近日,由博智安全科技股份有限公司(以下簡(jiǎn)稱“博智安全”)協(xié)辦的江蘇省第一屆工控安全高層論壇上,博智安全重磅發(fā)布最新解決方案——工業(yè)網(wǎng)絡(luò)協(xié)同聯(lián)動(dòng)安全解決方案(AD-XDR),成為全場(chǎng)焦點(diǎn)。
9月27日,博智安全工業(yè)網(wǎng)絡(luò)協(xié)同聯(lián)動(dòng)安全解決方案(AD-XDR)負(fù)責(zé)人王力受邀參與由國(guó)內(nèi)知名數(shù)字產(chǎn)業(yè)第三方調(diào)研咨詢機(jī)構(gòu)數(shù)世咨詢舉辦的網(wǎng)安三人行「把酒話網(wǎng)安」系列活動(dòng),某汽車安全負(fù)責(zé)人共同參與。
Q1:XDR是什么含義,是如何演變過來的,AD是什么含義,與XDR有何區(qū)別?
XDR含義:Extended Detection and Response,縮寫是XDR,意思是可拓展威脅檢測(cè)與響應(yīng)。是一個(gè)基于SaaS化模式,將多源安全遙測(cè)數(shù)據(jù)進(jìn)行聚合,把原先分散的單點(diǎn)安全能力以原生化方式進(jìn)行有機(jī)融合,以此提升威脅檢測(cè)、調(diào)查、響應(yīng)與狩獵能力的系統(tǒng)。
AD:Active Defense (主動(dòng)防御)。AD-XDR在XDR方案基礎(chǔ)上提供了新的防護(hù)“增量”,現(xiàn)有的XDR方案重點(diǎn)強(qiáng)調(diào)的是網(wǎng)絡(luò)、終端的檢測(cè)能力,我們提出的AD-XDR解決方案在此基礎(chǔ)上利用虛實(shí)結(jié)合方式在工控網(wǎng)絡(luò)中構(gòu)建分布式工業(yè)蜜網(wǎng)場(chǎng)景,捕獲未知攻擊,還原攻擊路徑,達(dá)到對(duì)整個(gè)攻擊面的全面可視,同時(shí)可以擴(kuò)大虛假攻擊面,降低真正資產(chǎn)被攻擊的可能性,起到主動(dòng)防御的效果,是現(xiàn)有運(yùn)用到傳統(tǒng)網(wǎng)絡(luò)的XDR方案的補(bǔ)充,并且更符合工業(yè)場(chǎng)景。
Q2:其他廠商在XDR方面是關(guān)注什么方向,有什么優(yōu)勢(shì)?
其他廠商XDR方案主要還是運(yùn)用在傳統(tǒng)信息網(wǎng)絡(luò),關(guān)注點(diǎn):多元化的檢測(cè)能力、體系化的響應(yīng)處置能力、各類環(huán)境的廣泛適配、不斷強(qiáng)化的訂閱能力。相較于端點(diǎn)安全產(chǎn)品 EDR,XDR 的告警更加完整,安全調(diào)查更加高效,同時(shí),XDR 關(guān)注的不僅僅是技術(shù)問題,還有運(yùn)營(yíng)需求。XDR 可大幅降低安全人員低價(jià)值的重復(fù)工作,自動(dòng)將告警匯集成安全事件,使得安全人員聚焦到應(yīng)對(duì)真正具備威脅的風(fēng)險(xiǎn)上。
相對(duì)其他廠商的XDR的優(yōu)勢(shì):
第一:應(yīng)用場(chǎng)景的創(chuàng)新,傳統(tǒng)的XDR方案更多應(yīng)用在傳統(tǒng)網(wǎng)絡(luò)中,工控網(wǎng)絡(luò)對(duì)業(yè)務(wù)可靠性及實(shí)時(shí)性要求高且資產(chǎn)類型復(fù)雜繁多,工業(yè)企業(yè)幾乎都沒配備工控網(wǎng)絡(luò)安全運(yùn)維人員,企業(yè)更需要安全自動(dòng)化運(yùn)營(yíng),而不依賴于能力不均的運(yùn)維人員。
第二:增強(qiáng)的安全檢測(cè)能力,現(xiàn)有XDR方案主要采集終端、網(wǎng)絡(luò)、邊界等安全檢測(cè)類產(chǎn)品產(chǎn)生的日志信息、流量數(shù)據(jù)進(jìn)行分析,缺乏對(duì)未知威脅的捕獲能力,或者基于一些威脅情報(bào)庫,未知威脅捕獲能力有限。AD-XDR方案建設(shè)有工控協(xié)議指紋庫、工業(yè)威脅情報(bào)庫、工控安全漏洞庫、工業(yè)資產(chǎn)庫等工業(yè)安全知識(shí)庫,為未知工業(yè)威脅的分析提供明確指導(dǎo)。
第三:覆蓋面廣,可推廣性強(qiáng)。方案類各類檢測(cè)設(shè)備覆蓋了主流工控協(xié)議、主流廠商設(shè)備,方案適用于任何關(guān)鍵基礎(chǔ)設(shè)施行業(yè)工業(yè)場(chǎng)景,可推廣性強(qiáng)。
Q3:AD-XDR解決客戶的什么痛點(diǎn)、帶來什么核心價(jià)值,應(yīng)用場(chǎng)景?
