少。华为、BAT这样的互联网巨头虽然在AI安全方面投入的比安全厂商要多很多,但也是主要铺在上述的智能驾驶和隐私保护方面。在安全厂商方面,虽然提出AI安全的厂商不在少数,但真正投入AI技术研究并推出落地产品的屈指可数,金睛云华是其中一家。
之前安全419也讨论过,当前行业内提到较多的AI安全应用主要有三种方向:AI安全编排与响应、AI漏洞挖掘与渗透测试以及AI威胁检测。而金睛云华主要做的就是将AI与威胁检测相结合,采用自动化沙箱技术来分析恶意文件的主机和网络行为,然后再来对行为结果进行智能分析研判。
AI用于威胁检测的优势主要有两方面,一是机器学习从已有威胁数据中自动分析获得规律,并利用规律从新数据预测新威胁。二是深度学习基于对威胁数据学习,用特征学习和特征提取高效算法来替代手工获取特征。
金睛云华主要通过分布式安全大数据平台提供的海量威胁数据和白样本,利用深度学习技术和机器学习技术, 训练出具备对恶意代码变种检测,恶意代码隐秘隧道通信检测(DGA、DNS、HTTP、未知协议,加密流量)及XSS、SQL注入等攻击检测模型,从而构成更加精准高效的高级威胁检测能力。
当前算法和算力的突破让人工智能在安全行业能够落地,在攻击侧我们已经看到很多人工智能应用的案例,比如通过自动化方式生成恶意变种勒索软件等,因此在对抗高级威胁时,显然也需要人工智能来加以辅助。 虽然金睛云华也仍然需要大量的有效数据对AI威胁检测模型加以训练,但他们确实已经比其他同类厂商更早的迈出了一步。
推荐厂商:微步在线
厂商介绍:
北京微步在线科技有限公司(简称微步在线)成立于2015年7月,公司创始人薛锋此前曾担任亚马逊(中国)首席信息安全官、微软公司互联网安全战略总监,团队其他主要成员来自于亚马逊、微软、BAT、美团等公司。微步在线长期、持续专注于威胁检测领域,研发了基于流量和终端的“云+流量+端点”全方位威胁检测响应产品矩阵,帮助企业建立全方位的威胁监控体系。其正在服务的企业客户来自能源、金融、智能制造、互联网等行业。
推荐理由:
微步在线是国内少数几家坚持主打安全+SaaS模式的安全厂商,虽然当前国内SaaS化安全服务的普遍接受程度仍然不高,但微步在线的SaaS威胁情报服务已较为成熟,其客户续约率高达95%,这个数字代表着其客户群体对微步在线的最大认可。
在威胁情报方面,业内平台型安全厂商的威胁发现和感知能力构建较为依赖于安装在用户企业内部的安全产品,通过审视用户企业的安全态势,分析用户的网络流量、数据来发现异常,在这一点上微步在线有较大差异。微步在线的做法是自主构建了威胁情报云,从互联网以及多个渠道中采集开放数据,再对这些数据进行加工、分析,进而生产出威胁情报,去感知攻击者的行为、动态以及新变化,最后将威胁情报数据与企业想比对,给到企业安全建议。这是微步在线与传统平台型安全厂商的本质差异,同样也是其竞争力所在。
此外我们发现,在积累了强大的威胁情报和威胁检测分析能力后,微步在线也在依托其既有产品优势不断地拉长自己的战线。
在已有的基于流量检测和响应的TDP、互联网安全接入服务OneDNS、本地多源威胁情报管理平台TIP等产品的基础上,微步在线继续向下拓展了自身在端点安全检测与响应的能力,推出了主机威胁检测响应产品OneEDR,将自身的TDP网络检测与响应服务与OneEDR端点检测与响应服务进行了打通和联动,最终共同构成了微步在线的“云+流量+端点”威胁检测响应产品矩阵。
TDP与EDR产品的联动,让微步在线的威胁检测能力得到了进一步的提升。同时也让微步在线补齐了XDR强调的威胁检测和事件响应中的重要一环,将多个单品连成线、再拓展到面后,其已经能够为客户提供立体化的全方位威胁感知的能力。
在我们看来,从技术、产品到商业模式,微步在线都走出了自己的特色,并且他们正在从一家威胁情报细分领域的龙头厂商变成提供更立体化安全服务的平台型厂商,在他们身上能看到下一个网安巨头的影子。
推荐厂商:中睿天下
厂商介绍:
北京中睿天下信息技术有限公司(简称“中睿天下”)成立于2014年,目前公司旗下包括行业级XDR“安全智能运营一体化解决方案”在内的全系列产品已广泛应用于政府、能源、金融、国防、运营商、教育、互联网等数百家关键基础设施行业客户,公司基于攻击者视角和“实战对抗”的军事思想理念打造的创新产品,有效助力关键信息基础设施运营单位构建新一代高级安全防护体系,高效率、智能化的解决网络安全日常运营过程中的实际问题。
推荐理由:
中睿天下是安全419十分关注的一家技术型企业,安全419此前在中睿天下完成数亿元C轮融资时曾对中睿天下整体企业情况和技术优势做过深入的解析和介绍。
中睿天下核心团队有近20年的一线攻防实战经验,对政务、能源、金融等行业有着深入研究,并已搭建完整的XDR工具集。其研发的行业级XDR“安全智能运营一体化解决方案”等系列产品,能助力关键基础设施运营单位构建新一代高级安全防护体系,应对来自外部专业组织和攻击势力的高强度网络攻击。
中睿天下自称为一家将“攻击溯源和实战对抗”写入了自身企业基因中的安全公司。据此前调研采访,其早期主要服务于国家关键部门,从服务国防客户起家,再逐步将客户群体拓展到电力、能源、金融等领域。因此与APT组织的对抗、溯源和实战本身就是其日常的工作内容,在长期服务于关键行业与重点客户的过程中,中睿天下锤炼了自身包括NDR、MDR、SOAR、UEBA等等在内的相关XDR工具集,形成了涵盖Web系统、网络、邮件、主机的攻击溯源系统及态势感知平台等网络安全产品阵线。能够覆盖攻击前、攻击中、攻击后全生命周期,可以帮助用户显著提升网络安全监测预警、分析研判、态势感知、攻击溯源以及应急处置等能力。
区别于攻防视角下针对独立攻击片段的分析和防御,中睿天下比较倾向立足于业务视角,从攻击者角度剖析出不同时间、地点的攻击碎片中所使用的作案工具、动机目的、身份背景等要素,将其串联重组成攻击证据链的有效闭环,实现精准的威胁发现与处置,最终帮助用户建立在网络安全“强对抗”背景下的安全能力。
中睿天下的攻击溯源系列产品有一个特点是跟每个具体行业会有很深度的结合,他们倾向于系统性研究行业业务和需求情况,再将威胁检测技术、威胁检测体系与行业深度融合,根据不同的行业特色、不同的业务背景、不同的网络环境,因地制宜,形成适合不同行业特色的威胁检测体系与方案。
相较业内一些喜欢追热门风口和造新概念的部分安全厂商来说,中睿天下在我们看来显得更加务实的。一直在攻防对抗一线钻研技术,不断将人的攻防经验默默转化为好用的产品向国防行业输送。直至受到国家政策驱动,在近几年国内大型攻防演练活动中他们才逐渐走到台前,让业界发现原来还有一家这样攻防实力强悍的安全厂商,中睿天下也得以“一举成名天下知”。在高级网络攻击日趋常态化的背景下,未来中睿天下必将会为行业带来更多惊喜。