Mandiant的網(wǎng)絡(luò)防御峰會以兩款新的軟件即服務(wù)(SaaS)產(chǎn)品——主動式入侵和情報監(jiān)控,以及勒索軟件防御驗證——作為開幕產(chǎn)品,,Mandiant的名字也從FireEye(火眼)改為Mandiant,,該公司首席執(zhí)行官凱文·曼迪亞在開幕主題演講中稱其為“Mandiant part deux”(曼迪昂特回歸),。新產(chǎn)品強調(diào)了該公司多年來沉淀的豐富知識和智慧的重要性,以及網(wǎng)絡(luò)安全控制措施的有效性和高效性,。隨著火眼產(chǎn)品業(yè)務(wù)的出售,,曼迪昂特重新聚焦以威脅情報和安全響應(yīng)專業(yè)領(lǐng)域。
曼迪亞說,,去年對于CISO來說是艱難的一年,。他在演講中補充道:“我記得自己當時想,今年(2020年)是首席信息安全官最艱難的一年,?!薄暗?021年同樣困難?!被鹧墼?020年底遭遇了一次網(wǎng)絡(luò)入侵,,當時俄羅斯政府支持的黑客在SolarWinds的軟件更新中插入了惡意代碼。他說,,這種類型的“植入”威脅,,即攻擊者在軟件構(gòu)建過程中植入惡意代碼,仍然是CISO最擔心的三大問題,?!八裕拙€是,,供應(yīng)鏈攻擊是公平的游戲,。你還會再見到他們,,因為他們是網(wǎng)絡(luò)間諜的目標?!?/p>
曼迪亞認為,,零日攻擊和勒索軟件構(gòu)成了當今另外兩大威脅。他補充說:“我們在2021年看到的零日比過去兩年加起來還要多,?!?019年,曼迪昂特記錄了32次野外零日攻擊,。這些是從未見過的攻擊,,沒有可用的補丁來修復漏洞。到2020年,,這一數(shù)字略降至30次,。到2021年為止,曼迪昂特已記錄了64個零日漏洞,。
曼迪亞說:“有一個零日漏洞的地下市場,,你現(xiàn)在可以獲得的利潤是如此之高,以至于過去零日是國家的上帝,?!边@些民族國家的攻擊者“開發(fā)了它們,或者購買了它們,,然后使用它們”?,F(xiàn)在,我們看到越來越多的犯罪活動使用零日攻擊,,因為他們可以從這些攻擊中賺到大量的金錢,。
當然,勒索軟件是犯罪團伙牟取暴利的另一種攻擊手段,?!斑@是董事會的頭號話題,”曼迪亞說,?!斑@正在改變我們業(yè)務(wù)的方式,但坦率地說,,這意味著:不要成為組織中容易摘到的果實,。想辦法增強你的安全感?!?/p>
從Mandiant到FireEye再到Mandiant
除了在華盛頓舉辦網(wǎng)絡(luò)防御峰會,,并于本周發(fā)布了兩款SaaS產(chǎn)品外,Mandiant還完成了名稱更改,。
FireEye最初在2014年以大約10億美元的價格收購了Mandiant,,隨后將Mandiant的創(chuàng)始人曼迪婭提拔為首席執(zhí)行官,。火眼公司更名為Mandiant是將其產(chǎn)品業(yè)務(wù)出售給私募股權(quán)公司Symphony Technology Group的結(jié)果,。
今年6月,,F(xiàn)ireEye表示將以12億美元的價格將其產(chǎn)品業(yè)務(wù)出售給STG,并將其Mandiant威脅情報和事件響應(yīng)部門重新整合為一家獨立公司,。
在收購FireEye產(chǎn)品業(yè)務(wù)的幾個月前,,STG斥資40億美元收購了McAfee的企業(yè)安全業(yè)務(wù)。去年,,STG又以略高于20億美元的價格從戴爾技術(shù)公司(Dell Technologies)手中收購了安全供應(yīng)商RSA,。
首席產(chǎn)品官Chris.Key表示,更名為Mandiant意義重大,,因為它將重點放在了公司在網(wǎng)絡(luò)安全前線的工作上,。他補充說,Mandiant每年要花20多萬個小時來應(yīng)對入侵,?!按蠹s每兩個月進行一次IR。這讓我們對攻擊者現(xiàn)在正在做什么有了巨大的了解,,并掌握了如何防御攻擊的強大專業(yè)知識,。”
他說:“我們看到的是,,市場繼續(xù)在安全上花更多的錢,購買越來越多的控制措施,,投入越來越多的人員來解決這個問題,,但并沒有提高安全效率?!?/p>
Key說,,這是因為有效的安全不是基于在IT環(huán)境中部署的控制和產(chǎn)品。而是基于安全控制背后的專業(yè)知識和情報,。他還說,,大多數(shù)攻擊都是利用多年前的漏洞攻破組織。
