《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 高端訪談 > 專注威脅檢測分析開啟邁向XDR新征程

專注威脅檢測分析開啟邁向XDR新征程

——專訪北京微步在線科技有限公司創(chuàng)始人薛鋒
2021-04-12
作者:于寅虎
來源:電子技術(shù)應(yīng)用
關(guān)鍵詞: 微步在線 薛鋒 OneEDR XDR

 微信圖片_20210412152250.jpg

    編者按:日前,微步在線宣布完成E輪5億人民幣融資,同時(shí)正式發(fā)布主機(jī)威脅檢測響應(yīng)產(chǎn)品OneEDR,從而拉開了企業(yè)向XDR目標(biāo)邁進(jìn)的序幕。疊加旗下基于網(wǎng)絡(luò)流量檢測的威脅感知平臺(tái)TDP、互聯(lián)網(wǎng)安全接入服務(wù)OneDNS、本地多源威脅情報(bào)管理平臺(tái)TIP,共同構(gòu)成微步在線的“云+流量+端點(diǎn)”威脅檢測響應(yīng)產(chǎn)品矩陣。為了更進(jìn)一步了解微步在線企業(yè)發(fā)展戰(zhàn)略和產(chǎn)品路線,筆者專訪了北京微步在線科技有限公司創(chuàng)始人薛鋒先生。

  記者:近兩來,XDR成為各大網(wǎng)絡(luò)安全公司競相追逐的新技術(shù),請您詳細(xì)介紹下XDR的核心理念以及發(fā)展趨勢。

  薛鋒:XDR是Gartner在2020年的《Top Security and Risk Management Trends》調(diào)研報(bào)告中提到的一項(xiàng)新技術(shù)和解決方案。XDR在Gartner的定義是:SaaS類型的安全威脅檢測和響應(yīng)平臺(tái),集成了大量的產(chǎn)品,并統(tǒng)一了相關(guān)license收費(fèi),具體產(chǎn)品功能視廠商而有所不同。

  XDR產(chǎn)品主要有三大價(jià)值:1.直接集成安全產(chǎn)品開箱即用;2.有統(tǒng)一的安全數(shù)據(jù)歸一化和中心化可供分析和查詢;3.由于有多種產(chǎn)品的配合和協(xié)調(diào),因此可以改進(jìn)檢測的敏感性;4.多產(chǎn)品聯(lián)動(dòng)處理改變單一產(chǎn)品的響應(yīng)過程。

  記者:貴公司宣布向XDR供應(yīng)商轉(zhuǎn)型,請您具體介紹在這方面取得在成果和未來計(jì)劃。

  薛鋒:一般情況下,XDR需要包括的安全產(chǎn)品有EDR、NTA/NDR、UBA、蜜罐等,某些安全廠商會(huì)把SIEM和SOAR也囊括在XDR的范圍內(nèi)。本次微步在線推出終端檢測響應(yīng)產(chǎn)品OneEDR,是微步在線邁向XDR的一大步。

  作為中國新興網(wǎng)絡(luò)安全公司中的領(lǐng)軍企業(yè),微步在線長期、持續(xù)專注于威脅檢測領(lǐng)域,威脅情報(bào)和威脅檢測分析能力是我們的長項(xiàng),也基于此,我們研發(fā)了流量和終端的云+流量+端點(diǎn)”全方位威脅檢測響應(yīng)產(chǎn)品矩陣,幫助企業(yè)建立全方位的威脅監(jiān)控體系,持續(xù)為客戶提供專業(yè)的技術(shù)、產(chǎn)品和服務(wù)。

  得益于微步在線在威脅發(fā)現(xiàn)領(lǐng)域多年的技術(shù)積累,OneEDR的入侵檢測能力已經(jīng)比較完善,具有業(yè)界領(lǐng)先水平。其創(chuàng)新的入侵鏈路可視化技術(shù)提供了威脅溯源能力,結(jié)合一鍵處置,能夠做到快速響應(yīng)。同時(shí),OneEDR也搭載了微步在線的網(wǎng)絡(luò)威脅情報(bào)模塊、具備自適應(yīng)的機(jī)器學(xué)習(xí)能力、支持日志調(diào)查自定義檢索、多視角可視化跟蹤主機(jī)入侵過程,并且自動(dòng)化聚合攻擊事件完整鏈路。

