微步在線完成 E 輪融資，XDR 時(shí)代也更近了

動(dòng)態(tài) 2021-03-25 17:12

聲明：該文章由作者（孫嘉誠）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請(qǐng)附上出處(0XUCN)及本頁鏈接。。

DoNews 3月25日消息（劉文軒）微步在線近期宣布完成E輪5億人民幣融資，由CPE源峰領(lǐng)投，云暉資本等繼續(xù)跟投。結(jié)合此前微步在線2020年9月完成的3億元左右D輪融資，微步在線半年內(nèi)合計(jì)完成融資8億元。3 月 17 日，微步在線召開主題為“邁向 XDR”的融資暨產(chǎn)品發(fā)布會(huì)，正式宣布旗下威脅感知平臺(tái) Threat Detection Platform 的新版本，基于流量做檢測(cè)響應(yīng)的 TDP 能夠?qū)崿F(xiàn)與微步在線旗下終端檢測(cè)響應(yīng)產(chǎn)品 OneEDR 的內(nèi)核級(jí)結(jié)合，形成“端點(diǎn)+流量”的檢測(cè)響應(yīng)模式。

發(fā)布會(huì)現(xiàn)場(chǎng)，微步在線聯(lián)合創(chuàng)始人李秋石、微步在線技術(shù)合伙人趙林林、微步在線OneEDR業(yè)務(wù)負(fù)責(zé)人陳杰、微步在線OneDNS業(yè)務(wù)負(fù)責(zé)人黃雅芳，以及微步在線首席分析師負(fù)責(zé)人樊興華也針對(duì)本次推出的新產(chǎn)品與我們分享了各自的看法。

邁向 XDR 并非一步到位

近兩年全球網(wǎng)絡(luò)安全公司都在嘗試探索 XDR（Extended Detection and Response），Gartner《Innovation Insight for Extended Detection and Response》中，XDR 被描述為一種安全威脅檢測(cè)和事件響應(yīng) SaaS 工具，可以從終端、流量、蜜罐、網(wǎng)關(guān)等處發(fā)現(xiàn)網(wǎng)絡(luò)威脅，與云端威脅情報(bào)、簽名等數(shù)據(jù)聯(lián)動(dòng)比對(duì)，通過機(jī)器學(xué)習(xí)等技術(shù)，過濾數(shù)據(jù)噪聲，減少誤報(bào)和漏報(bào)，將警報(bào)自動(dòng)聚合為完整安全事件，并實(shí)現(xiàn)一鍵處置。

微步在線推出的終端檢測(cè)響應(yīng)產(chǎn)品 OneEDR，也是微步在線邁向 XDR 的一大步，而邁向 XDR 也并非僅一步就能做到，如何調(diào)整各產(chǎn)品之間的聯(lián)動(dòng)十分重要。微步在線技術(shù)合伙人趙林林稱，“這是一個(gè)跨時(shí)代的功能，這標(biāo)志著攻防雙方從此進(jìn)入全面對(duì)抗，而且是不同維度的對(duì)抗?！?/p>

趙林林指出，對(duì)于 XDR 來說，產(chǎn)品自身的功能與產(chǎn)品間的配合能力都十分重要，同時(shí)，威脅情報(bào)能力是產(chǎn)品檢測(cè)響應(yīng)能力的基礎(chǔ)，如此才能發(fā)揮“端+流量”深層次的聯(lián)動(dòng)能力，微步在線后續(xù)推出的產(chǎn)品也會(huì)一直秉承這樣的邏輯。

微步在線長期、持續(xù)專注于威脅檢測(cè)領(lǐng)域，積累了強(qiáng)大的威脅情報(bào)和威脅檢測(cè)分析能力。微步在線首席分析師負(fù)責(zé)人樊興華介紹，微步在線后臺(tái)擁有一套情報(bào)流程，他將這套流程比喻為工廠生產(chǎn)線，“是做加工用的”。

樊興華稱，微步在線首先會(huì)從外面采集很多數(shù)據(jù)，包括產(chǎn)品的數(shù)據(jù)，以及通過其他渠道采集的數(shù)據(jù)和用戶提交的數(shù)據(jù)。這些數(shù)據(jù)，放到生產(chǎn)流程里面，而生產(chǎn)流程有很多環(huán)節(jié)和模塊，“就像一個(gè)生產(chǎn)線有組裝，有清洗，有其他一些模塊，最終通過我們這套流程，把我們?cè)诋a(chǎn)品里用的情報(bào)生產(chǎn)出來。”

最終“生產(chǎn)”的規(guī)模涵蓋了各種維度的威脅，比如一些專門做定向攻擊的威脅，其中包括一些如黑產(chǎn)、行業(yè)、攻擊等方面的情報(bào)。樊興華介紹，微步在線在情報(bào)的數(shù)量和質(zhì)量上都處在業(yè)內(nèi)領(lǐng)先地位，在產(chǎn)品中應(yīng)用的高可信情報(bào)大約近百萬量級(jí)。

