专注威胁检测分析开启迈向XDR新征程
2021-04-12
作者:于寅虎
来源:电子技术应用
编者按:日前,微步在线宣布完成E轮5亿人民币融资,同时正式发布主机威胁检测响应产品OneEDR,从而拉开了企业向XDR目标迈进的序幕。叠加旗下基于网络流量检测的威胁感知平台TDP、互联网安全接入服务OneDNS、本地多源威胁情报管理平台TIP,共同构成微步在线的“云+流量+端点”威胁检测响应产品矩阵。为了更进一步了解微步在线企业发展战略和产品路线,笔者专访了北京微步在线科技有限公司创始人薛锋先生。
记者:近两来,XDR成为各大网络安全公司竞相追逐的新技术,请您详细介绍下XDR的核心理念以及发展趋势。
薛锋:XDR是Gartner在2020年的《Top Security and Risk Management Trends》调研报告中提到的一项新技术和解决方案。XDR在Gartner的定义是:SaaS类型的安全威胁检测和响应平台,集成了大量的产品,并统一了相关license收费,具体产品功能视厂商而有所不同。
XDR产品主要有三大价值:1.直接集成安全产品开箱即用;2.有统一的安全数据归一化和中心化可供分析和查询;3.由于有多种产品的配合和协调,因此可以改进检测的敏感性;4.多产品联动处理改变单一产品的响应过程。
记者:贵公司宣布向XDR供应商转型,请您具体介绍在这方面取得在成果和未来计划。
薛锋:一般情况下,XDR需要包括的安全产品有EDR、NTA/NDR、UBA、蜜罐等,某些安全厂商会把SIEM和SOAR也囊括在XDR的范围内。本次微步在线推出终端检测响应产品OneEDR,是微步在线迈向XDR的一大步。
作为中国新兴网络安全公司中的领军企业,微步在线长期、持续专注于威胁检测领域,威胁情报和威胁检测分析能力是我们的长项,也基于此,我们研发了流量和终端的“云+流量+端点”全方位威胁检测响应产品矩阵,帮助企业建立全方位的威胁监控体系,持续为客户提供专业的技术、产品和服务。
得益于微步在线在威胁发现领域多年的技术积累,OneEDR的入侵检测能力已经比较完善,具有业界领先水平。其创新的入侵链路可视化技术提供了威胁溯源能力,结合一键处置,能够做到快速响应。同时,OneEDR也搭载了微步在线的网络威胁情报模块、具备自适应的机器学习能力、支持日志调查自定义检索、多视角可视化跟踪主机入侵过程,并且自动化聚合攻击事件完整链路。
目前OneEDR能够全面检测Webshell、反弹Shell、木马后门、主机提权、僵尸网络、挖矿威胁、勒索病毒、虚假内核、远控工具、恶意环境变量、漏洞利用、恶意进程、账号爆破等多种几十种威胁类型,全面检测已知和未知的攻击和威胁。同时能将安全运营人员的处置记录作为反馈信息,利用机器学习算法持续优化、自适应更新检测算法,打造专属该企业的检测引擎系统,有针对性地加强企业检测能力。
未来,微步在线还会推出更式基于XDR思想的安全产品和解决方案,加速向国内平台化SaaS安全公司转变。
记者:相较市面产品,微步在线的OneEDR产品具备哪些优势?
