企业安全运营工作是一个非常大的挑战。在2020CTIC网络安全分析与情报大会上,滴滴安全部负责人秦波表示,威胁情报是滴滴与外部专业能力的重要桥梁,可以让滴滴更好地提升安全检测能力。 滴滴的威胁情报实践 秦波介绍,滴滴的安全挑战非常大,这体现在其业务的特殊性上。攻击者会通过某种手段进行干扰破坏以直接获取利益,或者对平台的公平性造成损害。损害。一方面,需要保护用户数据,比如保护乘客的出行轨迹等个人数据不被使用。另一方面,也要防止司机作弊,比如防止不具备接单资格的司机非法抢单,影响平台的公平性,造成经济损失。 除了出行业务,滴滴在物联网设备方面也面临着安全问题,比如青桔单车、无人车、充电桩,以及一些智能交通设施。这些设备可能会受到物理手段或近源性的攻击,从而对业务造成损害,也会损害用户的利益,并可能对社会的基础设施造成破坏。 滴滴的安全技术团队大约有四五百人的规模。虽然安全方面的投入巨大,但还是感觉不够。秦博说:“如果我们完全靠自己来识别这些威胁,那将是有所欠缺的,因为我们无法把所有流行的攻击方式、IP、恶意文件都识别出来。微步在线是一项专业的服务,并将其引入滴滴可以帮助我们提供外部能力。”很多时候滴滴的网络安全建设依赖于自研技术,但在威胁情报方面,则使用了微步在线提供的威胁情报服务。 秦波介绍,滴滴采用了微步在线的威胁情报API数据服务,可以帮助滴滴更快识别检测到的可疑IP、恶意文件、攻击方式等,可以帮助滴滴更好地识别问题,提高安全检测能力。 在秦波看来,智能的作用不仅在于他表示,在攻击发生前,利用智能发现企业暴露在互联网上的资产漏洞,并快速检测、修复、加固;在攻击过程中,智能作为重要的检测手段,可以最终发现每一次攻击,全程真实、有效、快速。 微博在线最知名的威胁情报。gence数据非常全面、准确、内容丰富。所谓威胁情报,可以帮助企业用户识别各种网络威胁,包括识别攻击方式、识别IP、识别恶意文件、识别黑客组织等。引入威胁情报就是聘请安全的举报人。 滴滴非常看重微步在线技术服务的先进性,也看到了这项服务对滴滴安全能力的价值。用户有更强的安全感。 基于威胁情报的检测与响应 滴滴对威胁情报的运用体现了大型互联网公司的行业特点。除了提供威胁情报,微步在线在安全技术解决方案层面还有更多解决方案,让企业享受威胁检测和响应带来的安全感。 在2020CTIC网络安全分析与情报大会上,微步技术合伙人赵琳琳表示,目前很多企业还在使用传统的IDS(入侵检测系统)来检测网络威胁。赵琳琳 ,微步在线技术合伙人在实际应用中,IDS往往会产生上千条海量告警,误报率高,让安全人员非常头疼。因此,他们选择忽略IDS。用户之所以最终决定彻底放弃IDS,是因为基于规则的IDS告警策略是一种过时的技术,可能检测不到真正的威胁,响应能力弱。如今,IDS已经开始被边缘化,IDS在一些行业法规中也开始被忽视,比如关于保险担保评估的法规。 赵琳琳认为,作为新一代的流量检测技术,NDR(NetworkDetectionandResponse——网络检测与响应)将取代传统的IDS,成为未来企业安全运营能力的标配。与IDS相比,NDR在威胁检测有效性、检测范围、检测复杂度等方面要强很多;在威胁响应方面,NDR将响应提升到与检测相同的高度。换句话说,NDR可以发现问题并解决问题。 基于NDR理念,微步在线推出重磅产品——TDP(ThreatenDetectionPlatform-ThreatPerceptionPlatform),帮助企业进行从问题发现到问题解决的闭环安全运营。通过TDP,安全运营商不仅可以发现新型网络威胁,还可以从网络威胁背后分析攻击者的战术、技术、攻击过程,对攻击者进行画像,从而做出准确有效的应对. 赵琳琳强调,TDP是一个可以使用的安全解决方案。它可以执行检测和响应。两种能力的结合最终可以为企业网络安全运营带来安全感。这种安全感主要是指能够提供检查安全状态的能力。从入侵的那一刻起,检测和响应能力就开始发挥作用。它允许用户查看哪些设备被黑客入侵,漏洞在哪里,以及哪些设备被黑客入侵。谁入侵了,入侵者做了什么具体操作,是否做了自动处理等信息。 由于TDP源自微博在线强大的威胁情报能力,其产品成熟度也高于国内大部分同类产品。微布在线在TDP项目中的一些具体做法经常被模仿,而且有一直被模仿,永远被超越的趋势。 微布上线给企业带来安全感 除了产品分析,在会后的采访中,赵琳琳还分享了一些在互联网行业的应用案例,例如: 一井-已知互联网一家信息公司在日常安全操作中发现一台服务器被黑。起初,用户并没有太在意,以为只是少数服务器被黑了。然而,当部署规模扩大后,用户惊讶地发现被黑的范围其实非常大,这才开始意识到自己的系统并没有想象中那么安全。 试用了微步的在线TDP平台后,公司安全运营人员可以清楚的看到黑客访问了哪些目录的数据,哪些数据被窃取,有多少数据被盗用,甚至可以追溯黑客的来源什么组带走,很多细节都展现的一清二楚,这在以前是不敢想象的。 也有一些互联网公司对微布在线TDP平台的安全状态可视化能力印象深刻。因为TDP可以按照时间线非常清晰的展示黑客攻击信息,让用户看到很多有价值的信息,从而更好的做出安全运营决策。 赵琳琳在采访中表示,在客户的实际测试中,微步在线的TDP平台有着非常出色的表现,能够准确呈现攻击信息,所以微步在线总能在众多厂商的竞争中胜出。 总的来说,面对新型网络威胁,检测和响应成为互联网企业安全的主攻方向。因此,通过将威胁情报引入安全建设,企业可以及时发现威胁并做出准确有效的应对。微步在线作为威胁检测与响应专家,通过云端和本地的综合监控,为企业的传统安全和业务安全赋予智能,从而帮助企业有效对抗新型攻击方式和未知威胁,让企业有充分的安全感。
