• 注册
    • 微步在线完成 E 轮融资,XDR 时代也更近了

      3月25日消息(刘文轩)微步在线近期宣布完成E轮5亿人民币融资,由CPE源峰领投,云晖资本等继续跟投。结合此前微步在线2020年9月完成的3亿元左右D轮融资,微步在线半年内合计完成融资8亿元。3 月 17 日,微步在线召开主题为“迈向 XDR”的融资暨产品发布会,正式宣布旗下威胁感知平台 Threat Detection Platform 的新版本,基于流量做检测响应的 TDP 能够实现与微步在线旗下终端检测响应产品 OneEDR 的内核级结合,形成“端点+流量”的检测响应模式。

      发布会现场,微步在线联合创始人李秋石、微步在线技术合伙人赵林林、微步在线OneEDR业务负责人陈杰、微步在线OneDNS业务负责人黄雅芳,以及微步在线首席分析师负责人樊兴华也针对本次推出的新产品与我们分享了各自的看法。

      迈向 XDR 并非一步到位

      近两年全球网络安全公司都在尝试探索 XDR(Extended Detection and Response),Gartner《Innovation Insight for Extended Detection and Response》中,XDR 被描述为一种安全威胁检测和事件响应 SaaS 工具,可以从终端、流量、蜜罐、网关等处发现网络威胁,与云端威胁情报、签名等数据联动比对,通过机器学习等技术,过滤数据噪声,减少误报和漏报,将警报自动聚合为完整安全事件,并实现一键处置。

      微步在线推出的终端检测响应产品 OneEDR,也是微步在线迈向 XDR 的一大步,而迈向 XDR 也并非仅一步就能做到,如何调整各产品之间的联动十分重要。微步在线技术合伙人赵林林称,“这是一个跨时代的功能,这标志着攻防双方从此进入全面对抗,而且是不同维度的对抗。”

      微步在线完成 E 轮融资,XDR 时代也更近了

      赵林林指出,对于 XDR 来说,产品自身的功能与产品间的配合能力都十分重要,同时,威胁情报能力是产品检测响应能力的基础,如此才能发挥“端+流量”深层次的联动能力,微步在线后续推出的产品也会一直秉承这样的逻辑。

      微步在线长期、持续专注于威胁检测领域,积累了强大的威胁情报和威胁检测分析能力。微步在线首席分析师负责人樊兴华介绍,微步在线后台拥有一套情报流程,他将这套流程比喻为工厂生产线,“是做加工用的”。

      微步在线完成 E 轮融资,XDR 时代也更近了

      樊兴华称,微步在线首先会从外面采集很多数据,包括产品的数据,以及通过其他渠道采集的数据和用户提交的数据。这些数据,放到生产流程里面,而生产流程有很多环节和模块,“就像一个生产线有组装,有清洗,有其他一些模块,最终通过我们这套流程,把我们在产品里用的情报生产出来。”

      最终“生产”的规模涵盖了各种维度的威胁,比如一些专门做定向攻击的威胁,其中包括一些如黑产、行业、攻击等方面的情报。樊兴华介绍,微步在线在情报的数量和质量上都处在业内领先地位,在产品中应用的高可信情报大约近百万量级。

      威胁情报能力的产品化

      除了 OneEDR,微步在线还宣布了对TDP产品性能的最新升级。微步在线方面表示,单台10G bps版TDP已经正式对外发售、开始服务客户。该版本的TDP在网络抓包和流量处理方面都取得了突破性的性能改进,流量量级在业内处于领先地位。微步在线售前团队负责人黄雅芳介绍称,TDP 的交互分为两个部分,首先是它本身的服务器,第二个部分是上面持续的数据订阅。

      微步在线完成 E 轮融资,XDR 时代也更近了

      TDP和OneEDR的深度结合,意味着防守方企业与攻击者进行的单点对抗,将转为全面对抗。TDP与OneEDR的结合,增加了企业安全人员可用的威胁分析维度。可疑行为出现后,仅凭流量和终端维度的分析,企业安全人员无法判定某次可疑行为的风险性。但TDP和OneEDR结合后,流量侧做分析时,将端作为一个因子,端侧做分析时也能将流量作为一个因子,两者结合,提供一个二维的信息,网络威胁检测能力得到大幅度提升。

      赵林林介绍,目前行业中许多网络安全厂商都在流量检测和终端检测发力,推出的NDR和EDR产品也可以在一定程度上做到联动,但这两种产品的联动形态往往是粗糙、初级的,仅存在数据的互通,无法在分析层面自动参照对方的提供的信息。而微步在线的TDP和OneEDR能够在分析时深度结合,未来也会推出越来越多的安全产品,做到“共用一个大脑”。

      TDP 有哪些特点?赵林林指出,TDP 主要基于情报、双向全流量、检测与响应并重。TDP的检测基于威胁情报。很多网络安全产品的检测方式是基于签名、规则,或者AI算法,这些方式的共同特点是都从防守方角度出发,去定义、归纳和猜测攻击方具备什么样的特征、有什么样的行为。运维工作中,遇到百万级的警报,其中绝大多数都是误报。微步在线的威胁情报准确度可达99.9%,而TDP的准确率在经过微步在线多个客户的逐条检验后,得出的平均值为99.97%,让TDP的每一次警报都真实有效。

      双向全流量意味着更全面的检测,更意味着更多维度的攻击信息。TDP检测网络攻击时,进来的流量能让TDP检测到网络攻击的路径,也就是攻击者做了什么,而出去的流量则能让TDP检测到网络攻击的结果,也就是这次攻击是否成功、且造成了什么影响。TDP能够在保证每次警报都真实有效时,把警报按照优先级顺序排序给安全人员展示出来,从而让安全人员在应急响应时有序处理,在第一时间把损失减到最小。

      检测与响应并重,可以让安全人员发现问题后一键处理,避免繁复的手动操作。赵林林介绍称,TDP能够通过旁路网络阻断、联动第三方防火墙等多种方式做到处置的闭环。

      细节方面,TDP可以进行攻击成功、资产梳理等工作,帮助安全运维人员增加攻击判定维度、提高检测准确性。判断攻击成功与否,并不需要太高的门槛,但是网络攻击的种类繁多,判断起来十分困难,安全厂商在产品中加入这个功能,势必耗费较多人力物力,TDP加入这个功能,以自动化的形式完成这项工作,也能让工作人员把精力放在更多重要的事情上。

      擅长SEOSEM网站诊断、方案编写、优化运维

      广州
    • 1
    • 0
    • 0
    • 110
    • 星河入眼眸%

      请登录之后再进行评论

      登录

      分享有礼

    • 发表内容
    • 做任务
    • 实时动态