近年來��,CISO面臨的安全形勢可謂“內(nèi)憂外患”�,對內(nèi)面臨多樣化的網(wǎng)絡(luò)接入途徑、龐大且繁雜的IT資產(chǎn)�����;對外面臨攻防關(guān)系��、攻防手段�、網(wǎng)絡(luò)攻擊的數(shù)量等呈指數(shù)級增長等問題,給組織的安全防護(hù)帶來極大的挑戰(zhàn)�����。
而目前����,大多數(shù)用戶仍然采用傳統(tǒng)“單點(diǎn)防護(hù)”的思路進(jìn)行安全建設(shè),即部署不同廠商各自能力突出的安全設(shè)備�,俗稱“異構(gòu)”模式。對有限的安全管理人員來說����,這樣的模式帶來的運(yùn)營成本高昂,甚至脫離實(shí)際����。
直指核心,重新理解XDR
XDR的安全建設(shè)思路����,可以應(yīng)對企業(yè)設(shè)備多且散,難以系統(tǒng)運(yùn)營的問題�����。
Gartner對XDR產(chǎn)品的定義為平臺���,通過平臺自動收集和關(guān)聯(lián)來自多個組件的數(shù)據(jù)����,配合上可擴(kuò)展的高性能存儲,快速索引的搜索和自動化驅(qū)動的響應(yīng)�,使安全團(tuán)隊(duì)更加高效。
所以有人說�����,XDR最大的價(jià)值就在于將整個過程貫穿起來進(jìn)行整體安全防護(hù)�����??梢哉f,XDR更像是一個架構(gòu)�,而非一個產(chǎn)品。事實(shí)上���,山石網(wǎng)科對XDR的理解正是從“云���、網(wǎng)、端��、X”這一框架出發(fā)的。
目前���,多家主流安全廠商紛紛布局XDR賽道����,有的把XDR理解成更快的威脅狩獵���,有的把XDR視作新型的態(tài)勢感知。以傳統(tǒng)的SIEM和SOC來看�,XDR的出現(xiàn)似乎正成為一股新的勢力。
不同于建立在一系列復(fù)雜的網(wǎng)絡(luò)采集器����、轉(zhuǎn)發(fā)器、目錄管理����、信息管理等之上的SIEM系統(tǒng)和更加廣泛龐大的SOC中心,山石網(wǎng)科對XDR的愿景���,直指當(dāng)下態(tài)勢感知的核心能力:威脅分析與響應(yīng)����。
XDR解決方案出手,安全防護(hù)又快又好
云端情報(bào):
1. 實(shí)時(shí)同步全球最新情報(bào)����;
2. 情報(bào)支持導(dǎo)入到本地;
網(wǎng)絡(luò)流量和日志:
1. NDR�����,威脅探針����,集成高級威脅檢測引擎,IPS/AV等引擎�;
2. 網(wǎng)絡(luò)安全設(shè)備,全面收集并分析日志�;
3. 網(wǎng)絡(luò)安全設(shè)備,支持與平臺聯(lián)動����;
終端安全:
1. EDR,支持端點(diǎn)高級威脅檢測���;
2. EDR���,支持主機(jī)異常通信行為�;
3. EDR��,支持惡意軟件外聯(lián)檢測�����;
XDR平臺:
1. XDR平臺�����,全面整合日志和流量等數(shù)據(jù)���;
2. 以資產(chǎn)(IP)為核心做安全分析,并給出結(jié)論���;
3. 基于分析結(jié)論�����,支持編寫全自動/半自動化劇本����;
亮點(diǎn)一:層層遞進(jìn)����,跨階段威脅分析
亮點(diǎn)二:頂級威脅情報(bào)庫�����,安全情報(bào)實(shí)時(shí)在線
亮點(diǎn)三:XDR解決方案+多開放接口= 盤活存量安全設(shè)備
1. 對接存量安全設(shè)備日志���,應(yīng)收盡收。
2. 聯(lián)動存量安全設(shè)備�����,Restful API和SSH��,總有一款適合您����。
亮點(diǎn)四:基于SOAR的自動化預(yù)警通報(bào)處置閉環(huán)
“云、網(wǎng)���、端”三方對接�,協(xié)同防護(hù)
1. 構(gòu)建“云����、網(wǎng)�、端”XDR方案��,持續(xù)“等?����!焙弦?guī)
通過聯(lián)動云端威脅情報(bào)/云沙箱�����,對全網(wǎng)日志/流量關(guān)聯(lián)分析出的威脅事件和可疑文件進(jìn)行驗(yàn)證溯源���,配合終端安全管理系統(tǒng)實(shí)現(xiàn)主機(jī)側(cè)閉環(huán)管控,搭建“云����、網(wǎng)、端”全局XDR方案��。
2. 靈活三方對接�,“盤活”用戶存量安全資產(chǎn)
山石網(wǎng)科XDR方案支持對包括防火墻、WAF����、IPS等在內(nèi)的第三方安全設(shè)備進(jìn)行日志對接�����,進(jìn)一步盤活用戶原有的安全資產(chǎn)��,共筑安全數(shù)據(jù)底座�����,有效保護(hù)用戶安全建設(shè)投入��。
3. “APT+勒索”高危惡意行為深度檢測
山石網(wǎng)科威脅探針內(nèi)置3W條以上檢測規(guī)則����,遠(yuǎn)超業(yè)內(nèi)平均水平��;同時(shí)提供專項(xiàng)勒索檢測模塊�,結(jié)合權(quán)威漏洞與威脅情報(bào)庫(源于全球頂級安全情報(bào)供應(yīng)商)有效檢測高危惡意行為。
4. “可視���、可查�����、可控”助力XDR落地
可視:多維度��、全方位態(tài)勢呈現(xiàn)(總覽�����、服務(wù)器���、威脅��、弱點(diǎn)�、區(qū)域�、終端)
可查:層層遞進(jìn)、高效分析安全事件(威脅分析檢索�、SPL語言日志查詢)
可控:基于SOAR的威脅自動化響應(yīng)處置閉環(huán)(業(yè)內(nèi)領(lǐng)先的劇本響應(yīng))
當(dāng)前題目:孤島破冰|串聯(lián)“云網(wǎng)端”,山石網(wǎng)科XDR解決方案正式發(fā)布
分享網(wǎng)址:
http://uogjgqi.cn/article/cdipgsh.html
