自 9 月 1 日开始, 深信服 XDR 持续检测到该用户内网多个「Redis 数据库攻击成功」事件, 被控主机对其他 Redis 服务器进行扫描, 并横向扩散。
在回答这个问题之前, 先通过两张图对比一下。
可以看到, 深信服 XDR 直接将 1 个月内高达 8183 条单点告警信息, 转化为用户一眼就能看到完整故事链的 177 个安全事件, 平均每个工作日 8 个安全事件。用户不需要再花费大量时间精力, 从海量告警中分析出安全事件。
在这 177 个事件中, 以该科技公司感染 CoinMiner 挖矿病毒事件为例。
从 8183 条告警中精准还原 1 个挖矿事件故事线
深信服 XDR 用了哪些招式?
该用户原有部署了安全感知管理平台 SIP,8 月上线深信服 XDR 作为增值模块赋能 SIP。
招式 1:自 9 月 1 日开始, 深信服 XDR 持续检测到该用户内网多个「Redis 数据库攻击成功」事件, 被控主机对其他 Redis 服务器进行扫描, 并横向扩散。
招式 2:深信服 XDR 通过 IOA 行为检测引擎, 主动监控所有外来者进入终端后的行为, 并通过 SIP 与 EDR 网端联合溯源取证, 精准检测出恶意挖矿软件的威胁实体, 通过可视化故事线, 节省大部分人工研判、手动关联的时间成本。
招式 3:基于 XDR 威胁实体分析带来的能力, 用户仅需在页面上联动 EDR 即可完成病毒根除, 无须担心无法查杀/查杀不彻底等问题。如果用户不想手动操作,MDR 服务依托 XDR 的检测效果, 快速对受影响的资产溯源分析、查杀挖矿进程、清除恶意程序等, 完成响应闭环。
用户不再需要花成倍时间查看告警, 也无须担心发现事件后无法有效根除, 安全体验和效果瞬间提升。
揭秘:XDR 赋能 SIP,
安全体验和效果提升不止「亿」点点
此次受挖矿病毒攻击的用户属于科技型企业, 由于拥有多个自主创新核心技术, 用户高度重视实战化的安全防护, 之前已经部署安全感知管理平台 SIP。
然而, 随着外部攻击技战术日益升级, 只依赖流量侧 (N) 的检测效果存在局限性, 只能看到攻击者的攻击路径或痕迹, 无法通过主机侧 (E) 看清攻击者在终端上的最终恶意行为, 因此存在误报漏报, 安全效果仍有进一步提升空间。
同时, 一个完整的事件闭环分为缓解、遏制、根除、加固等几个阶段, 这高度依赖人员的能力和经验, 对精力和专业度都是巨大的挑战。
如何增强安全效果? 如何简化安全运营?
通过 XDR 赋能 SIP 升级为下一代态势感知,
一切迎刃而解。
除了接收 SIP 上报数据外, 深信服 XDR 补充接收终端安全管理系统 EDR 上报的遥测数据和终端安全日志, 网端两侧关联分析形成安全事件, 并结合云端专家服务提供威胁分析研判及狩猎能力, 进一步提升事件研判精准度。
担心查杀不彻底?
XDR 赋能 SIP, 增强检测能力
网端检测能力聚合、网端告警相互印证, 增强对攻击成功的发现和定性能力;对于反复出现或难以处置的安全事件, 网端定位问题根因, 还原攻击画像和攻击入口, 提升溯源取证能力。
担心误报漏报?
XDR 赋能 SIP, 提升告警精准性
平台对各类安全日志关联分析, 将告警聚合成安全事件, 有效削减告警近 90%, 降低误报漏报, 并针对已失陷主机和安全事件, 实现「一站式」联动处置。
担心闭环工作量大?
XDR 赋能 SIP, 结合 MDR 服务 7*24H 持续响应
深信服 XDR 对接托管检测与响应服务 MDR, 实现云地协同 7*24 小时持续监测, 平均 5 分钟响应、2 小时闭环、6 小时归档。一旦发现安全事件, 深信服 MDR 从监测、判断、调查到处置, 形成实时闭环, 减轻用户闭环工作量, 实现真正省心省力。
在保护原有安全投资的前提下,
基于 XDR 赋能,SIP 升级为下一代态势感知,
深信服希望以高效、高性价比的方式,
助力用户实战攻防领先一步。
一张图片, 简单总结这次挖矿病毒攻击事件
↓
深信服可扩展检测响应平台 XDR
1 个平台 XDR:通过网端一手数据采集, 结合网端聚合分析引擎, 实现攻击链深度溯源, 检测能力更全面, 事件响应更精准。
N 个组件:协同下一代防火墙、SOAR、EDR 等产品, 让安全运营化繁为简。
专属服务:结合托管检测与响应服务 MDR, 原厂专家云地协同,7*24 小时持续响应, 释放运营精力。
来源:互联网