  目前OneEDR能夠全面檢測Webshell、反彈Shell、木馬后門、主機(jī)提權(quán)、僵尸網(wǎng)絡(luò)、挖礦威脅、勒索病毒、虛假內(nèi)核、遠(yuǎn)控工具、惡意環(huán)境變量、漏洞利用、惡意進(jìn)程、賬號(hào)爆破等多種幾十種威脅類型,全面檢測已知和未知的攻擊和威脅。同時(shí)能將安全運(yùn)營人員的處置記錄作為反饋信息,利用機(jī)器學(xué)習(xí)算法持續(xù)優(yōu)化、自適應(yīng)更新檢測算法,打造專屬該企業(yè)的檢測引擎系統(tǒng),有針對性地加強(qiáng)企業(yè)檢測能力。

  未來,微步在線還會(huì)推出更式基于XDR思想的安全產(chǎn)品和解決方案,加速向國內(nèi)平臺(tái)化SaaS安全公司轉(zhuǎn)變。

  記者:相較市面產(chǎn)品,微步在線的OneEDR產(chǎn)品具備哪些優(yōu)勢?

  薛鋒:OneEDR的優(yōu)勢體現(xiàn)為檢測能力強(qiáng)、可視化效果好、占用戶資源少等三個(gè)方面。

  OneEDR具備全面的檢測能力?;谖⒉皆诰€專業(yè)威脅情報(bào)、啟發(fā)式的漏洞、木馬行為特征檢測、文件靜態(tài)和動(dòng)態(tài)監(jiān)測、基于AI的終端行為數(shù)據(jù)異常分析模型等機(jī)制,微步在線OneEDR全面檢測Webshell、反彈Shell、木馬后門、主機(jī)提權(quán)、僵尸網(wǎng)絡(luò)、挖礦威脅、勒索病毒、虛假內(nèi)核、遠(yuǎn)控工具、惡意環(huán)境變量、漏洞利用、惡意進(jìn)程、賬號(hào)爆破等多種幾十種威脅類型,全面檢測已知和未知的攻擊和威脅。同時(shí),OneEDR能夠?qū)⑺袉吸c(diǎn)檢測告警進(jìn)行關(guān)聯(lián),生成攻擊事件,并對一次攻擊事件進(jìn)行全鏈路取證,明確黑客攻擊鏈路方才告警,做到極少誤報(bào)。

  OneEDR能夠以可視化的方式清晰展現(xiàn)安全事件的來龍去脈,幫助分析人員快速掌握當(dāng)前攻擊狀態(tài)與手法。首先,OneEDR能夠智能挖掘告警之間的關(guān)聯(lián)關(guān)系,自動(dòng)聚合多條告警,以“威脅事件”為維度顯示整體攻擊的上下文,對同一團(tuán)伙的告警進(jìn)行是識(shí)別和分類,幫助安全運(yùn)維人員在大量告警中更高效地理清安全事件的脈絡(luò),更有針對性地去處理安全事件。其次,在處理安全事件的過程中,OneEDR提供“事件圖”和“進(jìn)程鏈圖”,實(shí)現(xiàn)對安全事件的可視化,理清安全事件的來龍去脈,直觀展示安全事件涉及的用戶、主機(jī)、進(jìn)程、IP等實(shí)體的關(guān)聯(lián)關(guān)系,同時(shí)將每個(gè)告警和事件按照ATT&CK模型進(jìn)行映射。

  此外,OneEDR不斷收集用戶的處置反饋,學(xué)習(xí)誤報(bào)告警特征,不斷優(yōu)化機(jī)器學(xué)習(xí)算法,使其具備針對單一用戶環(huán)境的自適應(yīng)性,進(jìn)一步降低誤報(bào)?!霸谄髽I(yè)上云戰(zhàn)略和黑客專業(yè)化的大環(huán)境下, 主機(jī)安全已成為一個(gè)強(qiáng)對抗的領(lǐng)域。

  記者:隨著網(wǎng)絡(luò)安全市場的蓬勃發(fā)展,網(wǎng)絡(luò)安全企業(yè)受到資本的追捧,請您談?wù)勝Y本運(yùn)作在助推企業(yè)發(fā)展壯大過程中的影響。

