多维防御,智能响应:启明星辰XDR“前哨”方案以四大特色引领安全运营新趋势

发布时间 2024-05-21
数字化转型背景下,企业对网络安全的重视程度不断提高,XDR技术已成为综合性威胁检测与响应解决方案的一种关键技术。启明星辰XDR“前哨”方案(以下简称为“CSA-XDR”)通过深度应用XDR技术,不仅内置高性能原生安全组件,且可扩展第三方安全工具,将平台化+AI+自动化作为核心能力,在AI驱动和人工增强下,形成了预防、防护、检测和响应的自动闭环,目前已为多个政企机构客户提供了有效的合规和实战性安全运营建设方案,为用户安全运营场景保驾护航。


壹 安全运营的“前哨”


何为“前哨”?百度百科解释为“从主力部队派往某处的兵站、宿营地或作战地点以防止敌人的侦察或偷袭的防卫支队”,“可指支队岗哨或警戒站”,“在一些文学作品中也可指第一线”。


如何理解安全运营的“前哨”呢?国外安全运营的主流模式是SECaaS托管运营,允许安全数据离开本地网络,远程接入到服务商的远程安全托管运营中心,由运营团队实施远程管理。国内的远程托管更倾向于本地部署,运营人员通过专有可信通道接入到地端平台进行远程管理。


CSA-XDR基于其轻量化、可快速部署的特性,针对国内外运营场景提供了灵活可扩展的XDR解决方案,就成为了安全运营工作的第一线,即安全运营“前哨”。



在允许数据离场的安全运营场景中,作为“前哨”,CSA-XDR定位为本地的聚合、分析、转发系统;在数据不离场的安全运营场景中,CSA-XDR作为安全运营的分析、处置、流程管理系统;在云端多租户运营场景中,CSA-XDR作为支撑安全托管运营的必要组件之一。


此外,在一些行业级运营场景下,基于行业特点和不同监管要求,CSA-XDR适用于二级单位的地端平台配合一级单位构建适合该行业特定环境的安全运营体系。


贰 四大特色,全面守护


1、提供多云、云地混合网络场景环境下的威胁可见性方案


随着企业组织越来越多地采用云化部署,甚至是多云部署、云地混合网络场景部署,对跨环境的、全面的统一视图可见性的需求愈加迫切。在数据源上,CSA-XDR支持收编更多种类的网络设备、安全设备、终端、云工作负载,甚至到应用层API数据,使用跨数据分析能力提升调查分析效果;在检测分析能力上,可使用各类设备的日志、告警、流量等数据,支持更多维度的关联、检测、管理、配置能力,并和其他的单品工具集成配合;在自动化IT流程和处置闭环上,深度整合预置的原生组件,也可对接第三方安全工具,与客户现有部署环境下的安全工具建立连接,CSA-XDR本地分析引擎以AI为驱动,借助可组装、元数据驱动架构实现云端数据中心的模型快速更新,从而应对多变的攻击技术。


CSA-XDR作为一个开放式的中央管理平台,充分考虑了多云适配、多云部署、云地部署场景差异性,通过集成网络、终端、云和第三方数据形成多数据源洞察。


2、提供大小模型联动的AI增强型方案


随着当前自动化安全运营助手中AI技术的应用,特别是大型运营模型(LLM)特性的出现,快速触发了CSA-XDR的AI增强特性,AI增强可以提升多数据源的关联识别以及异常检测效果,一方面提供告警优先级排序,另一方面有助于预测潜在的威胁以及增强检测能力,从而帮助企业组织采取更加主动的防护策略。


AI增强还可以应用于CSA-XDR的IR流程,通过AI助手能力简化安全事件响应工作流的用户界面操作,极大提升产品自动化和易用性能力。


3、提供多种安全产品能力剧本编排,策略联动方案


安全事件处置的最后一公里往往是艰难的,由于不同行业、不同企业业务的不同,致使在自动化调查和闭环响应方面定制化的接口必不可少。领先的企业和组织会更加注重安全编排与自动化响应,将其视为提升网络弹性的关键技术和优先方案,从而实现更快的响应,更短的修复时间。


CSA-XDR内置了多种跨厂商、跨类型的安全设备、办公工具协同的应用剧本以及一键封堵动作策略,聚合后的告警可导入剧本编排流程,通过剧本编排不同安全事件的调查、取证、人工确认等算子能力接口,快速完成各类型安全事件的处理,同时针对可自动化防御的告警类型,可启用开箱即用的应用动作阻断或遏制攻击行为,达成自动响应能力。


4、提供多行业场景的安全威胁监控管理方案


根据行业特点和监管要求的不同,不同行业核心客户群体的监测重点不同,需要构建特定的威胁监管方案,政府行业数据涉及国家安全和公共利益,因此要确保门户网站的安全监测以及数据流转在安全的网络内;教育行业作为挖矿木马高发区,需要关注内网的病毒扩散;金融机构关注金融业务交易中的风险与威胁;医疗卫生行业关注业务连续性,敏感数据保护等。


因此,CSA-XDR内置典型、高频的恶意程序类、安全漏洞、暴力破解、外联通信、挖矿等专项场景,同时具备低代码行为分析引擎,针对新专项场景,可以先动态增加元数据字段,然后通过SQL操作新的场景字段,最后通过页面拖拉拽仪表盘方式快速构建新的场景页面,极大地扩展了场景的扩展能力。


叁 实战驱动的智能安全分析与自动化响应平台


启明星辰泰合CSA-XDR方案综合了XDR技术理念和泰合盘古元数据驱动设计理念,融合安全告警、流量日志、终端数据等丰富的数据源,多种安全分析引擎联合驱动,支持AI模型特性字段提取,具备“集中建模-分布式应用”的AI模型高效协同应用模式,内置数十种开箱即用的实战化分析场景,且支持分析场景低代码快速构建,并配置自动化编排与响应能力,可联动几十种类型的安全设备,实现安全事件从多源数据采集、分析到响应的高效自动化闭环,从而构建出一体化、智能化、开箱即用的平台。



在XDR建模能力方面,CSA-XDR方案在组装式架构的基础上,创新性引入了实战特性的场景分析功能,系统目前已内置了20多个场景。



肆 未来展望:AI大模型助力CSA-XDR安全专项场景扩展


随着AI大模型能力的落地,CSA-XDR的场景化分析技术将与人工智能大语言模型相结合,通过自然语言问答,完成安全专题场景分析探索。基于用户的行业化或合规要求,按照客户的问答方式,推荐自定义场景所需的基础数据(资产,脆弱性,情报,攻击行为等)的数据库表和字段,并推荐生成的SQL语句用于自动化生成运维场景仪表盘,即帮助客户快速创建符合自身业务需求的安全可视化场景。


XDR中的X代表着安全能力的持续性扩展,它整合了先进的安全数据中台技术、自动化编排技术,并融合了安全降噪、溯源分析和威胁狩猎等前沿技术,构建起一个全面应对各种已知和未知安全威胁的综合解决方案。


启明星辰XDR方案着眼于未来,紧密围绕用户多样化的安全运营需求,持续提供可迭代、可扩展的安全运营“前哨”方案,并致力于不断优化,以实现最优的安全防护效果。