威脅情報(bào)能力的產(chǎn)品化

除了 OneEDR，微步在線還宣布了對(duì)TDP產(chǎn)品性能的最新升級(jí)。微步在線方面表示，單臺(tái)10G bps版TDP已經(jīng)正式對(duì)外發(fā)售、開始服務(wù)客戶。該版本的TDP在網(wǎng)絡(luò)抓包和流量處理方面都取得了突破性的性能改進(jìn)，流量量級(jí)在業(yè)內(nèi)處于領(lǐng)先地位。微步在線售前團(tuán)隊(duì)負(fù)責(zé)人黃雅芳介紹稱，TDP 的交互分為兩個(gè)部分，首先是它本身的服務(wù)器，第二個(gè)部分是上面持續(xù)的數(shù)據(jù)訂閱。

TDP和OneEDR的深度結(jié)合，意味著防守方企業(yè)與攻擊者進(jìn)行的單點(diǎn)對(duì)抗，將轉(zhuǎn)為全面對(duì)抗。TDP與OneEDR的結(jié)合，增加了企業(yè)安全人員可用的威脅分析維度?？梢尚袨槌霈F(xiàn)后，僅憑流量和終端維度的分析，企業(yè)安全人員無法判定某次可疑行為的風(fēng)險(xiǎn)性。但TDP和OneEDR結(jié)合后，流量側(cè)做分析時(shí)，將端作為一個(gè)因子，端側(cè)做分析時(shí)也能將流量作為一個(gè)因子，兩者結(jié)合，提供一個(gè)二維的信息，網(wǎng)絡(luò)威脅檢測(cè)能力得到大幅度提升。

趙林林介紹，目前行業(yè)中許多網(wǎng)絡(luò)安全廠商都在流量檢測(cè)和終端檢測(cè)發(fā)力，推出的NDR和EDR產(chǎn)品也可以在一定程度上做到聯(lián)動(dòng)，但這兩種產(chǎn)品的聯(lián)動(dòng)形態(tài)往往是粗糙、初級(jí)的，僅存在數(shù)據(jù)的互通，無法在分析層面自動(dòng)參照對(duì)方的提供的信息。而微步在線的TDP和OneEDR能夠在分析時(shí)深度結(jié)合，未來也會(huì)推出越來越多的安全產(chǎn)品，做到“共用一個(gè)大腦”。

TDP 有哪些特點(diǎn)？趙林林指出，TDP 主要基于情報(bào)、雙向全流量、檢測(cè)與響應(yīng)并重。TDP的檢測(cè)基于威脅情報(bào)。很多網(wǎng)絡(luò)安全產(chǎn)品的檢測(cè)方式是基于簽名、規(guī)則，或者AI算法，這些方式的共同特點(diǎn)是都從防守方角度出發(fā)，去定義、歸納和猜測(cè)攻擊方具備什么樣的特征、有什么樣的行為。運(yùn)維工作中，遇到百萬級(jí)的警報(bào)，其中絕大多數(shù)都是誤報(bào)。微步在線的威脅情報(bào)準(zhǔn)確度可達(dá)99.9%，而TDP的準(zhǔn)確率在經(jīng)過微步在線多個(gè)客戶的逐條檢驗(yàn)后，得出的平均值為99.97%，讓TDP的每一次警報(bào)都真實(shí)有效。

雙向全流量意味著更全面的檢測(cè)，更意味著更多維度的攻擊信息。TDP檢測(cè)網(wǎng)絡(luò)攻擊時(shí)，進(jìn)來的流量能讓TDP檢測(cè)到網(wǎng)絡(luò)攻擊的路徑，也就是攻擊者做了什么，而出去的流量則能讓TDP檢測(cè)到網(wǎng)絡(luò)攻擊的結(jié)果，也就是這次攻擊是否成功、且造成了什么影響。TDP能夠在保證每次警報(bào)都真實(shí)有效時(shí)，把警報(bào)按照優(yōu)先級(jí)順序排序給安全人員展示出來，從而讓安全人員在應(yīng)急響應(yīng)時(shí)有序處理，在第一時(shí)間把損失減到最小。

檢測(cè)與響應(yīng)并重，可以讓安全人員發(fā)現(xiàn)問題后一鍵處理，避免繁復(fù)的手動(dòng)操作。趙林林介紹稱，TDP能夠通過旁路網(wǎng)絡(luò)阻斷、聯(lián)動(dòng)第三方防火墻等多種方式做到處置的閉環(huán)。

細(xì)節(jié)方面，TDP可以進(jìn)行攻擊成功、資產(chǎn)梳理等工作，幫助安全運(yùn)維人員增加攻擊判定維度、提高檢測(cè)準(zhǔn)確性。判斷攻擊成功與否，并不需要太高的門檻，但是網(wǎng)絡(luò)攻擊的種類繁多，判斷起來十分困難，安全廠商在產(chǎn)品中加入這個(gè)功能，勢(shì)必耗費(fèi)較多人力物力，TDP加入這個(gè)功能，以自動(dòng)化的形式完成這項(xiàng)工作，也能讓工作人員把精力放在更多重要的事情上。

關(guān)注我們