Secdo通过抢占式IR自动化端到端事件响应

谁想看到个人客户购买的数据飞到陌生人手中？哪家公司能容忍竞争对手窃取其知识产权？什么样的政府能在军事机密被公开时袖手旁观？

为了保护他们宝贵的私人信息，组织购买了大量的网络安全系统；比如入侵检测系统、防火墙和杀毒软件–；并在他们的网络和所有计算机上部署它们。

事实上，一家典型的银行、制造商或政府部门可能随时都有几十种这样的产品在运行。

网络安全系统不间断地工作，以阻止网络渗透和数据盗窃。每当他们发现一项似乎超出正常使用范围的活动时，他们就会发出警报，通知网络安全人员，由他们调查警报的原因，并在必要时采取补救措施。
例如，如果有人试图访问计算机并反复输入错误的密码，将发出警报。当打开包含病毒的电子邮件附件时，会发出另一个警报。

尽管有所有这些安全系统及其警报，但强大的网络遭到破坏，信息被盗。为什么这种情况还会发生？

过度检测和误报

网络安全系统通过注意人员和软件的异常活动和行为来工作。但他们经常弄错。尽管他们可能会尝试，但为了格外小心，网络安全系统标记了许多他们确定为潜在恶意的活动，但实际上并非如此。

是的，你输入了三次密码，直到正确为止，但你不是数据盗版者。这仍然会引起警报。

在办公室电脑上，你无意中访问了一个公司禁止访问的网站。诚实的错误，但另一个警告。

这种情况发生得如此频繁，以至于每天都有数百甚至数千条警报被证明是无关紧要的。

你能相信吗？美国企业平均每天收到超过10000条警报。其中大多数都不是应该引起注意的事件。但在调查之前你怎么知道？

每天都有大量误报，这让网络安全专业人员无法处理合法的安全警报。

随着越来越多的时间被浪费在追查误报上，安全人员不得不求助于分流；也就是说，他们试图找出哪些警报是重要的，需要响应，哪些警报是错误的，应该忽略。它们并不总是准确的。有时，分析师会花数周的时间来追踪一个事实证明无关紧要的事件。

相反，有时，被忽视的警报才是真正的紧急情况！

目标数据泄露就是一个很好的例子，它说明了误报对组织的破坏性。

美国第二大折扣店零售商塔吉特被迫向7000多万购物者承认，他们的个人和财务信息已被泄露。

拥有一支庞大的网络安全团队，以及大量用于保护数据的工具和技术的预算，这怎么可能发生在目标公司身上？（或易趣？或摩根大通？或雅虎？）

塔吉特的问题不是某种黑客成功绕过了其强大的网络安全系统。事实上，该公司专门部署用于监控此类入侵企图的检测系统已生成警报，确认存在恶意软件。那为什么不处理呢？

由于这些重要的警报隐藏在每天数千次的误报中，它们没有得到足够高的关注，无法保证采取他们要求的及时行动。他们被错过了。这一简单的疏忽导致了历史上规模最大、成本最高的数据泄露事件之一，估计超过3亿美元！

简而言之，虽然检测网络威胁并提醒安全人员至关重要，但这远远不够。组织必须建立一种准确、实时的警报验证方法，以可靠地确定每天数千个警报中哪些值得注意，哪些只是“噪音”。

但问题在于细节。

Secdo将事件响应过程端到端自动化

Secdo的先发制人事件响应平台自动验证每个警报，区分误报和值得认真调查的真实威胁。

Secdo提供了所有上下文；"谁，什么，在哪里，何时，如何帮助安全分析师确定真正警报的严重性。然后，Secdo授权安全团队快速、准确地应对威胁。

Secdo平台包括三个模块：

1. 观察者
2. 分析仪
3. 应答器

观察者

据塞克多称，有效的网络安全始于先发制人的数据收集。就像一组可以看到和记录一切的数码相机一样，Observer记录和存储网络中每个端点（计算机）和服务器（我们称之为“主机”）上发生的每一个活动。

每台主机上的所有内容，即使它们的数量达到数万！Observer使安全和IT团队能够查看任何主机、用户或进程现在或过去的行为，就像现在或过去只需点击鼠标就可以从任何摄像头查看任何视频一样。

Observer支持快速调查和威胁搜寻。它为方便的临时查询提供了便利，使分析人员能够有效地调查任何警报和搜寻威胁。安全分析人员可以使用直观的调查界面询问有关任何事件的问题，并始终得到结论性答案。

例如：

• 谁访问了这个网站www.youshouldnotgothere。RU1月24日13:31到15:09之间？
• 哪些主机有文件我真了不起。exe在他们的硬盘上？
• 哪些端点发出了金融公司。xlsx在昨晚的邮件里？

这些问题和其他问题的答案会及时显示给安全分析师，并对他们有所帮助。

观察者调查返回的结果

 

 

 

 

 

 

 

 

 

分析仪

分析仪不间断地将观察者存储的大量数据关联起来。如果说“观察者”就像成千上万台数码相机记录着一切，那么Analyzer就是一种智能，它将所有单独的视频连接成可以随时查看的连贯故事。

