【51CTO.com原創(chuàng)稿件】通過(guò)防火墻或者防病毒軟件來(lái)把惡意攻擊攔截在企業(yè)環(huán)境之外的防疫手段顯然已經(jīng)不足以應(yīng)對(duì)當(dāng)今復(fù)雜的安全環(huán)境。因?yàn)榇蠖鄶?shù)的黑客都能夠利用定制的惡意軟件繞過(guò)傳統(tǒng)的防毒解決方案，所以，采取主動(dòng)防御的方式保護(hù)端點(diǎn)安全越來(lái)越有必要。

EDR技術(shù)憑借檢測(cè)更為深入、不間斷性、實(shí)時(shí)可視化程度更高等強(qiáng)大的功能，受到了眾多企業(yè)的青睞。在國(guó)內(nèi)，EDR產(chǎn)品經(jīng)過(guò)五年的發(fā)展，已經(jīng)成為各大安全廠商和新興安全公司持續(xù)發(fā)力的方向。致力于成為企業(yè)客戶的威脅發(fā)現(xiàn)和響應(yīng)專家的微步在線，于近日正式發(fā)布了主機(jī)威脅檢測(cè)響應(yīng)產(chǎn)品OneEDR，與微步在線旗下基于網(wǎng)絡(luò)流量檢測(cè)的威脅感知平臺(tái)TDP、互聯(lián)網(wǎng)安全接入服務(wù)OneDNS、本地多源威脅情報(bào)管理平臺(tái)TIP等共同構(gòu)成微步在線的“云+流量+端點(diǎn)”威脅檢測(cè)響應(yīng)產(chǎn)品矩陣。

那么，微步在線的OneEDR有何不同呢？

重磅推出OneEDR：邁向XDR的一大步

據(jù)OneEDR的產(chǎn)品負(fù)責(zé)人介紹，OneEDR 是一款關(guān)注于主機(jī)入侵檢測(cè)的新型檢測(cè)與響應(yīng)平臺(tái)，基于輕量級(jí)的終端采集和分析Agent，通過(guò)收集終端的網(wǎng)絡(luò)、進(jìn)程、文件等行為事件，在平臺(tái)側(cè)利用威脅情報(bào)，文件檢測(cè)與行為分析等技術(shù)手段，實(shí)現(xiàn)對(duì)主機(jī)入侵行為的精準(zhǔn)發(fā)現(xiàn)、攻擊路徑自動(dòng)化回溯，并支持對(duì)終端海量行為進(jìn)行檢索，同時(shí)支持對(duì)惡意入侵行為進(jìn)行響應(yīng)阻斷。

的確，近年來(lái)隨著網(wǎng)絡(luò)規(guī)模不的斷擴(kuò)大，業(yè)務(wù)服務(wù)部署模式日益復(fù)雜，傳統(tǒng)IDC 機(jī)房、私有云、公有云通常在一個(gè)企業(yè)中以混合結(jié)構(gòu)出現(xiàn)。且云架構(gòu)帶來(lái)的多層的工作負(fù)載環(huán)境產(chǎn)生了數(shù)以萬(wàn)計(jì)的服務(wù)器，伴隨而來(lái)的問(wèn)題便是保障服務(wù)器主機(jī)安全的難度增大。服務(wù)器主機(jī)作為企業(yè)的核心資產(chǎn)，沒(méi)有服務(wù)器主機(jī)安全就沒(méi)有業(yè)務(wù)安全。無(wú)論是云主機(jī)還是傳統(tǒng)IDC 中的實(shí)體服務(wù)器，其安全保障受到越來(lái)越多的關(guān)注，已經(jīng)成為企業(yè)安全的“最后一道防線”。服務(wù)器失守帶來(lái)的安全失控，不僅影響潛在的系統(tǒng)穩(wěn)定性，導(dǎo)致業(yè)務(wù)運(yùn)行可能出現(xiàn)終端，更有可能帶來(lái)信息泄露，進(jìn)一步導(dǎo)致經(jīng)濟(jì)和品牌價(jià)值的損失。對(duì)主機(jī)入侵的實(shí)時(shí)檢測(cè)和快速
響，是目前企業(yè)安全建設(shè)的重要方向，在傳統(tǒng)殺毒之外，更加有效的針對(duì)服務(wù)器設(shè)計(jì)的EDR是當(dāng)前安全環(huán)境下的大勢(shì)所趨。這也正是微步在線推出OneEDR產(chǎn)品的初衷。

目前OneEDR能夠全面檢測(cè)Webshell、反彈Shell、木馬后門、主機(jī)提權(quán)、僵尸網(wǎng)絡(luò)、挖礦威脅、勒索病毒、虛假內(nèi)核、遠(yuǎn)控工具、惡意環(huán)境變量、漏洞利用、惡意進(jìn)程、賬號(hào)爆破等多種幾十種威脅類型，全面檢測(cè)已知和未知的攻擊和威脅。同時(shí)能將安全運(yùn)營(yíng)人員的處置記錄作為反饋信息，利用機(jī)器學(xué)習(xí)算法持續(xù)優(yōu)化、自適應(yīng)更新檢測(cè)算法，打造專屬該企業(yè)的檢測(cè)引擎系統(tǒng)，有針對(duì)性地加強(qiáng)企業(yè)檢測(cè)能力。

