當(dāng)前位置:首頁 >  科技 >  IT業(yè)界 >  正文

數(shù)世咨詢發(fā)布《HDR能力指南》:微步在線、安芯網(wǎng)盾成主機安全創(chuàng)新黑馬

 2022-11-08 18:10  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

日前,數(shù)世咨詢正式發(fā)布《主機檢測與響應(yīng)能力指南》報告,首次定義了HDR品類,總結(jié)出HDR應(yīng)具備包括Agent、安全視角的資產(chǎn)發(fā)現(xiàn)、安全檢測、安全響應(yīng)等四大關(guān)鍵能力,并從市場執(zhí)行力和應(yīng)用創(chuàng)新力兩個維度進行評估,制定了HDR能力點陣圖,梳理定位了來自11家廠商的主機安全類產(chǎn)品。其中,青藤云安全、奇安信在市場執(zhí)行力方面遙遙領(lǐng)先其他安全廠商,但在應(yīng)用創(chuàng)新力方面,微步在線與安芯網(wǎng)盾名列前三,已經(jīng)超過了HDR市場絕大部分主流玩家,成為HDR市場的創(chuàng)新“黑馬”。

據(jù)數(shù)世咨詢發(fā)布的數(shù)據(jù)顯示,相比于HDR在2020年的12.8億營收,2021年營收規(guī)模達到了21.56億,增長率高達68.44%,顯著高于2021年整個網(wǎng)絡(luò)安全行業(yè)18.6%的年復(fù)合增長率。盡管網(wǎng)絡(luò)安全行業(yè)增速整體放緩,但企業(yè)出于合規(guī)、安全技術(shù)驅(qū)動、提升安全運行效率及實戰(zhàn)攻防演練等旺盛需求,可預(yù)見的是,在未來2-3年,HDR細(xì)分市場仍將處于逆勢增長階段,年復(fù)合增長率顯著高于網(wǎng)絡(luò)安全行業(yè)其他細(xì)分市場。

什么是HDR?為何HDR需求旺盛?

HDR,Host Detection and Response,主機檢測與響應(yīng),是指以主機側(cè)為目標(biāo),以探針(Agent)為基礎(chǔ)技術(shù)手段,采集網(wǎng)絡(luò)、文件、進程等多種維度的數(shù)據(jù)并上傳至管理平臺,輔助威脅情報關(guān)聯(lián)分析后,以自動化策略或人工響應(yīng)處置安全事件的解決方案。

數(shù)世咨詢認(rèn)為,“主機安全”高增長的驅(qū)動因素主要有兩點:

● 新冠疫情加快了國內(nèi)云計算進程,主機安全作為伴生需求也隨之增長;

● 近年來持續(xù)的紅藍對抗實網(wǎng)攻防,對主機安全提供了有力的剛需支撐。

這些需求促使用戶對主機安全的接受度越來越高,同時,也不斷有新的能力“玩家”加入到這個細(xì)分領(lǐng)域。比如威脅情報是HDR的重要支撐技術(shù),微步在線憑借在威脅情報領(lǐng)域的優(yōu)勢進軍HDR市場;長亭科技則以紅隊技術(shù)聞名業(yè)內(nèi)進而殺入HDR領(lǐng)域;安芯網(wǎng)盾則從主機內(nèi)存安全檢測技術(shù)切入。盡管都初入“主機安全”領(lǐng)域,但在應(yīng)用創(chuàng)新力方面已經(jīng)趕上甚至超過這個領(lǐng)域的“主力玩家”,受限于用戶規(guī)模,在市場執(zhí)行力方面還有待加強。

據(jù)數(shù)世咨詢的調(diào)研,主機安全領(lǐng)域的用戶群體主要集中在金融、運營商、科技互聯(lián)網(wǎng)等行業(yè),結(jié)合前面兩個驅(qū)動因素,數(shù)世咨詢總結(jié)出HDR產(chǎn)品的四大需求點:

● 滿足合規(guī)要求:不僅是“等保2.0“對主機安全有明確要求,同時各行業(yè)監(jiān)管部門對主機安全的重視程度日益提高,并逐漸以結(jié)果為導(dǎo)向,這是HDR的第一需求;

● 安全技術(shù)驅(qū)動:運營商、金融、電力等行業(yè)用戶主機數(shù)量動輒百萬臺數(shù)量級,僅僅依靠邊界防護早已無法滿足安全需求,作為主機的最后一道防線,主機檢測與響應(yīng)也就成為技術(shù)發(fā)展的必然;