例如，我老板电脑上的恶意软件试图将数据发送到外国网站，这一事件会触发警报。这听起来很简单，但整个故事可能是这样的：

“昨天，我收到了一封来自某个特定地址的电子邮件。我点击了附件，看了看，不再去想它。然而，在我不知道的情况下，附件在我的硬盘上写了一些恶意软件。两个小时后，它开始搜索我的电脑，直到找到一个密码文件，使它能够跳转到我老板的电脑上。午夜时分，恶意软件醒来，搜索我老板的硬盘，直到找到一个名为秘密公司计划.docx。它连接到乌克兰的一个网站，并试图发送该文件。这就是触发警报的原因"。

安全分析师将在警报中看到有限的信息，其中写道：老板的端点试图连接到www.ohnodongthere.ua。

分析员如何知道警报的整个过程，以便理解我的计算机上有一封电子邮件的附件，它引发了整个事件？

仅仅阻止访问坏网站并不能消除这种危险。也许这个恶意软件太聪明了，它会再次醒来并尝试其他一些技巧，比如将另一个文件发送到另一个网站。这只会触发另一个警报，并要求另一名安全分析师明天修复相同的问题。

完整的故事对于一劳永逸地解决整个问题是必要的......

Secdo的Analyzer帮助分析人员找到每个问题的根源，并了解其全部范围，以便他们能够从根本上解决问题。

Analyzer的因果关系引擎将从观察者数据接收到的所有事件放入因果链（故事），以预测警报，为将来的任何安全调查做好必要的取证准备。

由于警报是从任何来源（该组织部署的许多网络安全系统中的任何一个）触发的，Analyzer会自动将警报与其相应的因果链关联起来，并将其置于完整的上下文中。IT和安全团队能够看到从现在到过去发生的一连串事件（整个故事）。

有了完整的上下文，Analyzer可以准确地区分错误警报，这样分析人员就不必忍受不必要的干扰。它准确地确定优先级并显示每个真正的警报，显示整个上下文，包括从根本原因开始的攻击链（这起事件是如何开始的？），所有相关实体（它在哪里传播？）以及损失评估（到目前为止坏人对我们做了什么？）– 整个故事。

所有这些信息都以图形的形式呈现在他们眼前，安全分析师可以正确地分析真实警报，并在几秒钟内做出正确响应。

Analyzer提供了整个因果链的图形表示，包括根本原因

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

在我们的示例中，Secdo可以让分析员看到我计算机上的恶意附件启动了整个事件链，它跳到了我老板的计算机上，必须清除这两个恶意进程以及它们可能编写的其他文件或命令，以及与此事件相关的任何其他内容。

应答器

那么，一旦你发现一个实际的网络漏洞，需要做出坚定准确的回应，你会怎么做？

在Secdo之前，IT人员通常必须没收您的计算机，将其擦干净，重新安装Windows以及所有应用程序和数据文件。每件事这可能需要几个小时甚至几天。你的工作效率受到了多大的干扰，公司付出了多大的代价！

使用Secdo，这个过程会更快、更智能，而且不会干扰您的工作。Responder为安全和IT人员提供了远程访问和手术解决任何主机上的任何威胁的能力，而不会影响生产效率。

Responder提供了许多强大的遏制和补救能力，包括获得专利的ICEBlock，它可以安全地冻结内存中的进程，同时端点仍在网络上。在这一切发生时，您可以安全地继续工作。

Responder使其能够在不影响用户生产力的情况下处理任何主机上的特定威胁

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

响应者甚至进一步加强了安全。其丰富而强大的响应能力可以完全自动化，为未来的组织提供保护。

结论

对于网络攻击者来说，数字数据是一个有吸引力的目标，他们会出于邪恶目的窃取数据。组织雇佣安全分析师，部署大量安全产品，帮助他们抵御网络攻击。

这些产品每天可能会产生数千个警报，其中大多数是误报。由于每天的流量巨大，安全团队无法处理所有警报，必须对它们进行分类。

分析人员需要一种自动、准确的方法来区分误报，并对真实的误报进行优先排序，以便他们能够关注真实的威胁。他们需要了解事故的整个范围，以便确定适当的补救措施。他们需要远程、外科手术式的响应工具，使他们能够准确地消除威胁，同时保持业务生产力。

Secdo的先发制人事件响应（PIR）通过持续收集和存储所有主机活动数据，将传统的IR过程从被动转变为主动；在事故发生之前。

来自所有端点和服务器（主机）的所有活动数据在因果链（上下文）中自动关联，以预测未来的事件。当警报从探测系统接收时，它们与相应的因果链相连，甚至在事件响应团队介入之前就准备好完整的法医证据。

通过完整的上下文，可以准确地消除误报，并正确地确定真实警报的优先级。安全分析人员可以快速调查每个警报，已经观察到其根本原因、全部活动、涉及的实体和损害评估。

有了这一级别的可视性和背景，再加上一套先进的外科修复工具，分析师可以远程、快速、准确地应对威胁，同时保持业务生产力。