Gartner连续两年将XDR列为十大安全项目之一。
在企业中,通过各种安全产品产生的告警来发现威胁并进行处置是许多安全运维人员的工作日常。但要注意的一点是,实际工作中,大多公司的安全资源能力(如人员等)有限,需要过滤各种告警才能将分析量保持在可接受范围。不过过往已有且仍在不断叠加的一些安全产品,使得告警量居高不下,安全运维人员难以准确发现高危完整的攻击事件,这也会导致处置效率低,错过响应黄金期。这造成的后果是企业的安全投资回报率较低,难以满足自身的切实需求。
在这种前提之下,2018年后,国外的一些安全厂商提出了可扩展的威胁检测与响应概念,即XDR(Extended Detection and Response)扩展的威胁检测与响应 ,并在2019年实际进行了产品落地,Gartner也连续两年将其列为十大安全项目之一。
「北京未来智安科技有限公司」(以下简称「未来智安」,成立于2020年,专注于网络攻击检测和响应,希望为客户提供精准全面的网络安全检测、高效自动化的威胁运营能力和产品方案。「未来智安」2020年发布 XDR(Extended Detection and Response)扩展威胁检测与响应平台的公司。公司在成立伊始也获得了来自红杉中国种子基金的数千万元投资。
具体展开,「未来智安」的XDR平台致力于打造一个可扩展的开放式安全平台,可连接生态中的安全组件数据,通过可插拔的能力模块和技术,实现网络、终端、云和应用安全的统一可视威胁发现,自动化分析溯源,统一作战指挥和SOAR协同响应处置,为客户提供网络安全攻击检测与响应解决方案。
这一XDR平台通过多元异构数据治理接入自有或第三方的NDR、EDR、CWPP等数据、基于安全数据关联分析建模、威胁狩猎、攻击事件挖掘形成完整的攻击事件,希望达到有效降低告警量的目的。同时也利用安全自动化编排能力SOAR和统一的作战指挥室进行威胁运营和响应处置。在实际落地中,目的在于告诉客户一个完整的攻击故事,有效提升客户运营效率,利用客户已有的或公司提供的NDR或EDR数据保护客户的安全投资。
在行业中,关于XDR需要接入的数据类型众说纷纭,甚至有种说法是接入数据类型越多越好。但未来智安的首选是先接入NDR、EDR数据。为什么是它们?唐伽佳介绍,因为NDR的检测逻辑,通过对流量的持续监测来发现风险和异常,相比较通过特征库检测的产品(如IDS)更精准。同时也由于这类产品会形成基于上下文的全流量日志,为进行分析和风险核实提供了前提条件。而EDR主要围绕主机数据,价值也较高。所以综上,将NDR、EDR数据接入XDR平台,再进行分析,输出客户真正关心的完整的安全事件,会是效果更佳的选择。
从技术上,这类产品的难点之一在于对异构数据的接入处理,毕竟要打通各个厂商的不同产品存在难度。第二,流量和终端数据属于两类产品产生的数据,如何把它们之间进行融合,并形成完整的攻击事件也是挑战。为了解决这两个问题,「未来智安」首先吸纳有经验、能力的数据工程师等人才解决技术难点。另外在和各类厂家产品的合作上,客户对各产品间的合作有着话语权。而「未来智安」团队此前在相关领域耕耘时间较久,掌握客户痛点和业务场景,所以能更好地切入目标客户市场。目前公司对接的第三方数据包括奇安信天眼天擎、深信服SIP、青藤云、绿盟UBS等。“从量化效果看,我们的产品可以让客户的告警量降低50倍,响应效率提升8倍,客户的投资成本节省4倍。”唐伽佳说。
具体在客户性质层面,据介绍「未来智安」当前的主要客户为大G或大B的客户群体,如金融、能源、运营商等。这类客户一般对安全效果较为重视,也愿意尝试较新且有效的安全产品。在盈利模式上,公司当前为产品和服务结合。
团队方面,当前「未来智安」员工数在30人左右,90%以上为研发。创始人兼CEO唐伽佳,原奇安信天眼产品总监,具有丰富的安全产品规划设计经验和管理能力。联合创始人陈毓端,任公司CTO,原奇安信天眼研发负责人,具有技术和安全架构能力,较丰富的研发管理和To B产品研发经验。团队核心研发人员来自360、奇安信、绿盟、华为,引领过大型网络安全产品0到1的规划和开发,在攻防领域具有丰富的实战经验。
声明:本文来自未来智安,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。