● 提升安全運行效率:安全團隊希望通過 HDR 產(chǎn)品及相關(guān)解決方案,加強與各兄弟團隊的溝通,提升安全運行效率。

● 實戰(zhàn)攻防演練:實戰(zhàn)化攻防演練加速了安全需求從合規(guī)到實戰(zhàn)的轉(zhuǎn)變。因此,HDR 需要的不再是基于特征匹配的傳統(tǒng) HIDS,而是結(jié)合安全基線與外部情報的有效檢測能力,以及基于精準(zhǔn)告警的快速響應(yīng)能力。

這四大需求,再結(jié)合這些行業(yè)對于業(yè)務(wù)連續(xù)性的苛刻要求,使得傳統(tǒng)EPP、HIDS、CWPP與PC端的殺軟等安全方案都很難滿足,由此催生了HDR這一主機安全新品類,及其必備的包括Agent、安全視角的資產(chǎn)發(fā)現(xiàn)、安全檢測、安全響應(yīng)等四大關(guān)鍵能力。

HDR四大關(guān)鍵能力,與用戶需求緊密相關(guān)

HDR是基于用戶需求而誕生的品類,這就意味著其關(guān)鍵能力必然與用戶需求息息相關(guān)。在HDR的四大關(guān)鍵能力之中,探針(Agent)是最基礎(chǔ)也是最重要的能力,因為HDR主要基于Agent收集的網(wǎng)絡(luò)、文件、進程等多種維度數(shù)據(jù)進行關(guān)聯(lián)分析并響應(yīng)。

1、Agent是HDR基礎(chǔ):牢記三點衡量標(biāo)準(zhǔn)

而從用戶需求出發(fā),Agent最重要的衡量標(biāo)準(zhǔn)包括以下三點:

● 業(yè)務(wù)連續(xù)性是最高優(yōu)先級,Agent必須輕量設(shè)計,以避免影響業(yè)務(wù)連續(xù)性。所以不管是老牌的青藤,還是微步在線等新加入者,都強調(diào)Agent輕量設(shè)計,且具備“自 殺”策略;

● 功能雖多,但資源占用率必須低。主機要抵御各種網(wǎng)絡(luò)攻擊風(fēng)險,就需要盡可能多維的檢測手段,但必須保證不能與應(yīng)用爭奪資源,所以不僅要輕量設(shè)計,還要“輕量”運行,Agent功能模塊化設(shè)計也是一種有效手段;

● 功能效率是Agent的另一個加分項。盡管“輕量”是Agent的必備前提,但Agent的真正核心能力還在于安全,如何在“輕量”的前提下,盡可能提高安全能力就成為另一個衡量標(biāo)準(zhǔn)。也就是資源占用盡量少,功能卻要盡量多,還必須有效。所以威脅情報、告警精準(zhǔn)、少誤報,乃至AI能力也是Agent的考量因素。

2、事前預(yù)防:安全視角出發(fā)的資產(chǎn)發(fā)現(xiàn)能力

基于安全視角的資產(chǎn)發(fā)現(xiàn)與管理,是有效檢測與響應(yīng)的前提。針對這些入賬資產(chǎn),要進行主機層、系統(tǒng)層、應(yīng)用層乃至Web 層等各細(xì)化層級的資產(chǎn)清點,為后面做到安全基線梳理、快速精準(zhǔn)檢測、快速發(fā)現(xiàn)威脅、快速做出響應(yīng)打好基礎(chǔ)。

所謂“基于安全視角”,不能只從攻防角度來考慮資產(chǎn)重要性,還應(yīng)當(dāng)結(jié)合業(yè)務(wù)優(yōu)先級、強合規(guī)等要求,從更高的安全敏感度考慮資產(chǎn)重要性,對發(fā)現(xiàn)的資產(chǎn)進行分類分級、統(tǒng)一管理。

3、全面的檢測能力是精準(zhǔn)響應(yīng)前提

由于應(yīng)用環(huán)境的多樣性特點讓主機運行的環(huán)境極其復(fù)雜,可被網(wǎng)絡(luò)攻擊利用的方式也呈多樣化趨勢,作為主機的最后一道防線,這就要求HDR要具備全面的檢測能力。主要包括以下四點:

● 結(jié)合情報的脆弱性檢測:通過外部的威脅情報、漏洞情報等來發(fā)現(xiàn)主機及其應(yīng)用存在的漏洞、弱密碼、開放端口以及不當(dāng)配置等風(fēng)險點,通過修復(fù)風(fēng)險點來實現(xiàn)攻擊面收斂目的,降低被攻擊幾率;

● 基于基線的攻擊入侵檢測:經(jīng)實踐證明,通過HDR可有效降低“噪音”減少誤報,顯著縮短安全團隊的MTTD/MTTR(平均檢測時間/平均響應(yīng)時間),主要包括系統(tǒng)完整性監(jiān)測、橫向移動檢測、兼容性與可擴展性等。

● 內(nèi)存安全檢測:“內(nèi)存馬”等無文件攻擊方式已經(jīng)成為今年國家級攻防演練中的紅隊常用攻擊方式,針對內(nèi)存安全的檢測也成為HDR的必備檢測能力。

