深度檢測·精準(zhǔn)響應(yīng)·持續(xù)生長，深信服SaaS XDR來了-魔扣目錄

網(wǎng)絡(luò)安全事件頻發(fā)，產(chǎn)品買了一堆，但組織單位的日常不是在“救火”，就是在“救火”的路上。問題根因到底在哪？

從組織單位安全建設(shè)的角度：一次攻擊事件的產(chǎn)生，會在多個路徑上留下攻擊痕跡。組織單位過去買了很多安全設(shè)備，單個設(shè)備僅能發(fā)現(xiàn)單一的攻擊痕跡，且設(shè)備之間各自為戰(zhàn)、檢測割裂，難以將多個節(jié)點的痕跡自動關(guān)聯(lián)成一個完整的安全事件，導(dǎo)致陷入海量告警中分身乏術(shù)；

從惡意黑客攻擊手法的角度：隨著惡意黑客的技戰(zhàn)術(shù)（TTP）手法不斷升級，過往的檢測設(shè)備只能捕捉到黑客的部分攻擊手法，因而存在大量誤報漏報，無法精準(zhǔn)定位威脅；

從運維人員分析響應(yīng)的角度：面對誤報漏報、分散在不同設(shè)備上的攻擊痕跡，需要運維人員從不同設(shè)備告警日志中尋找一個事件的攻擊痕跡，安全運維人員能力與精力有限，難以保障及時跟進(jìn)告警分析與事件響應(yīng)。

因此，面對威脅檢測響應(yīng)難題，深信服在與用戶交流時，常常能聽到他們發(fā)出的「靈魂三連問」：

如何從海量告警中解脫，聚焦安全事件？

如何發(fā)現(xiàn)潛伏威脅，提升檢測精準(zhǔn)度？

如何提高運營效能，省心省力還省錢？

粉碎威脅檢測與響應(yīng)難題，直擊靈魂拷問，深信服可擴(kuò)展檢測響應(yīng)平臺SaaS XDR作出全新解答。

Part 1

以入屋行竊為比喻，小偷會先在樓棟里踩點，對目標(biāo)房間進(jìn)行標(biāo)記，確定最佳行動時機，撬開門鎖實施盜竊。可見一個安全事件的發(fā)生不是一蹴而就的，小偷踩點、做標(biāo)記、撬門鎖等一舉一動都會留下痕跡。

惡意黑客的攻擊也是如此，通常以網(wǎng)絡(luò)（N：Network）、終端（E：Endpoint）行為為主。過去，每一步攻擊行為對應(yīng)終端殺軟和流量檢測設(shè)備會分別告警，但網(wǎng)端兩側(cè)告警無法進(jìn)行深度關(guān)聯(lián)分析，由此產(chǎn)生大量告警信息，而無法生成安全事件。

不同于全量數(shù)據(jù)采集，一種新型監(jiān)控測量技術(shù)——遙測行為數(shù)據(jù)采集，能夠主動收集各遙測點與攻擊技戰(zhàn)術(shù)相關(guān)的行為數(shù)據(jù)，通過引擎將遙測數(shù)據(jù)進(jìn)行聚合分析，及時捕獲攻擊行為及展示更多狀態(tài)信息，幫助用戶深度了解是否存在安全風(fēng)險，甚至回溯已發(fā)生的安全事件，還原攻擊故事線。

深信服SaaS XDR正是通過采集關(guān)聯(lián)網(wǎng)絡(luò)側(cè)和終端側(cè)的遙測數(shù)據(jù)，如網(wǎng)絡(luò)連接信息、數(shù)據(jù)包關(guān)鍵內(nèi)容、終端進(jìn)程調(diào)用、計劃任務(wù)等，可覆蓋ATT&CK超163項攻擊手法，將端、網(wǎng)、云等遙測數(shù)據(jù)進(jìn)行故事線關(guān)聯(lián)，構(gòu)建完整、高質(zhì)量的攻擊鏈，實現(xiàn)分鐘級入侵識別。

將海量告警通過自動化的檢測能力聚合，深信服SaaS XDR能夠有效削減離散的、海量的網(wǎng)端兩側(cè)原始告警信息，告警數(shù)量控制在有限人力可承擔(dān)范疇內(nèi)，轉(zhuǎn)換為用戶能夠理解的安全事件，告警削減比例近90%。

Part 2

如何理解IOA與IOC檢測技術(shù)？同樣以小偷入室盜竊為例，IOA檢測技術(shù)代表著小區(qū)安保能夠發(fā)現(xiàn)小偷踩點、標(biāo)記、撬開門鎖的行為，及時制止小偷的盜竊行為，而IOC檢測技術(shù)則代表著小偷實施盜竊后，通過監(jiān)控、指紋等證據(jù)追蹤抓到小偷。

由此可以理解，IOA 是在攻擊尚未得手階段，即時檢測出各種攻擊行為特征；IOC 則是在攻擊得手后，被攻陷系統(tǒng)呈現(xiàn)的各種失陷特征。IOC 檢測準(zhǔn)確率高，但無法發(fā)現(xiàn)潛伏高級威脅。相較而言，IOA 能夠主動檢測，即時尋找可能發(fā)生攻擊的預(yù)警信號，例如代碼執(zhí)行、持久駐留、隱蔽、C&C通信和橫向移動等，檢測難度較大，但能及時發(fā)現(xiàn)潛伏高級威脅。