痛點(diǎn):
①全面的安全檢測(cè)能力不足:工業(yè)場(chǎng)景設(shè)備種類數(shù)量多,且設(shè)備廣泛互聯(lián),導(dǎo)致漏洞后門資源多,攻擊路徑多,對(duì)于增強(qiáng)檢測(cè)和響應(yīng)的能力的需求不斷增強(qiáng)。
②安全威脅處置能力有限:安全防護(hù)設(shè)備種類繁多,安全策略配置、運(yùn)維管理難度較大,當(dāng)面對(duì)眾多分散的信息時(shí),安全人員無法快速、全面、直觀地了解系統(tǒng)安全脆弱點(diǎn)、整體攻擊狀況以及安全防護(hù)效果;日常產(chǎn)生的重復(fù)、無效的告警過多,加大了運(yùn)營(yíng)和信息安全監(jiān)測(cè)處置的難度,不能快速定位真正的運(yùn)行和網(wǎng)絡(luò)安全威脅,當(dāng)前的安全手段只能在一定范圍內(nèi)發(fā)揮特定的作用,且企業(yè)缺乏專業(yè)的智慧運(yùn)維工具,重復(fù)性工作占用現(xiàn)有人員大量精力,缺乏有效的數(shù)據(jù)融合和協(xié)同聯(lián)動(dòng)機(jī)制。
③未知威脅防御能力缺失:傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù),無論是防火墻、入侵檢測(cè)技術(shù),還是防病毒技術(shù),都是基于已知安全威脅、惡意行為、病毒樣本下制定安全策略、規(guī)則、特征碼等,是在發(fā)生安全事件后,再對(duì)其數(shù)據(jù)進(jìn)行分析直到解決,屬于被動(dòng)防御思想,對(duì)未知網(wǎng)絡(luò)威脅和0-day漏洞難以做出及時(shí)響應(yīng)。
核心價(jià)值:針對(duì)工業(yè)企業(yè)面臨的更多APT攻擊,當(dāng)更多的0 day 漏洞和未知威
脅穿透當(dāng)前的安全防御體系后,如何從海量工業(yè)安全數(shù)據(jù)中快速捕獲未知的攻擊,聯(lián)動(dòng)安全設(shè)備盡快地做出響應(yīng),鎖定攻擊范圍,最大程度地減少損失,將成為最有價(jià)值的創(chuàng)新。
創(chuàng)新性:從傳統(tǒng)網(wǎng)絡(luò)到工控網(wǎng)絡(luò)的安全運(yùn)營(yíng)模式應(yīng)用創(chuàng)新、從單點(diǎn)檢測(cè)到全面檢測(cè)的工控威脅檢測(cè)能力增強(qiáng)、從救火式運(yùn)維到安全編排自動(dòng)響應(yīng)的運(yùn)營(yíng)效率提升
應(yīng)用場(chǎng)景:電力、軌交、石油石化、智能制造等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)工業(yè)網(wǎng)絡(luò)。
博智安全“工業(yè)網(wǎng)絡(luò)協(xié)同聯(lián)動(dòng)安全解決方案(AD-XDR)”(點(diǎn)擊鏈接,獲取產(chǎn)品信息)集成工控主機(jī)衛(wèi)士、工控安全審計(jì)系統(tǒng)、工控入侵檢測(cè)系統(tǒng)、工控防火墻、工控安全隔離網(wǎng)閘、工業(yè)網(wǎng)絡(luò)蜜罐系統(tǒng)等安全設(shè)備,整合形成工業(yè)企業(yè)終端側(cè)、網(wǎng)絡(luò)流量側(cè)、網(wǎng)絡(luò)邊界側(cè)安全數(shù)據(jù)資源池,為企業(yè)高級(jí)威脅檢測(cè)及安全事件快速響應(yīng)提供基礎(chǔ)安全數(shù)據(jù)。同時(shí)搭建AD-XDR 統(tǒng)一威脅運(yùn)營(yíng)平臺(tái),將上述安全設(shè)備產(chǎn)生的日志數(shù)據(jù)、流量數(shù)據(jù)進(jìn)行數(shù)據(jù)歸一化處理、數(shù)據(jù)關(guān)聯(lián)分析,通過工業(yè)蜜網(wǎng)生成的威脅情報(bào)進(jìn)行賦能,有效聯(lián)動(dòng)各類安全設(shè)備,實(shí)現(xiàn)精準(zhǔn)的威脅識(shí)別,降低告警誤報(bào)率,提升安全事件處理效率,化“被動(dòng)防御”為“主動(dòng)運(yùn)營(yíng)”,實(shí)現(xiàn)工業(yè)企業(yè)安全可視化、自動(dòng)化、智能化。
