独报0day漏洞攻击！深信服XDR在2022攻防演练技惊四座

在刚刚过去的国家级攻防演练中，深信服XDR技惊四座。超乎预期的体验和效果，让用户也不吝溢美之词！
 
“事件发现得很及时，靠谱！”

“没想到能主动发现事件！”

“业务刚恢复上线，立刻出有效告警了！”

……
 
话不多说，来看深信服XDR这份亮眼的「实战成绩单」：
 
国内大型三甲医院：

独报0day漏洞攻击，呈现完整可视化进程链
 
7月25日，深信服XDR检测到红队利用某OA服务器0day漏洞对某三甲医院进行攻击。此次攻击绕过了多个防护设备，只有深信服XDR通过IOA行为检测引擎独报事件，获得用户高度认可。同时，深信服XDR通过可视化进程链，将红队外联下载远控木马、内网横向移动等攻击行为完整呈现。深信服MDR安全服务专家溯源研判效率由此提升至分钟级，并快速完成处置加固。

某头部银行科技子公司：

检测隐蔽后门连接黑客工具，网端联动光速定位
 
8月8日，深圳某头部银行科技子公司测试Cobalt Strike后门上线，并运行黑客工具fscan对内网扫描，以此检验现场各厂商检测精准度。深信服XDR检测出CS上线异常情况，并且通过可视化进程链准确定位终端进程，真正实现网端联动光速定位。

国家大型能源企业：

捕获钓鱼邮件攻击，“平台+组件+服务”闭环事件
 
8月5日，深信服XDR通过IOA行为检测引擎，联动终端安全管理系统EDR，检测到某能源集团遭受钓鱼邮件攻击。深信服MDR安全服务专家在16时18分主动推送钓鱼邮件事件，当即帮助用户找到对应用户和文件并进行隔离处置。

大型国有建工集团：

检出加密通信攻击，6分钟极速全流程闭环
 
8月2日，深信服XDR精准检测到红队对某大型国有建工集团的视频会议系统进行加密WebShell上传、访问加密WebShell等一系列攻击。MDR安全服务专家快速隔离失陷主机，避免进一步横向扩散。仅用6分钟，深信服完成从事件检出到服务器隔离处置全流程，获得用户称赞。

某央企集团：
识别加密流量Shiro漏洞风险，MSS服务快速闭环
 
8月3日，深信服XDR检测出红队通过Shiro反序列化漏洞攻击某央企集团演示大屏系统。该漏洞使用加密流量传输，若攻击成功，将造成服务器失陷。MSS专属服务经理果断推送事件，用户立即下线系统进行整改。深信服XDR精准识别漏洞风险与高效应急响应的能力已深入人心。

攻防演练验兵时刻，深信服XDR已然有“悍将风范”。
 
深信服XDR实力证明初出茅庐也可以崭露锋芒，只因背后有强大的技术能力与服务经验沉淀，足以让更多人刮目相看。
 
深度检测潜伏高级威胁

IOA行为检测引擎+网端遥测数据聚合分析
 
IOA行为检测引擎能够基于攻击行为识别威胁，主动收集网端两侧与攻击技战术相关的遥测行为数据，进行溯源取证，可覆盖ATT&CK 264项攻击手法。结合XTH云端专家鉴定，深信服XDR能够减少误报漏报，确保高达99%的检测精准度。

深信服IOA行为引擎基于先进的数据编织框架，以及多事件复杂关联规则匹配算法，依靠泛化行为规则提高未知高级威胁攻击检测能力，能关联复杂的、时间跨度大的攻击行为，精准、详细、真实地描绘攻击者行为，在进程层面形成可视化攻击进程链。
 
由此，深信服XDR能够深度挖掘高级潜伏威胁，截至目前已检测出多个0day漏洞攻击事件。
 
精准高效完成事件响应

终端失陷溯源可视化进程链
 
不用花几小时定位入侵源头，深信服XDR通过终端失陷溯源可视化能力，在告警详情页面直接展示攻击入口信息，溯源时间从小时级压缩至分钟级。同时平台在每个攻击的步骤上给出处置建议，帮助用户精准高效完成处置闭环工作。

深信服XDR的可视化攻击进程链，来源于先进的统一数据模型——溯源图，其按时间顺序记录用户环境中发生的一切行为，将所有遥测数据串成一个图。
 
将溯源图里的时间、资产、网络、情报等更多因子进行关联，选取与威胁相关的点和边，形成一张小型图，这张小型图就是攻击进程链的雏形——威胁图谱。

基于威胁图谱的告警统计、时序、语义、情报、关联等上下文，XDR平台可精准判断终端是否已失陷，也可对告警进行自动化分类，并评估其威胁等级，实现减少误报漏报，驱动从告警向事件转化的质变。
 
7*24H极致响应服务

原厂专家云地协同值守
 
攻防演练期间，除了投入大量安全设备，专业的安全运营人员也是重要“利器”之一。结合原厂专家MDR服务支持，深信服XDR的价值才能获得淋漓尽致的发挥。
 
深信服XDR对接托管检测与响应服务MDR，实现云地协同7*24小时持续监测，平均5分钟响应、2小时闭环、6小时归档。

一旦发现安全事件，以规范的应急机制和响应流程，深信服MDR从监测、判断、调查到处置，形成实时闭环，减轻用户在攻防演练期间的巨大压力，实现真正省心省力。
 
依托于多年积累的AI自动化平台技术，以及专业人才大量实战攻防经验，形成独特的“人机共智”理念和SaaS化模式，深信服MDR能够快速共享安全专家、工具、经验，用户将以最少投入产出比获得TOP级安全能力。
 
深信服可扩展检测响应平台XDR
 
1个平台XDR：通过原生的流量采集工具与端点采集工具收集关键数据，通过网端聚合分析引擎对数据进行上下文关联分析，实现攻击链深度溯源；

N个组件：具备可扩展的接口开放性，协同下一代防火墙、SOAR、EDR等产品，化繁为简；

专属服务：结合托管检测与响应服务MDR，原厂专家云地协同，7*24小时极致响应，释放运营精力。