DoNews 3月25日消息（劉文軒）微步在線近期宣布完成E輪5億人民幣融資，由CPE源峰領投，云暉資本等繼續(xù)跟投。結合此前微步在線2020年9月完成的3億元左右D輪融資，微步在線半年內(nèi)合計完成融資8億元。3 月 17 日，微步在線召開主題為“邁向 XDR”的融資暨產(chǎn)品發(fā)布會，正式宣布旗下威脅感知平臺 Threat Detection Platform 的新版本，基于流量做檢測響應的 TDP 能夠實現(xiàn)與微步在線旗下終端檢測響應產(chǎn)品 OneEDR 的內(nèi)核級結合，形成“端點+流量”的檢測響應模式。

發(fā)布會現(xiàn)場，微步在線聯(lián)合創(chuàng)始人李秋石、微步在線技術合伙人趙林林、微步在線OneEDR業(yè)務負責人陳杰、微步在線OneDNS業(yè)務負責人黃雅芳，以及微步在線首席分析師負責人樊興華也針對本次推出的新產(chǎn)品與我們分享了各自的看法。

邁向 XDR 并非一步到位

近兩年全球網(wǎng)絡安全公司都在嘗試探索 XDR（Extended Detection and Response），Gartner《Innovation Insight for Extended Detection and Response》中，XDR 被描述為一種安全威脅檢測和事件響應 SaaS 工具，可以從終端、流量、蜜罐、網(wǎng)關等處發(fā)現(xiàn)網(wǎng)絡威脅，與云端威脅情報、簽名等數(shù)據(jù)聯(lián)動比對，通過機器學習等技術，過濾數(shù)據(jù)噪聲，減少誤報和漏報，將警報自動聚合為完整安全事件，并實現(xiàn)一鍵處置。

微步在線推出的終端檢測響應產(chǎn)品 OneEDR，也是微步在線邁向 XDR 的一大步，而邁向 XDR 也并非僅一步就能做到，如何調(diào)整各產(chǎn)品之間的聯(lián)動十分重要。微步在線技術合伙人趙林林稱，“這是一個跨時代的功能，這標志著攻防雙方從此進入全面對抗，而且是不同維度的對抗。”

趙林林指出，對于 XDR 來說，產(chǎn)品自身的功能與產(chǎn)品間的配合能力都十分重要，同時，威脅情報能力是產(chǎn)品檢測響應能力的基礎，如此才能發(fā)揮“端+流量”深層次的聯(lián)動能力，微步在線后續(xù)推出的產(chǎn)品也會一直秉承這樣的邏輯。

微步在線長期、持續(xù)專注于威脅檢測領域，積累了強大的威脅情報和威脅檢測分析能力。微步在線首席分析師負責人樊興華介紹，微步在線后臺擁有一套情報流程，他將這套流程比喻為工廠生產(chǎn)線，“是做加工用的”。

樊興華稱，微步在線首先會從外面采集很多數(shù)據(jù)，包括產(chǎn)品的數(shù)據(jù)，以及通過其他渠道采集的數(shù)據(jù)和用戶提交的數(shù)據(jù)。這些數(shù)據(jù)，放到生產(chǎn)流程里面，而生產(chǎn)流程有很多環(huán)節(jié)和模塊，“就像一個生產(chǎn)線有組裝，有清洗，有其他一些模塊，最終通過我們這套流程，把我們在產(chǎn)品里用的情報生產(chǎn)出來。”

最終“生產(chǎn)”的規(guī)模涵蓋了各種維度的威脅，比如一些專門做定向攻擊的威脅，其中包括一些如黑產(chǎn)、行業(yè)、攻擊等方面的情報。樊興華介紹，微步在線在情報的數(shù)量和質(zhì)量上都處在業(yè)內(nèi)領先地位，在產(chǎn)品中應用的高可信情報大約近百萬量級。