“如果我們看看像SolarWinds這樣的廣泛的供應(yīng)鏈攻擊:每一個主要控制供應(yīng)商的產(chǎn)品都牽涉其中,,但仍然有18000個客戶得到了SolarWinds能夠利用的糟糕的二進制文件,,”Key說?!案鶕?jù)我們的專業(yè)知識和追蹤能力,,只有一個團隊能夠發(fā)現(xiàn)(漏洞)。如果我們能擴大這種專業(yè)知識和智慧,,我們就能讓這個行業(yè)變得更有效,?!?/p>
這就是為什么Mandiant推出了XDR平臺,并希望成為一家獨立的公司:“不是通過專注于控制,,而是通過使這些控制更有效,、更高效,來應(yīng)對這些挑戰(zhàn),,”他說,。
勒索軟件防御驗證
Mandiant本周推出的一款新的軟件即服務(wù)(SaaS)產(chǎn)品直接應(yīng)對勒索軟件的威脅。這款產(chǎn)品的設(shè)計都是為了支持Mandiant的多供應(yīng)商擴展檢測和響應(yīng)(XDR)平臺,,該平臺被稱為Mandiant Advantage,,將于2022年初全面投入使用。
勒索軟件防御驗證允許組織測試他們針對流行勒索軟件的安全控制,,確定他們?nèi)菀资艿侥男┕?,然后在防御中修復的這些缺陷,這樣他們就不會受到攻擊,。它是由Mandiant對活躍勒索軟件組織的威脅情報提供的,。
“我們維護并上這些勒索組織的一個大數(shù)據(jù)庫,它的不斷更新,,基于我們在勒索事件響應(yīng)中看到信息,,”首席產(chǎn)品官Chris.Key在接受采訪時表示,他補充說,,這是一個動態(tài)的威脅評估,。
他解釋說:“在我們與客戶合作的過程中,測試的內(nèi)容會根據(jù)客戶的資料和我們所看到的最活躍的威脅而改變,?!?/p>
該產(chǎn)品為客戶提供了針對勒索軟件的主動保護,而不是等待Mandiant或其他事故響應(yīng)團隊在攻擊后進行清理,。Key說,,它的獨特之處在于,它為組織機構(gòu)提供了他們沒有受到保護的勒索軟件菌株的量化信息,。
“市場上大多數(shù)安全控制供應(yīng)商的產(chǎn)品都會說他們正在保護客戶免受勒索軟件的侵害,,但他們沒有提供任何可量化的信息,”他說,?!按送猓诖蠖鄶?shù)情況下,,我們在客戶遭到破壞并發(fā)生勒索軟件事件后進入他們的環(huán)境,,他們擁有他們認為可以保護他們的控制措施,但這些控制措施沒有正確設(shè)置或只是沒有能力,。因此,,您可以從未量化安全性的控制供應(yīng)商那里獲得錯誤的安全感,。”
勒索軟件防御驗證使用真實的勒索軟件測試組織的安全控制,,“因此我們可以 100% 肯定地告訴您,,當該勒索軟件發(fā)生時,您的環(huán)境會做什么,,以及您的控制是否檢測到并阻止了它,,”Key 說。
隨著勒索軟件攻擊的增加,,組織的安全態(tài)勢已轉(zhuǎn)移到董事會級別的討論中,。Key補充說,CISO 需要能夠回答在Darkside或REvil勒索軟件攻擊事件中企業(yè)會發(fā)生什么,。
通常,,答案是:“我們認為我們會沒事的。我們買了很多安全產(chǎn)品,,”他說,。然而,Mandiant 的新型勒索軟件預(yù)防產(chǎn)品“是關(guān)于將要發(fā)生的事情的經(jīng)驗數(shù)據(jù),?!?/p>
主動的入侵和情報監(jiān)控
Mandiant的第二款新產(chǎn)品“主動的入侵和情報監(jiān)控”(Active Breach and Intel Monitoring)可以識別組織IT環(huán)境中的相關(guān)泄露指標(IOC)。這是基于Mandiant全球事件響應(yīng)團隊的入侵調(diào)查和威脅情報研究的實時信息,。
使用這些數(shù)據(jù),,安全模塊搜索客戶的數(shù)據(jù),查找30天前的IOC指標,。它使用基于數(shù)據(jù)科學的評分和相關(guān)因素(如行程方向和IOC類型)對IOC匹配進行優(yōu)先排序,,以便安全團隊能夠更有效地應(yīng)對高優(yōu)先級的威脅。
客戶看到關(guān)于SolarWinds入侵或Colonial Pipeline勒索軟件攻擊的頭條新聞,,“客戶經(jīng)常聽到的一件事是:我們?nèi)绾沃廊肭质欠癜l(fā)生在我們的環(huán)境中?”而主動式入侵和情報監(jiān)控所做的是將客戶的安全數(shù)據(jù)與我們的事故應(yīng)急人員在前線發(fā)現(xiàn)的數(shù)據(jù)聯(lián)系起來,?!?/p>
值得注意的是,Mandiant事件響應(yīng)團隊對Colonial Pipeline和SolarWinds都做出了回應(yīng),,而其威脅追蹤者最初發(fā)現(xiàn)了SolarWinds的漏洞,。
