多领域攻击:一场迫在眉睫的数字疫情
随着国家和资金雄厚的网络犯罪团伙利用数字资产防御中的巨大漏洞,多领域攻击正迅速演变成一场数字疫情。企业正面临着企业资产、应用程序、系统、数据、身份和端点之间日益扩大且往往未知的差距。
攻击速度的快速提升正在推动领先网络安全提供商之间展开一场图数据库军备竞赛。微软在 Ignite 2024 上推出的安全漏洞管理平台 (MSEM) 反映了这场军备竞赛的快速发展,以及为何遏制这种攻击需要更先进的平台。
除了微软的 MSEM 之外,其他参与图数据库军备竞赛以对抗多领域威胁的关键参与者包括:CrowdStrike 的 Threat Graph、思科的 XDR、SentinelOne 的 Purple AI、Palo Alto Networks 的 Cortex XDR 和趋势科技的 Vision One,以及 Neo4j、TigerGraph 和 Amazon Neptune 等提供基础图数据库技术的供应商。
“三年前,我们每秒看到 567 次与密码相关的攻击。如今,这个数字已飙升至每秒 7,000 次。这代表着现代网络威胁的规模、速度和复杂程度大幅升级,突显了主动和统一安全策略的紧迫性。”微软安全、合规、身份、管理和隐私部门的企业副总裁 Vasu Jakkal 在最近的一次采访中告诉 VentureBeat。
随着每个组织都经历了更多多领域入侵尝试,并遭受了未发现的漏洞,微软正在加倍投入安全领域,将其策略转向 MSEM 中的基于图的防御。Jakkal 告诉 VentureBeat:“现代攻击的复杂性、规模和速度要求安全领域发生代际转变。图数据库和生成式 AI 为防御者提供了将分散的见解统一为可操作情报的工具。”
CrowdStrike 的美洲地区首席技术官 Cristian Rodriguez 在最近接受 VentureBeat 采访时也强调了图技术的重要性。“图数据库使我们能够跨领域映射攻击者的行为,识别攻击者利用的微妙联系和模式。通过可视化这些关系,防御者可以获得必要的上下文洞察力,以预测和破坏复杂的跨领域攻击策略。”Rodriguez 说。
Ignite 2024 的关键公告
- 微软安全漏洞管理平台 (MSEM)。作为微软战略的核心,MSEM 利用图技术动态映射跨数字资产的关系,包括设备、身份和数据。MSEM 对图数据库的支持使安全团队能够识别高风险攻击路径,并优先考虑主动修复工作。
- 零日探索。微软正在提供 400 万美元的奖励,以发现 AI 和云平台中的漏洞。这项计划旨在汇集研究人员、工程师和 AI 红队,以主动解决关键风险。
- Windows 韧性计划。该计划侧重于零信任原则,旨在通过保护凭据、实施零信任 DNS 协议和加强 Windows 11 防御新兴威胁来提高系统可靠性和恢复能力。
- 安全副驾驶增强功能。微软声称,安全副驾驶的生成式 AI 功能通过自动化威胁检测、简化事件分类和将平均解决时间缩短 30% 来增强 SOC 操作。这些更新与 Entra、Intune、Purview 和 Defender 集成,提供可操作的见解,帮助安全团队更有效率和准确地应对威胁。
- 微软 Purview 的更新。Purview 的高级数据安全态势管理 (DSPM) 工具通过实时发现、保护和管理敏感数据来解决生成式 AI 风险。功能包括检测提示注入、减轻数据滥用和防止 AI 应用程序中的过度共享。该工具还加强了对 AI 治理标准的合规性,使企业安全与不断发展的法规保持一致。
微软安全研究部门的企业副总裁 John Lambert 强调了基于图的思维在网络安全中的重要性,他向 VentureBeat 解释说:“防御者以列表思考,网络攻击者以图思考。只要这种情况存在,攻击者就会获胜。”
他补充说,微软的漏洞管理方法涉及创建数字资产的综合图,叠加漏洞、威胁情报和攻击路径。“这是为了让防御者获得其环境的完整地图,使他们能够优先考虑最关键的风险,同时了解任何妥协的潜在爆炸范围。”Lambert 补充道。
图数据库作为网络安全平台的架构策略正在获得发展势头。它们擅长可视化和分析相互关联的数据,这对实时识别攻击路径至关重要。
图数据库的关键优势
- 关系上下文:映射资产和漏洞之间的关系。
- 快速查询:在毫秒内遍历数十亿个节点。
- 威胁检测:识别高风险攻击路径,减少误报。
- 知识发现:使用图 AI 洞察相互关联的风险。
- 行为分析:图检测跨领域的微妙攻击模式。
- 可扩展性:将新的数据点无缝集成到现有的威胁模型中。
- 多维分析:
Gartner 热图强调了图数据库在网络安全用例(如异常检测、监控和决策)中的优势,将其定位为现代防御策略中必不可少的工具。