● 容器安全檢測:有別于物理主機和云主機,容器主機是一種較為特殊的主機應(yīng)用方式,通常安全行業(yè)針對容器安全有針對性解決方案,一般HDR也具備一定的容器安全防護能力。

4、精準(zhǔn)響應(yīng)能力:向主動安全運營轉(zhuǎn)變

基于主機側(cè)的安全響應(yīng)與終端不同,其難點并不在于傳統(tǒng)的攻防技術(shù)或安全服務(wù),而在于保證業(yè)務(wù)連續(xù)性的前提下,結(jié)合威脅情報進行準(zhǔn)確分析與判斷,利用 HDR 產(chǎn)品與各團隊的協(xié)同,將傳統(tǒng)被動應(yīng)急,轉(zhuǎn)變?yōu)橹鲃影踩\營。其主要包含以下三點:

結(jié)合威脅情報的分析與診斷:Agent采集的數(shù)據(jù),會根據(jù)主機側(cè)安全運行基線來篩選掉正常數(shù)據(jù)與噪音,利用威脅情報對疑似異常數(shù)據(jù)進行自動化分析。提升“自動化分析”的檢測準(zhǔn)確率(縮短MTTD),能夠為后續(xù)提升響應(yīng)時效(縮短MTTR)帶來極大助力。其中威脅情報的準(zhǔn)確性是極其關(guān)鍵的因素。

HDR產(chǎn)品與各團隊的協(xié)同:主機側(cè)的安全響應(yīng),一定要能夠通過HDR產(chǎn)品與業(yè)務(wù)、網(wǎng)絡(luò)、運維等兄弟團隊進行同步、協(xié)同,這是 HDR 響應(yīng)能力的重點。其應(yīng)包括可視化、核心業(yè)務(wù)、靈活維護策略、豐富的報告以及本身的安全性等功能。

基于主機側(cè)的安全運營:從威脅檢測到應(yīng)急響應(yīng),從分析診斷到部門協(xié)同,前述各項產(chǎn)品能力要結(jié)合“人”形成安全運營能力?;谥鳈C側(cè)相對穩(wěn)定的業(yè)務(wù)、運維、網(wǎng)絡(luò)環(huán)境,以主機資產(chǎn)為核心,以事前收斂、事中控制、事后追溯為原則,結(jié)合威脅情報能力,實現(xiàn)一定程度標(biāo)準(zhǔn)化的預(yù)防、檢測、響應(yīng)閉環(huán)。

HDR未來發(fā)展趨勢

如前文所述,用戶加速主機安全類產(chǎn)品的采購主要基于三點因素:網(wǎng)絡(luò)安全法、等保及關(guān)基條例明確要求的合規(guī)性需求;業(yè)務(wù)上云后需要提升主機安全能力;以及實戰(zhàn)化紅藍對抗攻防演練中,主機安全已經(jīng)成為最后也最重要的一道有效防線。這些因素驅(qū)動HDR未來在市場供需方面,將出現(xiàn)需求與投入雙增長的態(tài)勢。

內(nèi)存馬、無文件攻擊等新的攻擊形式,內(nèi)存安全檢測成為近兩年實網(wǎng)攻防演練中的必備能力;同時,疑似攻擊行為在內(nèi)存中一旦形成攻擊鏈條,會具備更高的可信度。因此,從技術(shù)能力方面,內(nèi)存安全能力將逐漸成為HDR中的標(biāo)配。

隨著紅藍對抗實網(wǎng)攻防在用戶側(cè)常態(tài)化演練越來越多,業(yè)務(wù)、運維等兄弟部門對 Agent 接受程度也會越來越高;主機側(cè)的自動化響應(yīng)能力逐漸增強,特別對安全格外重視的行業(yè),一定程度的自動化響應(yīng)能力會越來越多得到應(yīng)用;威脅情報的作用與地位會進一步凸顯……這些都促使HDR在應(yīng)用場景方面,以結(jié)果為導(dǎo)向?qū)⒊蔀橹髁鳌?/p>

最后,雖然當(dāng)前用戶對HDR的自動響應(yīng)能力并沒有太多要求,但隨著主機安全需求擴展到其他行業(yè),由于網(wǎng)絡(luò)攻擊復(fù)雜性、安全團隊能力參差不齊、威脅情報準(zhǔn)確性進一步提高、AI等新興技術(shù)深入應(yīng)用等因素的綜合作用,總體而言,HDR將與EDR趨于整合,并且,各類端點側(cè)的安全能力,都將整合為一體化的端點安全能力。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)標(biāo)簽
網(wǎng)絡(luò)安全
云計算

相關(guān)文章

熱門排行

信息推薦