国舜XDR
所属单位:北京国舜科技股份有限公司
参与奖项:技术创新成果奖
评委评分:
热度 (转发微信朋友圈或群可以帮助增加热度)
微信扫码分享此评选

国舜XDR作为自动化安全运营平台,通过对收集到的各种安全事件进行深层的过滤、分析、统计、关联和存储,及时发现被管理资产的安全情况,定位安全风险,提供处理方法和建议,助力用户一站式、可视化、自动化地实现事前安全预防,事中事件监测与威胁检测,事后快速响应处置。

方案背景

XDR是指特定供应商提供的威胁检测和事件响应工具,这种工具统一将多个安全产品整合在一起,Gartner认为XDR解决方案将“提高检测准确性,并提高安全运营效率和生产率”。

XDR结合了NDR和EDR的优点,拥有端点检测和网络检测能力,将检测到的原始事件信息进行自动化关联,最终将这些零散的攻击信息,关联分析成浓缩的威胁事件。

方案目标

国舜XDR遵循“全面安全数据采集、高质量数据长期存储、充分利用信息价值、不断扩充场景”的原则,按照“安全数据集中存储、基于实践开发安全场景”的方式进行建设,定位于为企业提供安全威胁分析与预警能力,为企业提供“集中存储、不断扩充”的安全分析能力。

方案特点

01开放的异构生态

当前高级威胁的发现越来越难以通过单一的安全能力来实现,孤岛式的安全能力建设模式通过在终端、网络、云工作负载等不同的网络位置独立部署安全产品来进行威胁检测,每个安全产品只能看到局部的有限数据,对全局的安全可见性不足存在盲区。

在企业的使用场景下,往往采购了不同厂商的安全设备,国舜XDR方案在落地过程中,兼顾与第三方厂商安全设备的数据采集分析和联动响应能力,具备可扩展的接口开放性,支持联动WAF、IDS、HIDS、EDR、NDR等安全防护组件,关联各层面安全数据,打破安全数据孤岛。

02创新的自动研判处置技术

在过去的安全运营工作中,安全人员面对来源不同的海量告警日志,在不同的系统分析界面来回切换,花费大量时间在重复低效的工作中,告警分析研判工作压力极大。且面对日益升级的网络威胁,安全运营工作日益棘手,而安全运营人员需要较长时间的培训和经验积累才能胜任工作,这无疑是对安全运营工作效率和成本的挑战。

国舜XDR方案通过AI自动化引擎代替安全人员,实现自动化收集,融合终端、网络、设备数据。基于威胁场景通过人工智能技术,实现自动化分析研判、自动化误报识别,自动化定制处置方案,低漏报,低误报,能快速有效的处置威胁。同时通过SOAR编排技术,将安全运营专家在面对安全事件的处置方案与流程固化到系统中,削弱安全运营工作对人工团队的技术依赖性,降本增效。

03强大的溯源分析能力,还原真实的攻击场景

在日常安全运营工作中,企业面对庞大的业务,网络拓扑往往没那么简单。安全设备产生的告警中的受害资产IP并非资产真实IP,一般为虚拟IP。安全专家需要花费大量时间根据虚拟IP一层层查找出最终对应的真实IP,才能进一步对受害资产采取后续的应急响应工作,这无疑大大的拖慢了MTTR的效率;

目前国舜XDR通过VIP管理模块自动分析出网络拓扑结构,同时通过溯源引擎将资产、网络、告警、情报四大因素进行关联,对完整的攻击事件进行回溯,让客户清楚的看到攻击者通过何种方式侵入内网,如何横向移动,形成完整的攻击路径拓扑视图。

04国产化适配

为了满足不同客户的需求,推动国舜安全产品对国产化的支持,国舜XDR进行了持续的研发和国产化适配工作。

目前数据库已完成以下适配:达梦 、南大通、人大金仓、神舟通用;操作系统适配银河麒麟,CPU目前已适配飞腾;后续将持续进行国产化适配迭代工作。

方案业务流程图

实现功能展示

01在数据采集方面

国舜XDR拥有XDR产品的天然优势,全量采集安全要素,打破了安全运营的数据孤岛,优先收集和攻击行为有一定关联性的数据,并集成威胁情报能力,为已知和未知的威胁提供全面的有利线索。

02在威胁检测方面

国舜XDR利用SOAR技术提供威胁检测剧本,自动化威胁线索取证、自动化威胁研判,帮助用户更早、更准确地甄别攻击行为。通过机器学习模型分析出业务时间内更需要用户关注的告警,通过自动化误报检测技术大大减少误报,从而还原出需要安全人员急切关注的真实告警。利用可视化技术形成统一的监控大屏,方便安全人员的统一调度,站在了全局的角度分析业务网络中的未知威胁。

03在处置侧

国舜XDR提供全面的攻击类型处置剧本,并结合实际使用场景提供人工、实时、定时三大类别剧本,将安全专家的经验固化下来,通过平台自动生成处置方案,大大降低了MTTD和MTTR的时间。

04在观察侧

在日常的安全运营工作中,经常发生安全人员处置告警不彻底,攻击者在资产中遗留了后门程序,而安全人员在后续工作中,往往容易忽视这种情况,导致攻击者有可乘之机,最终造成用户资产遭受巨大损失。国舜XDR首创威胁跟踪观察模块,利用智能关联分析模型将已经发生的安全告警和后续发生的安全事件进行自动化分析,及时发现后续的异常行为,并立即产生告警,从而让攻击者无可乘之机。

方案案例及效果

为切实提高某银行信息安全的主动防御和动态防护能力,国舜XDR让企业的安全专家从繁重的重复劳动中释放出来,将事件应急响应的经验转化为剧本,将企业的安全运营流程数字化管理起来,每一次安全事件的对应处置过程都在统一标准,统一步骤下执行,有迹可循。避免人员能力的差距导致的处置实际效果不可控,极大程度的降低了MTTD(平均检测时间),能够更快更准确地检测出攻击和入侵。同时基于SOAR技术可以将处置过程编制成剧本,降低MTTR(平均响应时间),提升企业整体网络安全运营效率。

方案未来展望

方案辅助企业建设可持续迭代的安全运营体系,为网络安全运营中的每个环节提供标准化框架,降低运营门槛、提升运营效率、以事件反馈和促进企业网络安全的正向建设,不断提升企业网络安全纵深防御体系的可感、可知、可控、可反击网络安全能力。