薛锋:OneEDR的优势体现为检测能力强、可视化效果好、占用户资源少等三个方面。
OneEDR具备全面的检测能力。基于微步在线专业威胁情报、启发式的漏洞、木马行为特征检测、文件静态和动态监测、基于AI的终端行为数据异常分析模型等机制,微步在线OneEDR全面检测Webshell、反弹Shell、木马后门、主机提权、僵尸网络、挖矿威胁、勒索病毒、虚假内核、远控工具、恶意环境变量、漏洞利用、恶意进程、账号爆破等多种几十种威胁类型,全面检测已知和未知的攻击和威胁。同时,OneEDR能够将所有单点检测告警进行关联,生成攻击事件,并对一次攻击事件进行全链路取证,明确黑客攻击链路方才告警,做到极少误报。
OneEDR能够以可视化的方式清晰展现安全事件的来龙去脉,帮助分析人员快速掌握当前攻击状态与手法。首先,OneEDR能够智能挖掘告警之间的关联关系,自动聚合多条告警,以“威胁事件”为维度显示整体攻击的上下文,对同一团伙的告警进行是识别和分类,帮助安全运维人员在大量告警中更高效地理清安全事件的脉络,更有针对性地去处理安全事件。其次,在处理安全事件的过程中,OneEDR提供“事件图”和“进程链图”,实现对安全事件的可视化,理清安全事件的来龙去脉,直观展示安全事件涉及的用户、主机、进程、IP等实体的关联关系,同时将每个告警和事件按照ATT&CK模型进行映射。
此外,OneEDR不断收集用户的处置反馈,学习误报告警特征,不断优化机器学习算法,使其具备针对单一用户环境的自适应性,进一步降低误报。“在企业上云战略和黑客专业化的大环境下, 主机安全已成为一个强对抗的领域。
记者:随着网络安全市场的蓬勃发展,网络安全企业受到资本的追捧,请您谈谈资本运作在助推企业发展壮大过程中的影响。
薛锋:网络安全产业具有一个显著的特点,产品研发和销售的周期特别长。研发新技术和产品,通常需要两三年以上的时间。销售端也是如此,建一支销售的力量渠道,也需要若干年的时间。虽然网络安全并不是一个烧钱的行业,但网络安全企业想打好坚实基础发展更长远的话,前期就要做大量的投入,对于现金流的要求会更高。
因此,不断对外融资成为网络安全企业必须要走的一条道路。
截至目前,微步在线已经经历了6轮融资,总的融资额度达到了10亿元人民币。最近的E轮5亿元融资,由CPE源峰领投,老股东云晖资本等继续跟投,是2021年开年以来到现在为止网络安全行业中最大的一笔融资。
2020年9月微步在线刚刚完成了3亿元左右D轮融资,半年内合计完成融资8亿元。
记者:我们看到这6轮融资的参与机构有很多家,请请问微步在线在选择投资方时有什么具体的要求和偏好吗?
薛锋:说到投资方的选择,钱多钱少不是考虑的重点。投资方首先是要认同微步在线的发展理念,同时能够提供强有力的资源来促进企业的发展。投资方不会介入到公司的运营里面去,只是在你需要什么帮助的时候,他们会看看是否能提供这个资源。像高瓴资本的投后就做得非常好,高瓴会特别注重在投完之后,看看你企业有什么样的需求,从最基本的招人,包括一些其他方面的策划,包括你的一些可能你需要的一些资源的协调等等。
记者:微步在线接下来有没有上市的日程表?
薛锋:暂时还没有这样的日程表。核心原因是因为我们觉得这是一个长期过程,公司的文化建设和组织能力都还需要花一点时间,因为公司毕竟到现在还不满6岁,所以我们可能在多花几年时间做一些建设的工作,发展得更稳一些。
记者:作为创始人,您如何评价微步在线目前的行业地位和发展状况?
薛锋:我们本轮的投资方CPE源峰这样评价我们,”微步在线是安全云服务领域的领先企业,基于其领先威胁情报能力,打造了全面的威胁发现和响应产品体系,在网络安全领域实现了订阅制的商业模式,从技术、产品和商业模式上看,都具有高度稀缺性,是中国非常优秀的网络安全企业。“
当前微步在线公司规模近三百人,创始成员来自于亚马逊、微软、阿里巴巴、百度、美团等公司。微步在线正在服务包括国家电网、中石油、工商银行、招商银行、OPPO、滴滴、京东、中信集团、国家信息中心等来自能源、金融、智能制造、互联网、政府等行业的三百余家大型政企客户。
随着互联网和云计算在我国各行各业生产和办公环境中得到广泛应用,组织的信息安全面临着边界模糊、环境复杂、威胁多样化等多方挑战。
因此,将云计算、大数据等技术与网络安全行业进行结合是必然趋势,网络安全公司需要把自身安全能力云化后赋能给企业客户。
微步在线正在走着一条正确的发展道路,迎来快速发展的机遇期。