值得一提的是，OneEDR和微步在線的流量檢測(cè)響應(yīng)產(chǎn)品TDP具備深度結(jié)合的能力，不僅能讓安全運(yùn)維人員“看到”終端和流量中的網(wǎng)絡(luò)威脅，還能夠把終端和流量中獲得的威脅信息統(tǒng)一管理、分析，聚合出安全事件的完整攻擊鏈。

同時(shí)，OneEDR占用戶網(wǎng)絡(luò)和軟硬件資源極小。OneEDR對(duì)用戶Agent CPU消耗控制在1%以下，內(nèi)存消耗控制在70MB，同時(shí)在終端上應(yīng)用數(shù)據(jù)過(guò)濾和壓縮技術(shù)，可控制采集數(shù)據(jù)量平均在每天10M左右，對(duì)CPU性能和網(wǎng)絡(luò)帶寬的影響極小。據(jù)介紹，目前，OneEDR能夠精準(zhǔn)發(fā)現(xiàn)入侵，威脅事件檢出率高達(dá)99%，情報(bào)引擎準(zhǔn)確率達(dá)99.9%。

內(nèi)核級(jí)的結(jié)合，打造“端點(diǎn)+流量”的檢測(cè)響應(yīng)模式

針對(duì)“無(wú)效報(bào)警太多的痛點(diǎn)”，微步在線正式對(duì)外發(fā)布旗下威脅感知平臺(tái)Threat Detection Platform（TDP）的新版本，在該版本中，基于流量做檢測(cè)響應(yīng)的TDP能夠?qū)崿F(xiàn)與微步在線旗下終端檢測(cè)響應(yīng)產(chǎn)品OneEDR的內(nèi)核級(jí)結(jié)合，形成“端點(diǎn)+流量”的檢測(cè)響應(yīng)模式。

據(jù)微步在線技術(shù)合伙人、TDP產(chǎn)品負(fù)責(zé)人趙林林介紹，微步在線將TDP與OneEDR結(jié)合，是將網(wǎng)絡(luò)流量監(jiān)測(cè)和端點(diǎn)監(jiān)測(cè)兩部分聯(lián)動(dòng)，可以相互告知已獲得的告警和敏感行為。 “一般NDR和EDR的聯(lián)動(dòng)，只能做到兩者互為彼此的眼睛，但卻無(wú)法使用同一個(gè)大腦來(lái)分析”。而微步在線實(shí)現(xiàn)的聯(lián)動(dòng)，不僅能讓兩者共享數(shù)據(jù)，還能在分析層面參照兩方面的信息，其背后正是微步在線強(qiáng)大的“云安全大腦”——基于海量數(shù)據(jù)和分析的情報(bào)引擎。

[[390320]]

微步在線技術(shù)合伙人、TDP產(chǎn)品負(fù)責(zé)人趙林林

全面邁向XDR

在Gartner《Innovation Insight for Extended Detection and Response》報(bào)告中，XDR被描述為安全威脅檢測(cè)和事件響應(yīng)SaaS工具，它從終端、流量、蜜罐、網(wǎng)關(guān)等處發(fā)現(xiàn)網(wǎng)絡(luò)威脅，并與云端威脅情報(bào)、簽名、規(guī)則庫(kù)、特征庫(kù)等數(shù)據(jù)進(jìn)行聯(lián)動(dòng)比對(duì)，通過(guò)機(jī)器學(xué)習(xí)等技術(shù)，過(guò)濾數(shù)據(jù)噪聲，減少誤報(bào)和漏報(bào)，將告警自動(dòng)聚合為完整安全事件，并實(shí)現(xiàn)一鍵處置。

目前，微步在線旗下的基于網(wǎng)絡(luò)流量檢測(cè)的威脅感知平臺(tái)TDP、主機(jī)威脅檢測(cè)響應(yīng)產(chǎn)品OneEDR、互聯(lián)網(wǎng)安全接入服務(wù)OneDNS、本地多源威脅情報(bào)管理平臺(tái)TIP等產(chǎn)品，共同構(gòu)成微步在線的“云+流量+端點(diǎn)”威脅檢測(cè)響應(yīng)產(chǎn)品矩陣，為全面邁向XDR打下了堅(jiān)持基礎(chǔ)。

微步在線創(chuàng)始人兼CEO薛鋒表示：“為應(yīng)對(duì)未知的網(wǎng)絡(luò)安全威脅，微步在線正在邁向“XDR”，“XDR”代表了一種檢測(cè)技術(shù)的大融合，因?yàn)樵谌魏我粋€(gè)單點(diǎn)上，看到的東西都是不全面的，有失偏頗的。所以“XDR”的“X”代表了拓展，它能把很多不同方向東西匯集在一起進(jìn)行全面檢測(cè)。這個(gè)是未來(lái)的大的方向。”

微步在線創(chuàng)始人兼CEO薛鋒

3月17日，微步在線宣布完成E輪5億元人民幣融資，此前，微步在線于2020年9月完成了3億元人民幣的D輪融資。僅僅半年時(shí)間，完成兩次融資，金額累積達(dá)8億。在2017-2020年，微步在線連續(xù)三次入選Gartner《全球威脅情報(bào)市場(chǎng)指南》。這些亮眼的成績(jī)，也是對(duì)微步在線對(duì)未來(lái)安全趨勢(shì)的把控、產(chǎn)品的打磨，以及商業(yè)模式、市場(chǎng)布局的肯定。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】