分享热点新闻
打造优质自媒体!

微步在线新版TDP发布 开启攻防全面对抗时代

2021年3月17日,新一代, 中国,网络安全代表公司、威胁情报龙头企业微步在线举行“走向XDR”E轮融资及产品发布会。正式宣布发布其威胁检测平台的新版本。在这个版本中,基于流量检测响应的TDP可以与微步在线的终端检测响应产品OneEDR相结合,形成“端点流量”的检测响应模式。

微步在线新版TDP发布 开启攻防全面对抗时代 科学快报 第1张

“在我看来,这是一个跨时代的作用,标志着攻守双方从此进入全面对抗,是不同维度的对抗。”微步在线TDP产品负责人赵林林,在会议现场分享中介绍。

微步在线新版TDP发布 开启攻防全面对抗时代 科学快报 第2张

此外,3月22日,微步在线还宣布了TDP产品性能的最新升级。据微步在线消息,单个10GB TDP已经正式发布,开始为客户服务。这个版本的TDP在网络包捕获和流量处理方面实现了突破性的性能提升,流量水平在行业内处于领先地位。由于云,计算和大数据技术的快速发展,主要客户所需的流量基本在10 G以上。这种TDP性能更新减少了单个项目所需的软件和硬件数量,使部署和维护更加容易,并降低了失败的可能性。

 内核级结合,流量和终端不再各自为战

TDP和OneEDR的深度结合,意味着防御型企业可以进入全面对抗的状态,而不是与攻击者进行单点对抗,相当于从单兵作战演变为多兵种作战。

微步在线新版TDP发布 开启攻防全面对抗时代 科学快报 第3张

首先,在TDP和OneEDR相结合后,企业安全人员可用的威胁分析维度增加了。由于威胁检测和响应产品的强场景属性,在发现可疑行为后,企业安全人员不能仅通过分析流量和终端维度来判断可疑行为是攻击还是高风险。但TDP和OneEDR结合后,流量侧可以以端为分析因子,端侧也可以以流量为分析因子,相当于让企业安全人员对威胁的认知视角从一维向二维演变。“以加密的webshell为例。如果在终端或流量上发现加密文件,安全人员无法判断是否是恶意文件,只能将其归类为可疑文件。然而,如果我们的TDP告诉你,这个文件在流量和终端上都是加密的,那么根据常识,这个文件是高度恶意的。像这样的场景可以复制,因为多了一个可见的维度,网络威胁检测能力可以大大提高。”赵林林说。

赵林林表示,目前业内很多网络安全厂商都在流量检测和终端检测方面下功夫,推出的NDR和EDR产品也可以有一定程度的联动,但这两个产品的联动形式往往比较粗糙和初级,只有数据交换,不能在分析层面自动参考对方提供的信息。“NDR和EDR曾经是彼此的眼睛,但他们无法用同一个大脑进行分析。如果大脑没有在一起,那就是一种虚假的联动,”赵林林说。“我们的TDP和OneEDR可以在分析中深度结合,大脑真的在一起了。未来我们会推出越来越多的安全产品,我们也会共享一个大脑。”

主打流量检测响应,落地威胁情报能力

那么,TDP是一种什么样的产品呢?赵林林指出了TDP的三个主要特点:以情报为基础,双向全流程,检测和响应并重。

微步在线新版TDP发布 开启攻防全面对抗时代 科学快报 第4张

TDP检测基于威胁情报。网络安全产品的许多检测方法都是基于签名、规则或人工智能算法。这些方法的共同特点是从防御方的角度来定义、总结、猜测攻击者有哪些特征和行为。虽然威胁情报是关于攻击者的信息,但基本的机器可读威胁情报将提供攻击者的IP、域名、恶意文件、哈希值等。而高级人类可读的威胁情报将提供攻击者的TTPs(攻击战术、攻击技术和攻击步骤)。因此,基于威胁情报的检测是指防御方可以直接获取攻击者的信息进行拦截和进一步的分析和追踪,而不仅仅依赖于自己定义、总结和猜测的信息。在日常运行维护中,保安人员面前往往有上百万的报警,其中大部分是误报警。微步在线的威胁情报准确率为99.9%,而TDP的报警准确率经微步在线的几个客户逐一核对后为99.97%。基于威胁情报的检测可以使TDP的每一次报警都真实有效。

双向全流量不仅意味着更全面的检测,还意味着更多维的网络络攻击信息。当TDP检测到网络络攻击,时,传入的流量可以使TDP检测到网络络攻击,的路径,即攻击者所做的事情,而传出的流量可以使TDP检测到网络络攻击,的结果,即攻击是否成功及其造成的影响。这是很有价值的,因为安全运维人员应该优先考虑那些已经被成功攻击并且影响很大的攻击。因此,TDP可以在确保每个报警真实有效的同时,按照优先级顺序向安保人员显示报警,以便安保人员在应急响应中有序处理,在第一时间将损失降至最低。

检测和响应并重的设计,让安全人员发现问题后一键处理,避免了繁琐的人工操作。赵林林介绍说,TDP可以通过封锁旁路网络、连接第三方防火墙设备以及从终端获取证据来对付闭环。

让企业的安全人员不再干“脏活、累活”

赵林林特别强调了TDP在产品设计中如何注重用户体验。他说,不同级别的用户会有不同的需求,安全团队的负责人需要定期关注安全情况,安全经理关心风险和处置,以及报告和管理。对于企业的一线安全人员来说,首先要处理的问题是他们最关心的。因此,TDP在设计产品时考虑了用户需求的各个层面。

TDP可以为用户提供整体安全态势的大屏幕感知和安全级别的评估,还可以提供丰富的场景、专业准确的报告,满足用户的各种报告需求。此外,TDP可以灵活个性化通知,将系统运行状态和安全报警分别推送给相应人员。

在详细的功能设计中,TDP做了成功攻击、资产整理、敏感行为定义等工作。帮助客户的安全运维人员增加攻击判断的维度,提高检测准确率,在设计功能时考虑甲方安全人员的需求。赵林林以成功的攻击功能为例。判断攻击是否成功不需要太高的技术门槛,但是网络络攻击,有很多种,每次攻击的成败都要判断。如果安全厂商想在产品中加入这个功能,必然会耗费更多的人力物力。正因为如此,TDP不得不增加这个功能,并以自动化的方式从客户手中接管,释放甲方安保人员的精力,让他们做更有价值的事情。

 关于微步在线:

微步在线是中国新一代网络安全公司的代表企业,也是网络威胁发现和响应方面的专家。公司继续实现威胁情报能力的产品化,推出了基于流量和终端的“云Traffic Endpoint”全方位威胁发现产品线,旨在帮助客户建立全生命周期的威胁监控系统。公司多次入选全球网络安全500强公司。它是唯一一家从2017年到2020年连续入选高德纳《全球威胁情报市场指南》的中国公司,并获得“亚洲”.百强红鲱鱼”称号