三问TDR

题记:我们正处于一个被软件定义的数字化时代。购物、外卖、导航、网约车等软件,让我们买东西、用餐、交通变的“更简单”,体验达到“极致完美”。依托“云移大物智”等技术,各种创新应用正渗透到各行业、各领域,网络安全作为数字化转型和数字经济的“四梁八柱”,面临着诸多挑战和机遇,需要新的思维、新的商业模式来破局。

三问TDR

数字化时代,随着云计算、移动互联、大数据、物联网、人工智能等技术演进,IT基础架构变革加快,传统网络安全边界被打破。之前由网络安全“硬件盒子”堆砌的边界防护、静态防御,一朝土崩瓦解、节节败退下来。

与之同时,威胁检测与响应的“主动防御”理念,开始跃入网络安全行业的眼帘,“智能安全运营”开始风生水起。

什么是TDR?

2016年RSA大会,主席阿米特·约伦(Amit Yoran)在其《沉睡者醒来》的主题演讲中指出“安全防御是个失败的战略,未来业界应该增加在安全检测技术上的投资”。

Part1:TDR定义“新安全”,智能安全运营平台面世

2017年底,华清信安在业界首次提出“新安全”概念——TDR(Threat Detection and Response)威胁检测与响应。并将TDR定义为:以平台化的方式整合纵深防御技术、大数据和机器学习等新型安全检测技术以及自动化、智能化安全响应技术,以服务的模式交付安全能力,从而实现威胁的闭环管理。

2019年初,华清TDR智能安全运营平台面世,并就相关技术在业界率先申请了软件著作权和发明专利。

TDR基于华清信安BoS安全大脑,由SecWorks USP铁穹安全引擎或SDA云防护中心(安全防御节点统称为GSDN网络)、SOP安全运营平台、SRC安全响应中心构成,通过打造智能化的P2DR闭环安全运营体系,向客户交付卓越安全能力。

2021年2月,华清TDR智能安全运营平台4.0版本正式发布。通过全面升级,4.0版本尤其拥有更全面的防护功能、更丰富的直观数据展示功能,以及威胁预警、应急响应服务,可以为城市大数据中心、集团化企业、行业安全统管和万物互联等场景提供“一站式”智能安全运营解决方案。

Part2: “安全的最后一公里”是安全运营

以威胁发现为导向,以分析处置为关键,以发现隐患为结果,通常是政企客户的安全运营诉求。

人员、数据、工具共同构成了安全运营的基本元素。

安全运营备受瞩目,其实主要源于三方面原因:一是环境所迫。国内外面临的网络安全形势日益严峻,迫使我们需要不断推进安全管理和安全服务的迭代;二是政策法规。比如《网络安全法》推动下的合规管控要求,等保2.0提到的“一个中心,三重防御”,其中的一个中心就是安全管理中心;三是能力不足。面对常态化安全运营服务,安全能力无法企及。

近年来,随着等保合规驱动安全建设项目落地,单位购置了大量的安全设备,匹配了安全工程师岗位,但受限于网络安全的专业性,安全能力不足依然明显。超过50%的组织报告称,根据ESG调查,招聘到训练有素的安全运营专家非常困难。

应急响应演练、重保、HW等暴露出安全运营诸多问题。人员、设备、流程、机制无法真正的融合,就根本保障不了安全体系的高效运转。

多个媒体时时爆出头条新闻,都在谈论网络威胁的兴起、隐患和危害。因此,在组织内创建网络安全运营中心也就不足为奇了。

由此可见,毫不夸张地讲,安全运营才是解决“安全的最后一公里”的关键!

Part3:TDR为网络安全的“新贵”一点也不过分

纵观“新安全”,大致可分为三大类:新安全场景,比如:云安全、工业互联网安全、移动互联网安全等;新安全技术,比如:UEBA、SOAR、零信任等;新安全模式,主要为SaaS安全。

“新瓶装旧酒”。新安全场景和新安全技术,其实没有突破边界、终端、身份认证等基本安全框架,而新安全模式即SaaS安全,SaaS 安全即服务(security a as Service)开始对未来网络安全产业产生极其深远影响。

SaaS安全“未来可期”。SaaS安全服务通过提供一站式可视化数据平台,集容器云、数据汇聚、数据规划、数据开发、数据智能、数据资产、数据服务等框架体系于一体。可以解决组织所面临的数据孤岛不知所措、数据运维难度大、数据价值利用低的难题,帮助组织让数据成为真正的资产。

华清TDR智能安全运营平台,技术层面除了融合多种传统安全检测能力,还加入UEBA、NTA、机器学习等安全和分析技术,结合安全响应中心可为客户提供全面、智能、即时的SaaS安全服务。

为什么是TDR?

