2019 年 2 月,微步在线正式宣布,旗下产品Web攻击感知平台Threat Detection Platform for Server(TDPS)推出2. 0 版本。经过数年的迭代升级,TDPS已经具有准确预警、溯源分析、资产梳理等多项成熟能力,实现攻击行为准确感知、攻击过程完整追溯、攻击成功精准告警、企业实际暴露资产梳理等典型安全需求,目前已有金融、能源、互联网、政务云等行业客户。
用好威胁情报,化繁为简、聚焦真正威胁
“网络中只有两种企业,一种知道自己被黑了,另一种不知道。”这已经成为企业安全人员的共识,要有效应对网络威胁,首先要承认敌在暗我在明,想对企业发起攻击的攻击者们不计其数。既然无法防止攻击的发生,就只能在攻击发生后尽快察觉并阻断。
真实的攻击是综合攻击手法的叠加,横跨各个应用层面,但80%是来自于Web层面的。解决这80%来自Web的攻击,将会解决企业日常安全运营中主要的威胁。而就威胁情报的角度来看,威胁情报在IP和攻击情报能力上的边界,又将在很大程度上影响攻击感知能力的边界。这是Web攻击感知平台的立足点。Web攻击感知平台以情报驱动,以攻击感知为核心,企业安全人员只需要投入精力去关注首页的两个指标:攻击成功、针对性攻击。
攻击成功是指给主机、网络和业务造成实质性的损害,或已经控制或拿到数据。而针对性攻击指标意味着这些攻击者并不是在广撒网,而是瞄准了这家公司,即使对方没有攻击成功,安全人员也需要关注对方的活动和行为。一旦攻击成功威胁性可能更高。
微步在线将攻击成功和针对性攻击作为核心指标,能大大减轻数据噪声,从而为企业安全人员节省工作时间。如果安全产品以告警为核心,那么安全人员将被每日数万乃至数十万的告警淹没,不得不在大量的误报中寻找真正有威胁的告警,而安全人员每日能够处理的威胁大概在3- 5 起左右。Web攻击感知平台不仅能让安全人员只关注真实存在风险的告警,还能够智能聚合攻击源,将多个告警汇总成为一次攻击事件,从而将该次攻击事件的时间线梳理出来,并将相关日志都提取出来呈现给安全人员。
梳理客户资产,给客户安全感
微步在线的核心创始团队基本来自于企业安全团队,因此Web攻击感知平台在设计阶段就致力于为客户提供知己知彼的能力。
能够妥善处理攻击,靠的是威胁情报的一双“慧眼”,分辨出来者是黑是白,这正是“知彼”,而当企业无法探知网络世界中来自外部的威胁时,企业还可以将自身潜在的风险点梳理清楚,从风险点来反推自己可能会遭到哪些攻击,这是“知己”。
因此,Web攻击感知平台单独划分出一个资产梳理模块,针对企业对外开放的端口、后台、IP和域名进行盘点扫描,自动发现企业有哪些潜在的风险点。一般情况下,资产盘点都需要大量的扫描网络,费时费力,而且如果服务器本身已经负载过大,很容易引起宕机。Web攻击感知平台通过旁路检测双向流量,能够自动识别对外开放的端口和后台,不消耗资源,也不会给服务器带来很大负担。
资产盘点的一个好处是,当一个网络威胁发生后,安全人员能够快速根据端口、服务、应用的开放情况来推定此次网络威胁对企业安全的影响,并且有的放矢地进行处置,此外,在Web攻击感知平台中,还能通过盘点对外后台来识别撞库行为。
如果用户是高手?
Web攻击感知平台不仅能够减轻用户的工作量,还为用户保留了一个“自由模式”,如果用户是一位安全高手,不满足于产品内的算法模型,想自主溯源一些威胁时,要怎么操作?
微步在线的Web攻击感知平台会存储企业全流量,并设计了一个“调查”模块,专门用于溯源日志,其中按照攻击相关、敏感行为、协议相关等字段进行了分类,支持用户对日志进行灵活的条件式搜索,还可以连接到微步在线旗下的威胁情报搜索引擎,进一步对可疑IP进行溯源分析。
此外,Web攻击感知平台还能和态势感知、WAF等安全防护系统结合,让企业用户能够纵深向、多维度感知到安全态势,做好检测和响应工作。
关于微步在线:
微步在线成立于 2015 年,是国内专注于提供威胁情报能力输出的安全创新型企业,已成为国内威胁情报领军品牌,提供专业的威胁检测产品与服务。2017- 2018 年多次入选全球网络安全 500 强(CyberSecurity 500),并成为唯一入选Gartner全球威胁情报市场指南的中国公司。