“新兴技术:使用知识图数据库优化威胁检测”,2024 年 5 月。来源:Gartner
微软安全漏洞管理平台 (MSEM) 通过其实时可见性和风险管理,使其与其他基于图数据库的网络安全平台区别开来,这有助于安全运营中心团队掌握风险、威胁、事件和漏洞。
Jakkal 告诉 VentureBeat:“MSEM 弥合了检测和行动之间的差距,使防御者能够有效地预测和缓解威胁。”该平台体现了微软对统一、基于图的安全方法的愿景,为组织提供了工具,使他们能够以精确和速度领先于现代威胁。
MSEM 的核心功能
基于图驱动的见解构建的 MSEM 集成了对抗多领域攻击和碎片化安全数据所需的三个核心功能。它们包括:
- 攻击面管理。MSEM 旨在提供组织数字资产的动态视图,使识别资产、相互依赖关系和漏洞成为可能。自动发现 IoT/OT 设备和未受保护的端点等功能确保可见性,同时优先考虑高风险区域。设备清单仪表板按关键程度对资产进行分类,帮助安全团队精确地关注最紧急的威胁。
来源:微软
- 攻击路径分析。MSEM 使用图数据库从攻击者的角度映射攻击路径,精确地指出他们可能利用的关键路线。通过 AI 驱动的图建模增强,它识别跨混合环境(包括内部部署、云和 IoT 系统)的高风险路径。
- 统一的漏洞见解。微软还设计了 MSEM,将技术数据转换为安全专业人员和业务领导者角色的可操作情报。它支持勒索软件保护、SaaS 安全和 IoT 风险管理,确保为安全分析师提供有针对性的、有见地的数据。
微软还在 Ignite 2024 上宣布了以下 MSEM 增强功能:
- 第三方集成:MSEM 与 Rapid7、Tenable 和 Qualys 连接,扩展了其可见性,使其成为混合环境中强大的工具。
- AI 驱动的图建模:检测隐藏的漏洞并执行高级威胁路径分析,以主动降低风险。
- 历史趋势和指标:此工具跟踪漏洞随时间的变化,帮助团队自信地适应不断变化的威胁。
图数据库在跟踪和击败多领域攻击方面已证明其价值。它们擅长实时可视化和分析相互关联的数据,从而实现更快、更准确的威胁检测、攻击路径分析和风险优先级排序。图数据库技术主导领先网络安全平台提供商的路线图也就不足为奇了。
思科的 XDR 就是一个例子。思科平台将图数据库的效用扩展到以网络为中心的環境,将跨端点、IoT 设备和混合网络的数据连接起来。关键优势包括跨思科应用程序和工具套件以及以网络为中心的可见性集成的集成事件响应。“我们必须确保我们使用 AI 本地化防御,因为你无法以人类规模对抗来自对手的 AI 武装攻击。你必须以机器规模进行。”思科执行副总裁兼首席产品官 Jeetu Patel 在今年早些时候接受 VentureBeat 采访时表示。
CrowdStrike Threat Graph® 于 2012 年推出,自 CrowdStrike Falcon 平台诞生以来一直是其基础。它经常被引用为图数据库在端点安全中的力量的例子。Threat Graph 每天处理超过 2.5 万亿个事件,擅长检测微弱信号和映射攻击者行为。在 Fal.Con 2022 上推出的 Falcon LogScale 利用 Threat Graph 提供高级日志管理。Rodriguez 向 VentureBeat 強调:“我们的图功能通过专注于端点遥测来确保精度,为防御者提供比以往更快的可操作见解。”CrowdStrike 的关键差异化因素包括在跟踪横向移动和识别异常行为方面的端点精度。Threat Graph 还支持用于 AI 的行为分析,以揭示跨工作负载的攻击者技术。
Palo Alto Networks(Cortex XDR)、SentinelOne(Singularity)和趋势科技是利用图数据库来增强其威胁检测和实时异常分析能力的知名参与者。Gartner 在最近的研究报告“新兴技术:使用知识图数据库优化威胁检测”中预测,由于它们能够支持 AI 驱动的见解并减少安全操作中的噪音,它们将继续被广泛采用。
微软的 Lambert 总结了该行业的轨迹,他说:“愿最好的攻击图获胜。图数据库正在改变防御者对相互关联风险的思考方式。”这突出了它们在现代网络安全策略中的关键作用。
多领域攻击针对复杂数字资产之间和内部的弱点。在身份管理中寻找漏洞是国家攻击者集中精力和挖掘数据以访问公司核心企业系统的领域。微软加入了思科、CrowdStrike、Palo Alto Networks、SentinelOne 和趋势科技的行列,使能并不断改进图数据库技术,以便在发生漏洞之前识别和应对威胁。