  薛鋒:網(wǎng)絡(luò)安全產(chǎn)業(yè)具有一個(gè)顯著的特點(diǎn),產(chǎn)品研發(fā)和銷售的周期特別長。研發(fā)新技術(shù)和產(chǎn)品,通常需要兩三年以上的時(shí)間。銷售端也是如此,建一支銷售的力量渠道,也需要若干年的時(shí)間。雖然網(wǎng)絡(luò)安全并不是一個(gè)燒錢的行業(yè),但網(wǎng)絡(luò)安全企業(yè)想打好堅(jiān)實(shí)基礎(chǔ)發(fā)展更長遠(yuǎn)的話,前期就要做大量的投入,對于現(xiàn)金流的要求會(huì)更高。

  因此,不斷對外融資成為網(wǎng)絡(luò)安全企業(yè)必須要走的一條道路。

  截至目前,微步在線已經(jīng)經(jīng)歷了6輪融資,總的融資額度達(dá)到了10億元人民幣。最近的E輪5億元融資,由CPE源峰領(lǐng)投,老股東云暉資本等繼續(xù)跟投,是2021年開年以來到現(xiàn)在為止網(wǎng)絡(luò)安全行業(yè)中最大的一筆融資。

  2020年9月微步在線剛剛完成了3億元左右D輪融資,半年內(nèi)合計(jì)完成融資8億元。

  記者:我們看到這6輪融資的參與機(jī)構(gòu)有很多家,請請問微步在線在選擇投資方時(shí)有什么具體的要求和偏好嗎?

  薛鋒:說到投資方的選擇,錢多錢少不是考慮的重點(diǎn)。投資方首先是要認(rèn)同微步在線的發(fā)展理念,同時(shí)能夠提供強(qiáng)有力的資源來促進(jìn)企業(yè)的發(fā)展。投資方不會(huì)介入到公司的運(yùn)營里面去,只是在你需要什么幫助的時(shí)候,他們會(huì)看看是否能提供這個(gè)資源。像高瓴資本的投后就做得非常好,高瓴會(huì)特別注重在投完之后,看看你企業(yè)有什么樣的需求,從最基本的招人,包括一些其他方面的策劃,包括你的一些可能你需要的一些資源的協(xié)調(diào)等等。

  記者:微步在線接下來有沒有上市的日程表?

  薛鋒:暫時(shí)還沒有這樣的日程表。核心原因是因?yàn)槲覀冇X得這是一個(gè)長期過程,公司的文化建設(shè)和組織能力都還需要花一點(diǎn)時(shí)間,因?yàn)楣井吘沟浆F(xiàn)在還不滿6歲,所以我們可能在多花幾年時(shí)間做一些建設(shè)的工作,發(fā)展得更穩(wěn)一些。

  記者:作為創(chuàng)始人,您如何評價(jià)微步在線目前的行業(yè)地位和發(fā)展?fàn)顩r?

  薛鋒我們本輪的投資方CPE源峰這樣評價(jià)我們,”微步在線是安全云服務(wù)領(lǐng)域的領(lǐng)先企業(yè),基于其領(lǐng)先威脅情報(bào)能力,打造了全面的威脅發(fā)現(xiàn)和響應(yīng)產(chǎn)品體系,在網(wǎng)絡(luò)安全領(lǐng)域?qū)崿F(xiàn)了訂閱制的商業(yè)模式,從技術(shù)、產(chǎn)品和商業(yè)模式上看,都具有高度稀缺性,是中國非常優(yōu)秀的網(wǎng)絡(luò)安全企業(yè)。

  當(dāng)前微步在線公司規(guī)模近三百人,創(chuàng)始成員來自于亞馬遜、微軟、阿里巴巴、百度、美團(tuán)等公司。微步在線正在服務(wù)包括國家電網(wǎng)、中石油、工商銀行、招商銀行、OPPO、滴滴、京東、中信集團(tuán)、國家信息中心等來自能源、金融、智能制造、互聯(lián)網(wǎng)、政府等行業(yè)的三百余家大型政企客戶。

  隨著互聯(lián)網(wǎng)和云計(jì)算在我國各行各業(yè)生產(chǎn)和辦公環(huán)境中得到廣泛應(yīng)用,組織的信息安全面臨著邊界模糊、環(huán)境復(fù)雜、威脅多樣化等多方挑戰(zhàn)。

  因此,將云計(jì)算、大數(shù)據(jù)等技術(shù)與網(wǎng)絡(luò)安全行業(yè)進(jìn)行結(jié)合是必然趨勢,網(wǎng)絡(luò)安全公司需要把自身安全能力云化后賦能給企業(yè)客戶。

  微步在線正在走著一條正確的發(fā)展道路,迎來快速發(fā)展的機(jī)遇期。


此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。