APT攻击、无文件攻击、加密流量、社会工程、勒索软件,对手一连串的“组合拳”对终端发起了疯狂攻击,并且这些技术基本都可以穿透所有传统安全产品下堆叠出的安全架构和系统。但也许你并不需要被动挨揍,威胁狩猎(Threat Hunting)将会为你的反击赢得“加分”。
亚信安全正式推出威胁狩猎服务,以“早发现、早诊断、早处置、高质量”为优势原则,为用户彻底解决缺少高级攻击防御经验、缺乏相关高级技术工具、无法对威胁进行溯源等难题提供全面协助。
什么是威胁狩猎服务?
威胁狩猎是主动的发现网络中恶意数据及行为的安全审计方法。威胁狩猎服务是由威胁分析专家根据客户环境中的威胁线索,主动进行关联分析,在确认威胁影响范围和影响程度的基础上,提供治理建议的服务。
判断威胁狩猎的成熟度级别需要考虑以下三个基本因素:
传统安全服务 vs 威胁狩猎服务
在网络安全行业,“传统安全服务”就像“常规体检”,由普通安服人员使用常规安服工具,对用户的网络和主机进行合规检查、资产发现、漏洞扫描、打补丁和网络入侵检测等,这些普通安服人员往往缺乏更专业的知识和工具对异常的情况进行深度的分析。在国际上,以EDR技术为核心的威胁狩猎专家服务已经获得用户的广泛认可,其服务核心是由威胁狩猎专家,使用EDR终端检测及响应工具,根据威胁迹象和异常情况主动对高级威胁进行“早发现”、“早诊断”和“早处置”。
威胁狩猎服务的价值
亚信安全威胁狩猎服务为用户带来的价值 —— 3“早”1“高”:
早发现:威胁狩猎是需要高级威胁的线索,而安全产品告警和异常行为检测是这些线索的来源。黑客团伙或者红蓝对抗攻击方入侵总会利用一些未知的漏洞或者手段,但是在入侵跳板主机成功后,会用一些常规的手段进行提权、探测和横向移动,传统的安全产品和EDR ATT&CK规则检测框架都会发现一些“蛛丝马迹”,这些蛛丝马迹就像是丛林中猎物留下的足迹,指引着猎人进行狩猎追踪。
早诊断:EDR相比于传统的端点安全防病毒产品的最大区别就在于操作系统内核级别的行为日志高清记录,它就像是安装在操作系统上的高清摄像头,将进程启停、文件操作、网络连接、注册表修改和系统日志如实记录下来并且长期存储。威胁狩猎人员可以输入威胁线索和查询条件,EDR服务端能够以可视化的方式绘制出进程事件树,帮助威胁狩猎人员有效关联出疑似威胁的入侵轨迹,确认威胁的影响范围和影响程度,为根治问题提供技术支撑。
早处置:威胁狩猎人员使用EDR工具进行远程的遏制和修复,对高级威胁入侵造成的破坏和留存的后期进行根治修复,避免在红蓝对抗和上级监管过程中集中爆发问题。
高质量:在亚信安全威胁狩猎诸多的成功案例中,我们发现用户对于安全事件线索的看法普遍处于“狼来了”的麻木状态,即各种安全厂家的产品(尤其是安全态势感知平台)每天都生成海量的告警信息,而安全运维人员即使加班加点也无法处理如此多的告警事件,结果就是放任这些告警于不顾,等到黑客团伙真正发起总攻的时候,毫无防范之力。亚信安全推出的大终端2.0运维平台从根本上改善了上述被动的防护态势,我们将亚信安全产品(例如OfficeScan、DS、TDA等)的日常告警日志聚类成有优先级排序的安全事件,并且联动到EDR产品进行遏制、调查和修复,完成威胁狩猎分析早发现、早诊断和早处置的闭环操作。
亚信安全的威胁狩猎服务,区别于传统的安全服务和红蓝对抗的攻防服务,开辟了高级威胁检测响应的服务新赛道。
威胁狩猎服务依托亚信安全的EDR行为检测能力和威胁分析的专家能力,能够有效地检测零日漏洞等高级威胁,解决这些安全漏洞可能隐藏几年都发现不了的安全风险。
威胁狩猎服务由亚信安全具备攻防能力的威胁狩猎专家为用户提供高级威胁的溯源分析,能够回答 “谁进来了、是敌是友、干了什么”的疑问,能够及早发现治理“潜伏”的高级威胁,避免这些高级威胁在红蓝对抗、重保的关键时刻集中发作。
为何选择亚信安全威胁狩猎服务
亚信安全开启国内威胁狩猎服务新赛道:
亚信安全的专业威胁狩猎服务,为用户提供本地和远程的高级威胁检测响应服务,开启了国内威胁狩猎服务新赛道。
在已经购买EDR产品的客户中,威胁狩猎服务积累了众多成功案例,帮助用户主动检测并溯源潜伏在端点侧的高级威胁,深受用户好评。
EDR作为威胁狩猎服务中的高效工具,其操作系统高清记录和高级威胁检测能力,为威胁狩猎专家提供技术支撑。亚信安全EDR产品在2020年IDC中国的厂商评估中位列“领导象限”。
亚信安全EDR产品通过了国内权威第三方评测机构赛可达实验室的专业评测,在国际知名的ATT&CK架构模型中以124个技术点覆盖度在国内处于突出地位。