随着云计算、大数据、人工智能技术在威胁检测与响应领域的广泛应用,“安全赋能”概念兴起。

安全运营时代悄然来临。

Part1:技术驱动能力新模式赋能闭环简单

“山重水复疑无路,柳暗花明又一村”。网络安全亟需一种以云计算、大数据和人工智能技术驱动的安全能力建设新模式。

华清信安以“安全赋能—让安全更简单”为使命,践行智能安全运营2.0理念,持续推进新一代智能安全运营技术创新,着力打造出华清TDR智能安全运营平台。

华清TDR智能安全运营平台以TDR威胁检测与响应概念为基础,建立起了“闭环安全防护”框架体系,可以在节约整体成本的情况下,大幅度提升组织安全能力,让组织的网络安全运营从复杂无绪变为“快捷、清晰、简单”。

TDR威胁检测与响应,真正地赋能网络安全新定义—“安全可以更简单”。

华清TDR智能安全运营平台“全能、敏捷、高效”的特点非常适合“快速安全加固、全天候监控、实时应急响应”的应用场景。

华清TDR智能安全运营平台是一款具有全场景适应能力的安全平台。只要分钟级接入GSDN网络,便可以快速构筑一道新的“安全防线”,而且接入时不需要改变原有网络拓扑和设备配置。

Part2:打开困扰投入产出“紧箍咒”

传统的安全运营,依赖部署大量传统安全设备来实现产品迭代和功能叠加,所以无法规避不同品类设备数据互通的功能性障碍梏桎。尤其是传统网络安全设备的安全运维值守需要大量人力、物力投入,需要一次性地投入非常高额的预算。

华清TDR智能安全运营平台,遵循智能安全运营2.0的领先理念,只需要部署三个核心功能模组,不存在多个品类设备的互通性问题,DiX核心技术则尽可能减少现场人工值守,大大降低客户安全运营整体成本压力。

作为组织的网络安全管理人员,特别是保障政企安全服务和IT安全的团队,如何量化团队绩效以及投入产出,也是困扰国内网络安全行业多年的一个问题。

理论上讲,其实两个关键指标可以用来衡量安全能力的有效性。一个是平均威胁检测时间(MTTD),一个是平均响应时间(MTTR)。MTTD是指组织发现和识别那些可能会产生实际风险的威胁所需要的平均时间;MTTR是指组织充分分析并采取有效手段减轻威胁风险所需要的平均时间。

不幸的是,笔者“掐指一算”,目前大部分组织的安全运营模式,MTTD和MTTR将以数周或数月来计算。安全公司Trustwave通过对全球691个数据泄漏的事件调查发现,企业安全事件平均检测时间(MTTD)为87天。在专业的应急响应团队配合支持下,平均响应时间(MTTR)也需要1周时间。

这么久的时间,组织网络可能被恶意攻陷N次了。没有威胁检测与响应,有多恐怖!你懂得。

Part3:SaaS安全服务是“颠覆性”技术革命

基于云SaaS模式,用户只需一分钟即可接入华清信安GSDN网络,获得All in One一站式闭环防御体系,无需再额外购买安全产品与招聘专业安全团队。

公有云、私有云、混合云亦或物理机房,TDR均可无缝接入。

竖个大拇指。SaaS安全服务所带来的高弹性、可观测性、过程自动化是一场颠覆性的技术革命。

尤其是随着全球范围内SaaS安全的项目应用不断增加,网络安全的产业结构和竞争要素与之将会产生重大变化。在万亿规模的网络安全市场,将有产生收入规模超百亿甚至千亿规模的网络安全运营厂商“独角兽”或者“巨无霸”。

无独有偶。安全管理也是近年来网络安全界最热门话题。安全管理的主要推动力来自于主动防御和态势感知的客户需求,并且需求方向正在从监管侧转向行业级大客户群体,此外AI/ML、UEBA及SOAR等技术的成熟,也提升了安全管理平台的可用性,加速了安全管理平台的“靴子”快速落地。

“一体两翼”。除了安全管理,安全服务受等保合规政策红利和数字化转型战略布局两大因素驱动,近年来市场业务增速在快速提升。

目前,有战略眼光的网络安全厂商都在通过安全顶层设计、安全平台建设、安全运营服务的组合,持续争取政府、企事业单位的财政预算“腰包”。

安全管理和安全服务战略价值不断彰显,其实都是SaaS安全带来的“蝴蝶效应”。

TDR为什么?

