《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 高端訪談 > 專注威脅檢測分析開啟邁向XDR新征程

專注威脅檢測分析開啟邁向XDR新征程

——專訪北京微步在線科技有限公司創(chuàng)始人薛鋒
2021-04-12
作者:于寅虎
來源:電子技術(shù)應用
關鍵詞: 微步在線 薛鋒 OneEDR XDR

 微信圖片_20210412152250.jpg

    編者按:日前,,微步在線宣布完成E輪5億人民幣融資,,同時正式發(fā)布主機威脅檢測響應產(chǎn)品OneEDR,從而拉開了企業(yè)向XDR目標邁進的序幕,。疊加旗下基于網(wǎng)絡流量檢測的威脅感知平臺TDP、互聯(lián)網(wǎng)安全接入服務OneDNS,、本地多源威脅情報管理平臺TIP,,共同構(gòu)成微步在線的“云+流量+端點”威脅檢測響應產(chǎn)品矩陣,。為了更進一步了解微步在線企業(yè)發(fā)展戰(zhàn)略和產(chǎn)品路線,筆者專訪了北京微步在線科技有限公司創(chuàng)始人薛鋒先生,。

  記者:近兩來,,XDR成為各大網(wǎng)絡安全公司競相追逐的新技術(shù),請您詳細介紹下XDR的核心理念以及發(fā)展趨勢,。

  薛鋒:XDR是Gartner在2020年的《Top Security and Risk Management Trends》調(diào)研報告中提到的一項新技術(shù)和解決方案,。XDR在Gartner的定義是:SaaS類型的安全威脅檢測和響應平臺,集成了大量的產(chǎn)品,,并統(tǒng)一了相關license收費,,具體產(chǎn)品功能視廠商而有所不同。

  XDR產(chǎn)品主要有三大價值:1.直接集成安全產(chǎn)品開箱即用,;2.有統(tǒng)一的安全數(shù)據(jù)歸一化和中心化可供分析和查詢,;3.由于有多種產(chǎn)品的配合和協(xié)調(diào),因此可以改進檢測的敏感性,;4.多產(chǎn)品聯(lián)動處理改變單一產(chǎn)品的響應過程,。

  記者:貴公司宣布向XDR供應商轉(zhuǎn)型,請您具體介紹在這方面取得在成果和未來計劃,。

  薛鋒:一般情況下,,XDR需要包括的安全產(chǎn)品有EDR、NTA/NDR,、UBA,、蜜罐等,某些安全廠商會把SIEM和SOAR也囊括在XDR的范圍內(nèi),。本次微步在線推出終端檢測響應產(chǎn)品OneEDR,,是微步在線邁向XDR的一大步。

  作為中國新興網(wǎng)絡安全公司中的領軍企業(yè),,微步在線長期,、持續(xù)專注于威脅檢測領域,威脅情報和威脅檢測分析能力是我們的長項,,也基于此,,我們研發(fā)了流量和終端的云+流量+端點”全方位威脅檢測響應產(chǎn)品矩陣,幫助企業(yè)建立全方位的威脅監(jiān)控體系,,持續(xù)為客戶提供專業(yè)的技術(shù),、產(chǎn)品和服務。

  得益于微步在線在威脅發(fā)現(xiàn)領域多年的技術(shù)積累,,OneEDR的入侵檢測能力已經(jīng)比較完善,,具有業(yè)界領先水平。其創(chuàng)新的入侵鏈路可視化技術(shù)提供了威脅溯源能力,結(jié)合一鍵處置,,能夠做到快速響應。同時,,OneEDR也搭載了微步在線的網(wǎng)絡威脅情報模塊,、具備自適應的機器學習能力、支持日志調(diào)查自定義檢索,、多視角可視化跟蹤主機入侵過程,,并且自動化聚合攻擊事件完整鏈路。

  目前OneEDR能夠全面檢測Webshell,、反彈Shell,、木馬后門、主機提權(quán),、僵尸網(wǎng)絡,、挖礦威脅、勒索病毒,、虛假內(nèi)核,、遠控工具、惡意環(huán)境變量,、漏洞利用,、惡意進程、賬號爆破等多種幾十種威脅類型,,全面檢測已知和未知的攻擊和威脅,。同時能將安全運營人員的處置記錄作為反饋信息,利用機器學習算法持續(xù)優(yōu)化,、自適應更新檢測算法,,打造專屬該企業(yè)的檢測引擎系統(tǒng),有針對性地加強企業(yè)檢測能力,。

  未來,,微步在線還會推出更式基于XDR思想的安全產(chǎn)品和解決方案,加速向國內(nèi)平臺化SaaS安全公司轉(zhuǎn)變,。

  記者:相較市面產(chǎn)品,,微步在線的OneEDR產(chǎn)品具備哪些優(yōu)勢?

  薛鋒:OneEDR的優(yōu)勢體現(xiàn)為檢測能力強,、可視化效果好,、占用戶資源少等三個方面。

  OneEDR具備全面的檢測能力,?;谖⒉皆诰€專業(yè)威脅情報、啟發(fā)式的漏洞、木馬行為特征檢測,、文件靜態(tài)和動態(tài)監(jiān)測,、基于AI的終端行為數(shù)據(jù)異常分析模型等機制,微步在線OneEDR全面檢測Webshell,、反彈Shell,、木馬后門、主機提權(quán),、僵尸網(wǎng)絡,、挖礦威脅、勒索病毒,、虛假內(nèi)核,、遠控工具、惡意環(huán)境變量,、漏洞利用,、惡意進程、賬號爆破等多種幾十種威脅類型,,全面檢測已知和未知的攻擊和威脅,。同時,OneEDR能夠?qū)⑺袉吸c檢測告警進行關聯(lián),,生成攻擊事件,,并對一次攻擊事件進行全鏈路取證,明確黑客攻擊鏈路方才告警,,做到極少誤報,。

