本文讲的是这种新型EDR工具可实现秒级对全IT资产的检测与修复,检测时间和修复时间,决定是安全事件还是数据泄露。目前,虽然市面上有很多新产品帮助安全团队检测事件,但是能够帮助IT运营团队快速修复事件影响的工具却极少见。
问题之一,就是检测和修复是两个相互独立的操作,而且它们分别由安全团队和IT团队执行。但安全并非IT的唯一客户——IT还要响应合规、审计和公司内几乎所有运营部门的改善或新增App请求。
结果就是,今天众多威胁检测系统产生的大量误报,让本已沉重不堪的工作量更加难以完成了。1000名IT专业人士组成的1E自身研究团队表示,超半数的人花费25%的时间,响应来自紧急安全更新、配置改变和软件审计的非计划事件。
上周,1E发布了Tachyon,旨在为IT运营提供全IT资产触角的即时可操作访问(多达150万台终端)——无论终端分布和操作系统情况。每个终端都部署有代理,无论是服务器、桌面电脑、移动设备还是IoT设备,都可以被Tachyon服务器查询。全公司范围的资产,都可在安全事件发生数秒内被隔离并采取修复行动。
斯图尔特·奥金,1E产品高级副总裁,称可将Tachyon前端比作IT资产的谷歌搜索引擎。可在前端提问,来自各个终端的答案秒回。基于这些回答,便可采取修复行动了——同样是秒级。
奥金给出了有关Java滥用的例子。假设安全团队知道某Java漏洞正被利用,并将此信息传达给了IT运营团队。在Tachyon前端按“Java”关键字搜索设备软件,便会列出所有风险设备。然后再搜索连接到攻击者IP地址的历史证据,数秒内,所有被感染设备(如果有的话)就会被定位。
指令Tachyon向本地防火墙添加一条该IP地址的拦截规则,与攻击者的进一步通信便能被立即封锁。重复这一过程,可确保没有任何设备能连接攻击者。
该原则全面适用。如果安全团队从其他威胁情报系统知晓当前威胁,或检测到攻击指标,并能定义该威胁,IT团队就可使用Tachyon,在数秒内定位并修复之。当然,未必得是安全威胁——监管威胁、审计要求之类都可以。比如说,可用来定位特权账户对敏感数据的访问,删除非必要的东西等等。如果需要的话,还可以将其他特权账户的准确细节发送给审计。
奥金强调:Tachyon不是用来替代现有安全投入的,而是与现有解决方案协作,增强其性能。微软SCCM就是个例子。“其他厂商提倡的是推倒重来策略,我们则是全新打造Tachyon,覆盖在微软SCCM之上,推动其速度和响应。”1E创始人兼CEO苏米尔·卡拉伊评论道。
Tachyon首批用户之一,财富500强医疗保险公司证实了这一点。“我们重度依赖微软SCCM和其他1E解决方案,自动化软件更新之类日常IT任务,但缺乏即时发现并修复严重问题的能力。”该公司基础设施工程经理说,“1E的Tachyon补强了这些实时能力——帮助我们应对紧急事件。有了Tachyon,我们便能用有组织的可控方式,在数秒内解决大问题,不再像以前似的要花几小时。”
Tachyon运作关键在于每个终端上的代理。这些代理会查询设备,与Tachyon服务器维持安全通信。它们提供修复步骤的功能基础,在不对核心系统做任何升级的情况下允许引入额外的功能,确保系统是完全可扩展的。这是个跨平台的终端,支持微软、Mac、Linux、移动和IoT——适合大企业和新兴物联网。
Tachyon方法的能力所在,是它不替代任何东西,也不尝试自动化决策。事实上,在修复动作中那些可谓“重大修改”的地方,在修复被执行前都会被要求二次确认的。它让现有系统更有效更快速。公司企业仍需威胁分析师来识别潜在事件;需要IT运维团队在必要的地方影响修复。Tachyon能使两个团队更有效协作,以便潜在事件能在数秒内被检测并修复,而不是要数小时甚或几天。