随着民族国家和资金雄厚的网络犯罪攻击团伙试图利用数字资产防御的巨大漏洞,多域攻击即将成为一种数字流行病。企业不得不应对企业资产、应用程序、系统、数据、身份和终端之间不断扩大且往往未知的差距。
攻击速度的快速上升正在推动领先的网络安全提供商之间展开图形数据库军备竞赛。微软在Ignite 2024上推出的安全暴露管理平台 (MSEM)反映了军备竞赛的成熟速度,以及遏制军备竞赛为何需要更先进的平台。
除了微软的。MSEM 之外,在打击多域威胁的图形数据库军备竞赛中,其他主要参与者还包括CrowdStrike及其Threat Graph、思科的 XDR、SentinelOne 的 Purple AI、Palo Alto Networks 的 Cortex XDR和趋势科技的 Vision One ,以及Neo4j、TigerGraph和Amazon Neptune等提供基础图形数据库技术的提供商。
“三年前,我们每秒看到 567 次与密码相关的攻击。如今,这一数字已飙升至每秒 7,000 次。这代表着现代网络威胁的规模、速度和复杂程度大幅升级,凸显了主动和统一的安全策略的紧迫性,”微软安全、合规、身份、管理和隐私公司副总裁 Vasu Jakkal 在最近接受 VentureBeat 采访时表示。
微软在 Ignite 2024 上全力推进其安全愿景
随着每个组织都遭遇越来越多的多域入侵尝试并遭受未被发现的漏洞,微软正在加倍重视安全性,将其战略转向 MSEM 中的基于图形的防御。Jakkal 告诉 VentureBeat,“现代攻击的复杂性、规模和速度要求安全性发生代际转变。图形数据库和生成式 AI 为防御者提供了将零散的见解统一为可操作情报的工具。”
CrowdStrike 美洲地区首席技术官克里斯蒂安·罗德里格斯 (Cristian Rodriguez) 在最近接受 VentureBeat 采访时重申了图形技术的重要性。“图形数据库使我们能够跨域映射对手行为,识别攻击者利用的微妙联系和模式。通过可视化这些关系,防御者可以获得预测和破坏复杂的跨域攻击策略所需的背景洞察力,”罗德里格斯说。
Ignite 2024 的主要公告包括:
- Microsoft 安全风险管理平台 (MSEM)。作为 Microsoft 战略的核心,MSEM 利用图形技术动态映射数字资产(包括设备、身份和数据)之间的关系。MSEM 对图形数据库的支持使安全团队能够识别高风险攻击路径并优先考虑主动补救措施。
- 零日探索。微软将提供 400 万美元的奖励,以发现 AI 和云平台中的漏洞。该计划旨在召集研究人员、工程师和 AI 红队,以先发制人的方式解决关键风险。
- Windows 弹性计划。该计划专注于零信任原则,旨在通过保护凭证、实施零信任 DNS 协议和加强 Windows 11 以抵御新兴威胁来增强系统可靠性和恢复能力。
- Security Copilot 增强功能。微软声称,Security Copilot 的生成式 AI 功能可自动检测威胁、简化事件分类并将平均解决时间缩短 30%,从而增强 SOC 操作。这些更新与 Entra、Intune、Purview 和 Defender 集成,可提供可操作的见解,帮助安全团队更高效、更准确地应对威胁。
- Microsoft Purview 中的更新。Purview的高级数据安全态势管理 (DSPM) 工具通过实时发现、保护和管理敏感数据来解决生成性 AI 风险。功能包括检测即时注入、减轻数据滥用和防止 AI 应用中的过度共享。该工具还加强了对 AI 治理标准的遵守,使企业安全与不断发展的法规保持一致。
为什么是现在?图形数据库在网络安全中的作用
微软安全研究公司副总裁 John Lambert 强调了基于图形的思维在网络安全中的重要性,他向 VentureBeat 解释道:“防御者以列表的方式思考,而网络攻击者以图形的方式思考。只要这是真的,攻击者就会获胜。”
他补充说,微软的风险管理方法包括创建数字资产的综合图表,覆盖漏洞、威胁情报和攻击路径。“这是为了让防御者了解他们环境的完整地图,让他们能够优先考虑最关键的风险,同时了解任何妥协的潜在影响范围,”兰伯特补充道。
图形数据库作为网络安全平台的架构策略,发展势头迅猛。它们擅长可视化和分析互联数据,这对于实时识别攻击路径至关重要。
图形数据库的主要优点包括:
- 关系上下文:映射资产和漏洞之间的关系。
- 快速查询:几毫秒内遍历数十亿个节点。
- 威胁检测:识别高风险攻击路径,减少误报。
- 知识发现:使用图形 AI 洞察相互关联的风险。
- 行为分析:图表检测跨域的细微攻击模式。
- 可扩展性:将新的数据点无缝集成到现有的威胁模型中。
- 多维分析:
Gartner 热图强调了图形数据库在异常检测、监控和决策等网络安全用例中的表现,将其定位为现代防御策略中的重要工具。
“新兴技术:利用知识图谱数据库优化威胁检测”,2024 年 5 月。来源:Gartner
微软 MSEM 平台的独特之处
Microsoft 安全暴露管理平台 (MSEM) 通过其实时可视性和风险管理与其他图形数据库驱动的网络安全平台区分开来,它可以帮助安全运营中心团队掌握风险、威胁、事件和漏洞。
Jakkal 告诉 VentureBeat:“MSEM 弥补了检测与行动之间的差距,使防御者能够有效地预测和缓解威胁。”该平台体现了微软统一的图形驱动安全方法的愿景,为组织提供工具,以精确和快速的方式领先于现代威胁。
MSEM 以图形驱动的洞察力为基础,集成了抵御多域攻击和碎片化安全数据所需的三大核心功能。它们包括:
来源:微软
- 攻击路径分析。MSEM使用图形数据库从对手的角度绘制攻击路径,精确定位他们可能利用的关键路线。借助 AI 驱动的图形建模,它可以识别混合环境中的高风险路径,包括本地、云和 IoT 系统。
- 统一风险洞察。微软还设计了 MSEM,将技术数据转化为安全专业人员和业务领导者可操作的情报。它支持勒索软件保护、SaaS 安全和物联网风险管理,确保向安全分析师提供有针对性的、有洞察力的数据。
微软还在 Ignite 2024 上宣布了以下 MSEM 增强功能:
- 第三方集成:MSEM 与 Rapid7、Tenable 和 Qualys 连接,拓宽其可见性并使其成为混合环境的强大工具。
- 人工智能图形建模:检测隐藏的漏洞并执行高级威胁路径分析,以主动降低风险。
- 历史趋势和指标:此工具跟踪暴露随时间的转变,帮助团队自信地适应不断变化的威胁。
图形数据库在网络安全中的作用日益增强
事实证明,图形数据库在跟踪和击败多域攻击方面具有无可估量的价值。它们擅长实时可视化和分析互联数据,从而实现更快、更准确的威胁检测、攻击路径分析和风险优先级排序。图形数据库技术在领先的网络安全平台提供商的路线图中占据主导地位,这并不令人意外。
思科的 XDR 就是一个例子。思科平台将图形数据库的实用性扩展到以网络为中心的环境中,连接端点、物联网设备和混合网络之间的数据。主要优势包括集成在思科应用程序和工具套件中的集成事件响应以及以网络为中心的可视性。“我们必须确保我们在本地使用人工智能进行防御,因为你无法在人类规模上对抗来自对手的人工智能武器化攻击。你必须在机器规模上做到这一点,”思科执行副总裁兼首席产品官 Jeetu Patel 在今年早些时候接受 VentureBeat 采访时表示。
CrowdStrike Threat Graph®于 2012 年推出,自成立以来一直是 CrowdStrike Falcon 平台的基础。它经常被引用为图形数据库在端点安全中强大功能的一个例子。Threat Graph 每天处理超过 2.5 万亿个事件,擅长检测弱信号和映射对手行为。在Fal.Con 2022上推出的Falcon LogScale利用 Threat Graph 提供高级日志管理。罗德里格斯向 VentureBeat 强调:“我们的图形功能通过专注于端点遥测来确保精度,为防御者提供比以往更快的可操作见解。” CrowdStrike 的主要差异化因素包括端点在跟踪横向移动和识别异常行为方面的精度。Threat Graph 还支持在 AI 上使用的行为分析,以发现跨工作负载的对手技术。
Palo Alto Networks(Cortex XDR)、SentinelOne(Singularity)和 Trend Micro 等知名企业都利用图形数据库来增强其威胁检测和实时异常分析能力。Gartner 在最近的研究报告《新兴技术:利用知识图谱数据库优化威胁检测》中预测,由于图形数据库能够支持人工智能驱动的洞察力并减少安全操作中的噪音,因此图形数据库将继续得到广泛采用。
图形数据库将改变企业防御
微软的 Lambert 概括了该行业的发展轨迹,他说:“希望最好的攻击图能够获胜。图形数据库正在改变防御者对相互关联风险的看法”,强调了它们在现代网络安全战略中的关键作用。
多域攻击瞄准的是复杂数字资产之间和内部的弱点。寻找身份管理中的漏洞是民族国家攻击者集中精力挖掘数据以访问公司核心企业系统的领域。微软与思科、CrowdStrike、Palo Alto Networks、SentinelOne 和 Trend Micro 联手,启用并继续改进图形数据库技术,以便在发生入侵之前识别威胁并采取行动。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/tu-xing-shu-ju-ku-jun-bei-jing-sai-wei-ruan-ji-qi-jing
