多年來,在進階持續威脅(APT)的肆虐之下,造就多種威脅偵測與應變服務的崛起,如EDR、MDR、XDR,許多資安人員已日益熟悉事前、事中、事後的資安處理框架,並逐漸顛覆以傳統防毒軟體與網路防火牆為首、過去我們所熟悉的資安局部預防策略,因為總會出現漏網之魚、無法做到100%預防,已是當前資安防護的常態,這也是為何零信任成為資安界的最大共識。
身為長期鼓吹做好資安威脅預防,才能有效降低總體防護成本的廠商Check Point,結合上述兩種概念,在今年9月以預防優先(Prevention-First)為主要特色,推出資安維運代管服務產品線Horizon,當中包含代管型威脅偵測與應變服務,名為Managed Prevention and Response(MPR),對應延伸型威脅偵測與應變服務,名為Extended Prevention and Response(XPR),以及事件管理平臺,名為Events,前兩種服務可分別對應市面上的MDR與XDR。
Check Point表示,Horizon系列解決方案訴求簡化使用,幕後仰賴該公司具備長期豐富實戰經驗的分析人員、研究專家團隊,以及創新的AI技術。
而所謂的預防優先策略,是指提供更強健的偵測、應變、獵捕功能,在資料外洩行為導致傷害之前,可運用這些做法先行阻止,而這背後仰賴兩大機制,一是該公司發展與維運的AI大數據威脅情資平臺Threat Cloud,能夠持續更新近期發現的入侵指標(IoC),這些資訊來源是全球數萬個網路連線及數百萬臺端點設備,另一機制是他們培養的頂尖網路威脅研究團隊Check Point Research。
在此同時,這套預防優先的策略,在結合既有資安產品線與Horizon系列之後,可提供3個層級的防護。
首先,可基於Check Point資安軟體而成的網路防火牆Quantum系列、端點防護系統Harmony系列、雲端安全防護服務CloudGuard系列,提供強制實施控管政策的預防關卡;第二層是運用Horizon XPR,透過自動預防資安威脅的服務,遏止攻擊、阻止它們擴散;第三層是在Horizon MPR的監測防護之下,提供可實踐的資安預防威脅最佳實務,避免未來受到攻擊。
除此之外,Horizon MPR可以針對Check Point產品與第三方資安產品的資料來源,提供服務,而Horizon XPR可連接Check Point所有產品,後續也將聽從客戶回饋的意見,將支援第三方資安產品的資料來源列入支援範圍之內。
MDR服務打頭陣,後續將推出XDR服務與事件平臺
在這系列服務中,Horizon MPR是目前率先上市的解決方案,是第一款導入預防優先概念的MDR服務,本身也是一種資訊安全監控中心即服務(SOC-as-a-Service),將會全天候(24/7)監控整體資安環境,Check Point將會提供主動式的預防、監控、偵測、調查、獵捕、應變,以及矯正等機制。
而且,無論企業和組織採用何種產品或解決方案,Check Point Incident Response團隊的優勢在於累積25年的應變經驗,執行分析、交互關聯,從而理解現況,並代表用戶去進行事態因應的工作,提供促成預防心態養成的建議(對應NIST網路安全框架)。
過程中,Check Point會進行深層的事故調查,並運用他們收集到的威脅情資、AI分析工具,以及資安業界通行的網路威脅框架MITRE ATT&CK,執行主動威脅獵捕的作業;隨後他們會列出各種可行的資安對策與最佳實務建議,例如更新組態、調整政策、安裝漏洞修補程式,協助用戶達到預防優先的效果。
值得注意的是,由於市面上已經有多家廠商推出MDR服務,我們認為Check Point似乎不太可能今年才開始提供這類解決方案,而在尋找相關資料時,我們發現2021年11月他們在自己經營的專家、客戶社群網站CheckMates上,就已經悄悄宣布推出Infinity MDR代管服務,而在Check Point Horizon發表的此刻,對於我們詢問此事,他們表示,這項服務的企業大量授權計畫的確是在2021年底就開始進行,因此,就本質而言,Horizon MPR的推出是品牌重塑。
至於Horizon XPR與Horizon Events,目前已開放預覽,均為透過SaaS雲端服務形式提供的解決方案。
以Horizon XPR而言,能夠涵蓋用戶的整體IT基礎架構,對於出現的各種攻擊活動,進行快速偵測、調查、自動應變,增進資安維運效率。這裡面的系統可藉由交互關聯所有產品收集到的資料,而能識別組織內部威脅、預防對外散播、擴張勢力範圍,以及偵測未知的零時差漏洞濫用攻擊,當中也將結合多種技術,例如AI分析、大數據威脅情資、多層次事故分析、機器學習,不僅可透視整個企業環境安全性,也能搭配用戶既有的Check Point資安解決方案使用。
Check Point表示,Horizon XPR是為了資安分析人員所設計出來的解決方案,已考量到SOC團隊需求,當中結合Check Point Research、ThreatCloud之力,能夠統合用戶資安環境,以及該公司全球其他用戶的活動,進行交互關聯。
關於Horizon MPR與Horizon XPR之間的區別,我們進一步詢問Check Point,他們表示,Horizon XPR是專供安全維運中心團隊使用的「平臺」,能夠管理整個IT基礎架構的資安維運作業,用戶可以在他們自己的安全維運中心使用這套平臺;Horizon MPR是由Check Point資安專家、MDR分析人員提供的代管服務,可針對整個IT基礎架構提供24x7的資安維運監控。
另一款Horizon Events則明顯異於上述兩款解決方案,其主要功能在於能夠橫跨Check Point所有資安產品,提供完整的事件記錄透視能力,實現更有效率的監控、搜尋,以及威脅獵捕作業。在這當中,將會針對網路、端點、行動裝置、物聯網、雲端服務等IT環境的資安事故,進行資訊的統合與同步處理。
Check Point表示,這是專為資安管理者與分析人員設計的SaaS雲端服務,提供簡易與直覺的分析操作介面,支援每日進行維運作業。
同時,它本身也是一種記錄與事件遞送服務,用戶能在此自定重大事件的警示發布條件,協助調查與解決各種資安事故帶來的問題,兼具節省時間與簡化複雜度的功效。
根據該公司釋出的解決方案簡介來看,Horizon Events主要有三大功能,首先是統合所有Check Point產品的事件記錄,用戶能夠集中搜尋與檢視相關資訊;其次是具備直覺、快速操作的介面,便於每天的障礙排除與分析作業;第三則是提供事件記錄即服務的體驗,能讓用戶針對重大事件自訂警報機制。
產品資訊
Check Point Horizon系列
●原廠:Check Point
●建議售價:廠商未提供
●產品線:MDR服務Horizon MPR、XDR服務Horizon XPR、資料統合平臺Horizon Events
●搭配的網路威脅情資平臺:ThreatCloud
●幕後服務團隊:Check Point Incident Response、Check Point Research●保護範圍:網路、端點、雲端服務、電子郵件、行動裝置
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】
熱門新聞
2023-12-03
2024-04-24
2024-04-25
2024-04-26
2024-04-22
2024-04-22
2024-04-22