  OneEDR能夠以可視化的方式清晰展現(xiàn)安全事件的來龍去脈,幫助分析人員快速掌握當前攻擊狀態(tài)與手法,。首先,,OneEDR能夠智能挖掘告警之間的關聯(lián)關系,自動聚合多條告警,,以“威脅事件”為維度顯示整體攻擊的上下文,,對同一團伙的告警進行是識別和分類,幫助安全運維人員在大量告警中更高效地理清安全事件的脈絡,,更有針對性地去處理安全事件,。其次,在處理安全事件的過程中,,OneEDR提供“事件圖”和“進程鏈圖”,,實現(xiàn)對安全事件的可視化,理清安全事件的來龍去脈,,直觀展示安全事件涉及的用戶,、主機,、進程、IP等實體的關聯(lián)關系,,同時將每個告警和事件按照ATT&CK模型進行映射,。

  此外,OneEDR不斷收集用戶的處置反饋,,學習誤報告警特征,,不斷優(yōu)化機器學習算法,使其具備針對單一用戶環(huán)境的自適應性,,進一步降低誤報?!霸谄髽I(yè)上云戰(zhàn)略和黑客專業(yè)化的大環(huán)境下,, 主機安全已成為一個強對抗的領域。

  記者:隨著網(wǎng)絡安全市場的蓬勃發(fā)展,,網(wǎng)絡安全企業(yè)受到資本的追捧,,請您談談資本運作在助推企業(yè)發(fā)展壯大過程中的影響。

  薛鋒:網(wǎng)絡安全產(chǎn)業(yè)具有一個顯著的特點,,產(chǎn)品研發(fā)和銷售的周期特別長,。研發(fā)新技術(shù)和產(chǎn)品,通常需要兩三年以上的時間,。銷售端也是如此,,建一支銷售的力量渠道,也需要若干年的時間,。雖然網(wǎng)絡安全并不是一個燒錢的行業(yè),,但網(wǎng)絡安全企業(yè)想打好堅實基礎發(fā)展更長遠的話,前期就要做大量的投入,,對于現(xiàn)金流的要求會更高,。

  因此,不斷對外融資成為網(wǎng)絡安全企業(yè)必須要走的一條道路,。

  截至目前,,微步在線已經(jīng)經(jīng)歷了6輪融資,總的融資額度達到了10億元人民幣,。最近的E輪5億元融資,,由CPE源峰領投,老股東云暉資本等繼續(xù)跟投,,是2021年開年以來到現(xiàn)在為止網(wǎng)絡安全行業(yè)中最大的一筆融資,。

  2020年9月微步在線剛剛完成了3億元左右D輪融資,半年內(nèi)合計完成融資8億元,。

  記者:我們看到這6輪融資的參與機構(gòu)有很多家,,請請問微步在線在選擇投資方時有什么具體的要求和偏好嗎,?

  薛鋒:說到投資方的選擇,錢多錢少不是考慮的重點,。投資方首先是要認同微步在線的發(fā)展理念,,同時能夠提供強有力的資源來促進企業(yè)的發(fā)展。投資方不會介入到公司的運營里面去,,只是在你需要什么幫助的時候,,他們會看看是否能提供這個資源。像高瓴資本的投后就做得非常好,,高瓴會特別注重在投完之后,,看看你企業(yè)有什么樣的需求,從最基本的招人,,包括一些其他方面的策劃,,包括你的一些可能你需要的一些資源的協(xié)調(diào)等等。

  記者:微步在線接下來有沒有上市的日程表,?

  薛鋒:暫時還沒有這樣的日程表,。核心原因是因為我們覺得這是一個長期過程,公司的文化建設和組織能力都還需要花一點時間,,因為公司畢竟到現(xiàn)在還不滿6歲,,所以我們可能在多花幾年時間做一些建設的工作,發(fā)展得更穩(wěn)一些,。

  記者:作為創(chuàng)始人,,您如何評價微步在線目前的行業(yè)地位和發(fā)展狀況?

  薛鋒我們本輪的投資方CPE源峰這樣評價我們,,”微步在線是安全云服務領域的領先企業(yè),,基于其領先威脅情報能力,打造了全面的威脅發(fā)現(xiàn)和響應產(chǎn)品體系,,在網(wǎng)絡安全領域?qū)崿F(xiàn)了訂閱制的商業(yè)模式,,從技術(shù)、產(chǎn)品和商業(yè)模式上看,,都具有高度稀缺性,,是中國非常優(yōu)秀的網(wǎng)絡安全企業(yè)。

  當前微步在線公司規(guī)模近三百人,,創(chuàng)始成員來自于亞馬遜,、微軟、阿里巴巴,、百度,、美團等公司。微步在線正在服務包括國家電網(wǎng),、中石油,、工商銀行,、招商銀行、OPPO,、滴滴,、京東、中信集團,、國家信息中心等來自能源,、金融、智能制造,、互聯(lián)網(wǎng),、政府等行業(yè)的三百余家大型政企客戶。

  隨著互聯(lián)網(wǎng)和云計算在我國各行各業(yè)生產(chǎn)和辦公環(huán)境中得到廣泛應用,,組織的信息安全面臨著邊界模糊,、環(huán)境復雜、威脅多樣化等多方挑戰(zhàn),。

  因此,,將云計算,、大數(shù)據(jù)等技術(shù)與網(wǎng)絡安全行業(yè)進行結(jié)合是必然趨勢,,網(wǎng)絡安全公司需要把自身安全能力云化后賦能給企業(yè)客戶。

  微步在線正在走著一條正確的發(fā)展道路,,迎來快速發(fā)展的機遇期,。


此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載,。