威脅情報能力的產(chǎn)品化

除了 OneEDR，微步在線還宣布了對TDP產(chǎn)品性能的最新升級。微步在線方面表示，單臺10G bps版TDP已經(jīng)正式對外發(fā)售、開始服務客戶。該版本的TDP在網(wǎng)絡抓包和流量處理方面都取得了突破性的性能改進，流量量級在業(yè)內(nèi)處于領先地位。微步在線售前團隊負責人黃雅芳介紹稱，TDP 的交互分為兩個部分，首先是它本身的服務器，第二個部分是上面持續(xù)的數(shù)據(jù)訂閱。

TDP和OneEDR的深度結合，意味著防守方企業(yè)與攻擊者進行的單點對抗，將轉為全面對抗。TDP與OneEDR的結合，增加了企業(yè)安全人員可用的威脅分析維度。可疑行為出現(xiàn)后，僅憑流量和終端維度的分析，企業(yè)安全人員無法判定某次可疑行為的風險性。但TDP和OneEDR結合后，流量側做分析時，將端作為一個因子，端側做分析時也能將流量作為一個因子，兩者結合，提供一個二維的信息，網(wǎng)絡威脅檢測能力得到大幅度提升。

趙林林介紹，目前行業(yè)中許多網(wǎng)絡安全廠商都在流量檢測和終端檢測發(fā)力，推出的NDR和EDR產(chǎn)品也可以在一定程度上做到聯(lián)動，但這兩種產(chǎn)品的聯(lián)動形態(tài)往往是粗糙、初級的，僅存在數(shù)據(jù)的互通，無法在分析層面自動參照對方的提供的信息。而微步在線的TDP和OneEDR能夠在分析時深度結合，未來也會推出越來越多的安全產(chǎn)品，做到“共用一個大腦”。

TDP 有哪些特點？趙林林指出，TDP 主要基于情報、雙向全流量、檢測與響應并重。TDP的檢測基于威脅情報。很多網(wǎng)絡安全產(chǎn)品的檢測方式是基于簽名、規(guī)則，或者AI算法，這些方式的共同特點是都從防守方角度出發(fā)，去定義、歸納和猜測攻擊方具備什么樣的特征、有什么樣的行為。運維工作中，遇到百萬級的警報，其中絕大多數(shù)都是誤報。微步在線的威脅情報準確度可達99.9%，而TDP的準確率在經(jīng)過微步在線多個客戶的逐條檢驗后，得出的平均值為99.97%，讓TDP的每一次警報都真實有效。

雙向全流量意味著更全面的檢測，更意味著更多維度的攻擊信息。TDP檢測網(wǎng)絡攻擊時，進來的流量能讓TDP檢測到網(wǎng)絡攻擊的路徑，也就是攻擊者做了什么，而出去的流量則能讓TDP檢測到網(wǎng)絡攻擊的結果，也就是這次攻擊是否成功、且造成了什么影響。TDP能夠在保證每次警報都真實有效時，把警報按照優(yōu)先級順序排序給安全人員展示出來，從而讓安全人員在應急響應時有序處理，在第一時間把損失減到最小。

檢測與響應并重，可以讓安全人員發(fā)現(xiàn)問題后一鍵處理，避免繁復的手動操作。趙林林介紹稱，TDP能夠通過旁路網(wǎng)絡阻斷、聯(lián)動第三方防火墻等多種方式做到處置的閉環(huán)。

細節(jié)方面，TDP可以進行攻擊成功、資產(chǎn)梳理等工作，幫助安全運維人員增加攻擊判定維度、提高檢測準確性。判斷攻擊成功與否，并不需要太高的門檻，但是網(wǎng)絡攻擊的種類繁多，判斷起來十分困難，安全廠商在產(chǎn)品中加入這個功能，勢必耗費較多人力物力，TDP加入這個功能，以自動化的形式完成這項工作，也能讓工作人員把精力放在更多重要的事情上。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/