深信服SaaS XDR將IOA與IOC檢測技術(shù)相結(jié)合，實現(xiàn)事中攻擊行為的持續(xù)監(jiān)測與事后追蹤溯源的快速響應(yīng)，這也意味著安全建設(shè)思路從被動防御轉(zhuǎn)向主動檢測。

然而，以往產(chǎn)生攻擊告警后，還需要運維人員分析確認(rèn)是否為真實攻擊，排除可能產(chǎn)生的誤報。這個分析過程十分消耗時間，且需要物理接觸可疑終端，在異地辦公/分支機構(gòu)等場景下基本不可能實現(xiàn)。

因此，深信服SaaS XDR還可以結(jié)合云端專家提供XTH威脅鑒定能力，持續(xù)進(jìn)行事件挖掘，發(fā)現(xiàn)潛在威脅，在二次確認(rèn)攻擊事件后，及時產(chǎn)出響應(yīng)報告，由此降低誤報，事件檢測精準(zhǔn)度高達(dá)99%。

Part 3

深信服XDR通過SaaS化交付模式，帶來“四個高效”的全新體驗，有效幫助用戶實現(xiàn)省心省力：

1.開箱即用，高效交付上線

本地只需部署相關(guān)采集設(shè)備和防護(hù)組件，與SaaS XDR平臺對接，即可完成安全運營方案交付和使用。

2.數(shù)據(jù)驅(qū)動，高效迭代能力

云端平臺擁有海量實時安全數(shù)據(jù)，結(jié)合威脅情報和專家研究，不斷構(gòu)建最新的檢測算法和模型，持續(xù)增強檢測精度。

3.云端專家二次研判，高效分析響應(yīng)

深信服XDR自動生成的所有安全事件都會經(jīng)過云端專家做二次分析研判，確保安全事件99.9%準(zhǔn)確率，用戶僅需進(jìn)行處置，不用再擔(dān)心誤報問題，釋放運營壓力。

4.微信訂閱，高效獲取事件信息與響應(yīng)

用戶可綁定微信，訂閱所需推送內(nèi)容，實現(xiàn)及時查看安全事件詳情，并可一鍵快速處置，實現(xiàn)隔離、查殺等指令快速下發(fā)。

深信服XDR通過SaaS化豐富的存儲和計算資源，解決原有安全設(shè)備一次性投入成本高、版本更新難、可擴(kuò)展性差等問題；同時可基于不同的場景時期對性能消耗的需求不同，彈性擴(kuò)展，適配用戶的業(yè)務(wù)發(fā)展需要，由此，深信服SaaS XDR顯著降低投資建設(shè)成本和運營人資成本，實現(xiàn)更高性價的同時，安全事件處置效率提升近 70%。

面對數(shù)據(jù)上云，有些組織單位可能還心存疑慮：“我知道SaaS交付可以實現(xiàn)安全運維更高效、更高性價比，但如何保障安全性？”

在架構(gòu)設(shè)計方面，深信服SaaS XDR建立加密兜底機制，即使被攻破也無法解密，同時通過深信服安全藍(lán)軍、安服團(tuán)隊、外部機構(gòu)持續(xù)進(jìn)行攻擊演練。

在穩(wěn)定性方面，基于托管云底座，深信服SaaS XDR穩(wěn)定性SLA高達(dá)99.9%，通過安全運維團(tuán)隊對平臺各項指標(biāo)、日志、資源進(jìn)行實時監(jiān)控。

除了平臺自身能力，深信服SaaS XDR還可對接托管檢測與響應(yīng)服務(wù)MDR，實現(xiàn)云地協(xié)同7*24小時在線，持續(xù)監(jiān)測威脅和事件，從監(jiān)測、判斷、調(diào)查到處置，服務(wù)專家實時處置閉環(huán)，定期匯總成果和分析安全趨勢，減輕運維人員日常工作壓力，讓安全工作省力省心。依托于“人機共智”和SaaS化模式，深信服MDR可以快速共享安全專家、工具、經(jīng)驗，組織單位將以最佳投入產(chǎn)出比獲得TOP級單位的安全能力。

介紹了這么多，給大家劃一下重點：

深信服可擴(kuò)展檢測響應(yīng)平臺XDR

一種基于SaaS的安全威脅檢測和事件響應(yīng)平臺，通過原生的流量采集工具與端點采集工具將關(guān)鍵數(shù)據(jù)聚合，通過網(wǎng)端聚合分析引擎、上下文關(guān)聯(lián)分析，實現(xiàn)攻擊鏈深度溯源，結(jié)合托管檢測與響應(yīng)服務(wù)MDR，釋放人員精力；同時具備可擴(kuò)展的接口開放性，協(xié)同SOAR等產(chǎn)品，化繁為簡，帶來深度檢測、精準(zhǔn)響應(yīng)、持續(xù)生長的安全效果體驗。