想起鲁迅先生《从百草园到三味书屋》文章的一个叙述逻辑。“不必说……也不必说……单是……”。不必说华清TDR智能安全运营平台可以实现对流量、主机、日志数据的采集与精准分析,也不必说平台对网络、应用层的安全纵深式防御,平台快速下工单做出与之对应的处置方案,单是应用最新的安全技术和工具对应用系统进行全面、多维度的安全评估和威胁识别,就值得客户期待。

Part1:敏捷安全要的是安全能力而非产品

相对于业界其他智能安全运营产品,华清TDR智能安全运营平台具有四个核心优异性特点:

一是无缝接入源于领先的全流量检测技术,无需变更原有网络结构,即可分钟级接入;

二是纵深防御源于拥有自研发、深度学习智能安全分析模型;

三是安全零运维源于知名网络安全公司和互联网大厂的安全数据运营和专家应急响应团队;

四是合理TOC。源于平台的All in One智能安全理念,SaaS按需付费模式。

“不漏死角”。华清TDR智能安全运营平台整合了纵深安全防护体系、SOP安全运营平台和SRC安全响应中心,在提供下一代防火墙、入侵防御、抗拒绝服务、Web防护等多重安全防护能力的基础上,支持安全审计和集中管控,以及全局可视化网络安全态势感知。

华清TDR智能安全运营平台拥有威胁情报预警,全流量分析和用户行为分析等技术,可以为客户持续提供安全专家应急响应服务,尤其实现了为客户建立一套“检测—防护—监测—响应—管理”安全运营体系,让客户真正拥有了“更全面、更合理、更可持续”提升的安全能力。

顺藤摸瓜。情报分析,检测防御,专家响应,“倒吧倒吧,可以倒吧出一头驴来”。

Part2:未来已来网络安全第三轮成长“破茧”

纵观网络安全产业,共经历了三轮发展。第一轮快速发展期:从1990年前后到2000年中期,信息化和网络基础建设,带动了网络安全产业从无到有的发展;第二轮加速成长期:从2010年开始,通过云计算、移动互联网、大数据、物联网、人工智能等IT基础设施建设驱动,目前处在第二轮加速成长期的中期;未来随着人工智能、万物互联、5G以及数字化转型提速,有望推动网络安全产业快速走向第三轮快速成长期

毋庸置疑,网络安全已经成为网络、计算、存储之外的第四大IT基础设施。

IT基础架构的演进,随之而来的IT产业浪潮的背后,都会伴随网络安全行业的快速发展。尤其是SaaS安全已经成为网络安全市场的重要增长极。

随着SaaS安全厂商技术竞争壁垒的提高,必然带来行业竞争格局变化。譬如,基于轻量化部署所带来的边际成本的显著降低,基于数据在线所带来的全流量分析效应,基于云原生架构所带来的一站式、高效能服务。

Part3:软件定义安全安全要“原生”

喜欢喝啤酒的酒友都喜欢喝七天的“泰山原浆”,喜欢喝夺命“大乌苏”,为什么呢?答案其实就两个字:原生。

云安全如果基于新技术赋能,建设适合云计算环境的原生云安全,岂不是“泰山原浆”、“大乌苏”?

说透了,软件定义安全其实就是将传统安全设备的安全能力和安全管理做了“耦合分离”,以最终达到安全管理“中央集权”和安全能力分布执行的“诸侯割据”。

“大提琴、小提琴、萨克斯、二胡、手风琴、横笛……来,奏乐,继续”!“隔山打牛”的目标是与云计算实现“一个乐团一个指挥”,多种乐器分工不同却“异曲同工”。

很明显,软件定义原生的云安全不仅增加了新技术应用,而且提升了安全防护效能。

正是如此。华清信安将应用软件定义为安全,把安全能力整合为统一安全资源池,将管理能力汇集到一各平台,再通过一个平台与云计算平台融合交互。以求实现安全能力的统一管理、延伸,安全数据的统一采集、分析,流量与能力的BoS安全大脑自动编排,安全事件的自动化响应。

综上所述,软件定义安全,岂不是“分分秒秒”可以搞定事情!

华清TDR智能安全运营平台,最终实现的是“大象”般妥妥的安全服务化交付,“猎豹”般安全能力间的协同,安全事件“鹰眼”般的快速发现、应急处置和自动化交付,目标是达成为云计算平台构建“弹性、智能、协同、开放”的原生安全防护。

“TDR智能安全运营平台作为云原生的安全解决方案,基于P2DR和PDCA理念,整合最新安全技术模块,实现了为客户提供一站式闭环威胁管理能力和持续提升的安全运营管理能力,同时大大降低客户安全建设成本,必将成为网络安全建设的主流模式。”华清信安创始人、CEO田新远表示。

象曰:天行健,君子以自强不息。潜龙勿用,阳在下也。见龙再田,德施普也。终日乾乾,反复道也。或跃在渊,进无咎也。飞龙在天,大人造也。

让我们一起期待并见证华清TDR智能安全运营平台从“潜龙”到“飞龙”的腾跃!!