專注威脅檢測與響應市場,「華清信安」希望幫助客戶提升安全能力、降低安全成本

語言: CN / TW / HK

從近年安全行業的發展趨勢來看,當前不少客戶已經完成基礎安全能力的搭建,採買了不少安全產品。但由此帶來的一個問題是,當各種安全產品帶來的告警過於繁雜且碎片化,就會讓企業內部的安全、運維人員難以高效工作。在此前提之下,XDR類產品被視為解決此類問題的一種方法。

簡單來說,XDR會將終端、網路、雲和工作負載、威脅情報等層面的安全資料和安全產品集中整合,通過資料接入和分析,提供統一的告警處置介面,希望降低無效告警,提升運維效率。在具體實踐上,XDR可以結合安全資訊和事件管理(SIEM)、安全編排自動化和響應(SOAR)、端點檢測與響應(EDR)以及網路威脅檢測及響應(NDR),實現聯動,達成預期效果。

從行業來看,2018年後,國外的一些安全廠商提出了XDR的概念,並在2019年實際進行了產品落地,Gartner也連續兩年將其列為十大安全專案之一。而自2020年起,我們觀察到國內的一些創業公司也愈發關注XDR。具體而言,大家的路線主要分為兩類,一類是通過整合既有產品(主要包括EDR、NDR等)打造XDR能力,另一種則是從一開始就專注XDR,同時通過自研和協作等方式補齊EDR和NDR產品。

36氪日前接觸到的一家公司「華清信安」,成立於2013年,一直專注網路安全行業。公司創始人田新遠介紹,其在網路安全領域從業20年,先後在O2Micro、華為、山石、綠盟等網路安全公司從事產品研發、專業諮詢和高階管理工作。華清信安的發展過程也可以從其經驗積累和產品迭代角度展開。

早期,即田新遠2013年開始創業時,網路安全行業主流市場需求依然是硬體產品。於是華清信安從下一代防火牆產品起家,後基於客戶方迭代的產品需求,推出了USP統一安全平臺,即給予USP融合架構的平臺化、模組化產品,客戶可根據實際需求,選擇不同功能模組來靈活構築安全平臺,實現“一機多用”。

2017年底,華清信安提出“新安全”概念——TDR(Threat Detection and Response)威脅檢測與響應,並將TDR定義為:以平臺化的方式整合縱深防禦技術、大資料和機器學習等新型安全檢測技術以及自動化、智慧化安全響應技術,以服務的模式交付安全能力,從而實現威脅的閉環管理。田新遠表示,雖然TDR和XDR叫法不同,但是二者的內涵其實並沒有太大差別。當前,華清信安在和客戶交流時也不會過於強調不同概念之間的差別。

在具體落地方面,2018年華清信安推出了TDR 1.0版本,正式進入XDR(Extended Detection and Response)擴充套件的威脅檢測與響應領域。2021年2月,華清TDR智慧安全運營平臺4.0版本正式釋出——這也是如今公司重點發展的方向。

田新遠介紹,打造TDR產品時有兩個難點需要跨越,首先是以威脅為核心的智慧檢測、分析和防護技術的長期積累、迭代。其表示,華清信安核心研發團隊成員大都具備十年以上的下一代防火牆、IPS、WAF和網路行為管控等領域的研發經驗。同時,公司也基於攻擊鏈模型構建威脅全生命週期行為分析機器學習演算法,經過企業客戶實際流量的運營驗證和不斷升級迭代,形成智慧化威脅檢測與響應的閉環技術路線。

更具體地解釋,早期的傳統防火牆產品主要依賴特徵庫的進行檢測,但這種方式並不適合新型的攻擊情況,所以華清信安的技術路線並不以特徵庫為基礎,而是以行為分析為底層能力,還加入NTA、機器學習等技術,以此打造產品貫穿威脅的全生命週期。第二個難點則是實現統一運營,這是由於XDR的核心理念即是擴充套件的檢測與響應,所以將各個渠道的威脅整合檢測與響應也成為重點。據介紹,TDR實現了“網路—主機—應用—雲—第三方”多源資料的統一分析和“防禦—檢測—感知—預警—響應”的閉環統一管控。

當前,公司已經階段性跨過產品打磨的門檻。在客戶畫像上,目前公司目標客戶主要包括政府、金融、教育、醫療和大中型企業。標杆案例包括國家工商行政管理總局、中國電信、中鐵集團、中金、中證金融、清華大學、國藥集團、三星集團、寶馬中國等,累計服務客戶超過一千多家。現在華清信安也可以根據客戶需求,提供訂閱制或專案制兩種收費模式。

談及行業情況和公司未來發展計劃,田新遠表示,威脅檢測與響應的概念很大,從目前的全球市場來看,還沒有一家企業能夠把威脅檢測與響應做得既全面又精悍。華清信安在研發TDR智慧安全運營平臺時,更關注來自外部的威脅,所以以T(Threat)為核心,聚焦T來做好檢測、防護、響應、處置的閉環管理,並將其以平臺和運營服務的方式交付給客戶。在2022年,華清信安也計劃持續打磨TDR等產品,同時加快市場拓展。