檢測(cè)時(shí)間和修復(fù)時(shí)間,決定是安全事件還是數(shù)據(jù)泄露。目前,雖然市面上有很多新產(chǎn)品幫助安全團(tuán)隊(duì)檢測(cè)事件,但是能夠幫助IT運(yùn)營(yíng)團(tuán)隊(duì)快速修復(fù)事件影響的工具卻極少見。
問題之一,就是檢測(cè)和修復(fù)是兩個(gè)相互獨(dú)立的操作,而且它們分別由安全團(tuán)隊(duì)和IT團(tuán)隊(duì)執(zhí)行。但安全并非IT的唯一客戶——IT還要響應(yīng)合規(guī)、審計(jì)和公司內(nèi)幾乎所有運(yùn)營(yíng)部門的改善或新增App請(qǐng)求。
結(jié)果就是,今天眾多威脅檢測(cè)系統(tǒng)產(chǎn)生的大量誤報(bào),讓本已沉重不堪的工作量更加難以完成了。1000名IT專業(yè)人士組成的1E自身研究團(tuán)隊(duì)表示,超半數(shù)的人花費(fèi)25%的時(shí)間,響應(yīng)來(lái)自緊急安全更新、配置改變和軟件審計(jì)的非計(jì)劃事件。
上周,1E發(fā)布了Tachyon,旨在為IT運(yùn)營(yíng)提供全I(xiàn)T資產(chǎn)觸角的即時(shí)可操作訪問(多達(dá)150萬(wàn)臺(tái)終端)——無(wú)論終端分布和操作系統(tǒng)情況。每個(gè)終端都部署有代理,無(wú)論是服務(wù)器、桌面電腦、移動(dòng)設(shè)備還是IoT設(shè)備,都可以被Tachyon服務(wù)器查詢。全公司范圍的資產(chǎn),都可在安全事件發(fā)生數(shù)秒內(nèi)被隔離并采取修復(fù)行動(dòng)。
斯圖爾特·奧金,1E產(chǎn)品高級(jí)副總裁,稱可將Tachyon前端比作IT資產(chǎn)的谷歌搜索引擎??稍谇岸颂釂?,來(lái)自各個(gè)終端的答案秒回。基于這些回答,便可采取修復(fù)行動(dòng)了——同樣是秒級(jí)。
奧金給出了有關(guān)Java濫用的例子。假設(shè)安全團(tuán)隊(duì)知道某Java漏洞正被利用,并將此信息傳達(dá)給了IT運(yùn)營(yíng)團(tuán)隊(duì)。在Tachyon前端按“Java”關(guān)鍵字搜索設(shè)備軟件,便會(huì)列出所有風(fēng)險(xiǎn)設(shè)備。然后再搜索連接到攻擊者IP地址的歷史證據(jù),數(shù)秒內(nèi),所有被感染設(shè)備(如果有的話)就會(huì)被定位。
指令Tachyon向本地防火墻添加一條該IP地址的攔截規(guī)則,與攻擊者的進(jìn)一步通信便能被立即封鎖。重復(fù)這一過程,可確保沒有任何設(shè)備能連接攻擊者。
該原則全面適用。如果安全團(tuán)隊(duì)從其他威脅情報(bào)系統(tǒng)知曉當(dāng)前威脅,或檢測(cè)到攻擊指標(biāo),并能定義該威脅,IT團(tuán)隊(duì)就可使用Tachyon,在數(shù)秒內(nèi)定位并修復(fù)之。當(dāng)然,未必得是安全威脅——監(jiān)管威脅、審計(jì)要求之類都可以。比如說,可用來(lái)定位特權(quán)賬戶對(duì)敏感數(shù)據(jù)的訪問,刪除非必要的東西等等。如果需要的話,還可以將其他特權(quán)賬戶的準(zhǔn)確細(xì)節(jié)發(fā)送給審計(jì)。
奧金強(qiáng)調(diào):Tachyon不是用來(lái)替代現(xiàn)有安全投入的,而是與現(xiàn)有解決方案協(xié)作,增強(qiáng)其性能。微軟SCCM就是個(gè)例子。“其他廠商提倡的是推倒重來(lái)策略,我們則是全新打造Tachyon,覆蓋在微軟SCCM之上,推動(dòng)其速度和響應(yīng)。”1E創(chuàng)始人兼CEO蘇米爾·卡拉伊評(píng)論道。
Tachyon首批用戶之一,財(cái)富500強(qiáng)醫(yī)療保險(xiǎn)公司證實(shí)了這一點(diǎn)。“我們重度依賴微軟SCCM和其他1E解決方案,自動(dòng)化軟件更新之類日常IT任務(wù),但缺乏即時(shí)發(fā)現(xiàn)并修復(fù)嚴(yán)重問題的能力。”該公司基礎(chǔ)設(shè)施工程經(jīng)理說,“1E的Tachyon補(bǔ)強(qiáng)了這些實(shí)時(shí)能力——幫助我們應(yīng)對(duì)緊急事件。有了Tachyon,我們便能用有組織的可控方式,在數(shù)秒內(nèi)解決大問題,不再像以前似的要花幾小時(shí)。”
Tachyon運(yùn)作關(guān)鍵在于每個(gè)終端上的代理。這些代理會(huì)查詢?cè)O(shè)備,與Tachyon服務(wù)器維持安全通信。它們提供修復(fù)步驟的功能基礎(chǔ),在不對(duì)核心系統(tǒng)做任何升級(jí)的情況下允許引入額外的功能,確保系統(tǒng)是完全可擴(kuò)展的。這是個(gè)跨平臺(tái)的終端,支持微軟、Mac、Linux、移動(dòng)和IoT——適合大企業(yè)和新興物聯(lián)網(wǎng)。
Tachyon方法的能力所在,是它不替代任何東西,也不嘗試自動(dòng)化決策。事實(shí)上,在修復(fù)動(dòng)作中那些可謂“重大修改”的地方,在修復(fù)被執(zhí)行前都會(huì)被要求二次確認(rèn)的。它讓現(xiàn)有系統(tǒng)更有效更快速。公司企業(yè)仍需威脅分析師來(lái)識(shí)別潛在事件;需要IT運(yùn)維團(tuán)隊(duì)在必要的地方影響修復(fù)。Tachyon能使兩個(gè)團(tuán)隊(duì)更有效協(xié)作,以便潛在事件能在數(shù)秒內(nèi)被檢測(cè)并修復(fù),而不是要數(shù)小時(shí)甚或幾天。