新闻

Elastic Endpoint Security 隆重推出

作者
Shay Banon

本博文中提及的 Elastic Endpoint Security 和 Elastic SIEM 解决方案现在称为 Elastic Security。 Elastic Security 解决方案范围更广,可提供端点安全、SIEM、威胁搜寻、云监测等功能。

我们今天兴奋地宣布推出 Elastic Endpoint Security,这款产品的面世与 Elastic 并购 Endgame 息息相关,因为 Endgame 在基于 MITRE ATT&CK™ 矩阵预防、检测并响应终端威胁领域里勇于开拓,是一家业内广泛认可的领军企业。Elastic 将 SIEM 和终端安全整合成一个统一的解决方案,便于公司/组织自动且灵活地对威胁进行实时响应,无论是云端环境、本地部署,还是混合环境,都能轻松应对。而且,今天 Elastic 还宣布终止 Endgame 按终端计价模式。

“目前在终端安全领域中,主要有两大趋势,第一是强大的分析后端十分重要,第二是越来越多的用户将 MITRE ATT&CK 框架作为通用标准;由于这两大趋势的出现,所以用户们现在需要更加重视威胁猎捕和事件响应用例。”451 Research 的首席分析师 Fernando Montenegro 说道,“Elastic 对 Endgame 的并购很好地顺应了这些趋势的发展,通过将 SIEM 和终端安全进行整合, Elastic 可以帮助所有公司/组织在这些用例的高效率方面更上一层楼。”

Endgame 已通过了大量独立测试机构(包括 NSS Labs、SE Labs、MITRE 等)的验证,它是可以同时提供预防和检测的十分强大的解决方案。这一点从其最近在 AV Comparatives 独立防病毒测试中的优异表现便可略见一斑;在该项测试中,Endgame 无需连至云端便阻止了 99.7% 的恶意软件,在预防真正威胁方面展示出了卓越的保护性能。

此外,Elastic Endpoint Security 将向 Elastic Stack 中引入终端安全数据领域中的这个异常强大的数据源(即原始终端事件数据和告警),使其与既有的日志、安全、APM 和基础设施事件的收集过程发挥协同效用。当前威胁的平均潜伏时间已超过 100 天,而使用 Elasticsearch 可以高效地传输、扩展和存储数据,这能为用户带来了诸多现实利益,能帮助他们轻松快速地搜索所有这些不同类型的安全相关数据。相应地,终端安全还能够很好地与 Elastic Stack 配合,从而让您尽早阻止威胁,并快速地检测攻击并进行响应。

“用户应该能够从所部署的工具中受益更多。因此,我们今天才向用户推出了这个立即可用的巨大福利,让他们只需通过轻松的使用一个统一的技术栈,即可搜索、存储、分析数据,并确保数据的安全性。”Elastic 创始人兼首席执行官 Shay Banon 说道,“我们的愿景是将搜索应用于多样化的用例,而这次收购正是我们在实现这个愿景的过程中,所迈出的激动人心的一步,因为我们现在已经能够为用户提供出色的威胁猎捕解决方案和卓越的终端保护功能了。”

screenshot-elastic-siem-endpoint-security-data-elasticsearch-2-optimized.jpg

我们在 SIEM 和终端安全领域的发展历程

单独的使用各种单点工具并不能确保公司/组织的信息安全,如果没有集中式的管理控制平台,就无法基于这些工具所采集到的数据进行响应操作。安全团队面临正面临着诸多挑战:数据孤岛、查询速度慢,以及由于缺乏上下文而的相关性,从而导致分析质量不佳。公司/组织业已知道:他们需要实时的采取行动;他们需要通过一种毫无束缚的方式采集和存储所有类型的数据;他们还需要生成高关联度的结果,并自动将这些结果应用到已有和新型的安全工作流程里。

大约两年前,我们启动了一项重要的任务,来帮助公司/组织推动安全方面的工作。尽管用户已经采用了 Elastic Stack ,并将其用与很多用例(例如威胁猎捕、欺诈检测和安全监测)的安全解决方案,但我们希望用户可以更轻松地将我们的产品部署到安全用例中。我们首先与社区携手开发了 Elastic Common Schema (ECS),让用户能够轻松地将来自网络和主机等各种来源的数据进行标准化。然后我们推出了 Elastic SIEM,这是世界上首款免费开源的 SIEM 方案;但我们并未就此止步。

现在,如果为 Elastic SIEM 部署数据收集代理的话,您在保护终端的同时,还可以摒弃那些无法进行实时响应,无法防止相关伤害和损失的,效率低下的多种解决方案。

“我们的目标是尽早的阻止攻击。这就需要在终端上应用出色的预防方案和极高级别的保真度检测。通过将 Endgame 业界领先的终端保护技术与 Elastic SIEM 相结合,我们为安全运营部门和威胁猎捕团队打造了一个交互式工作空间,让他们能够在这里阻止攻击并保护公司/组织的安全,”Nate Fick 说道,他之前是 Endgame 的首席执行官,目前任 Elastic Security 部门的总经理。

screenshot-resolver-trickbot-enrichments-showing-defender-shutdown-endgame-2-optimized.png

终止按终端计价模式

除了将全球首个免费的开源 SIEM 方案与先进的终端保护技术整合到一起,Elastic 还终止了 Endgame 按终端计价的模式。

“为什么用户要计算他们需要保护的设备数量呢?再或者,用户为什么要按照自己的预算选择能将威胁情报数据存储多少天呢?”Shay Banon 补充道,“我们希望公司/组织能够获得最好的保护方案,无论在什么地方都可以使用,并且不会由于按终端计价模式,而处于不利的形式。”

针对所使用的任何其它解决方案,从 Elastic Logs、APM、SIEM、App Search、Site Search、Enterprise Search,到现在的 Endpoint Security,Elastic 客户都仅需按照一致且透明的定价框架为资源容量付费即可。这样可以确保公司/组织能够从自身数据中收获最大价值。通过 Elastic Endpoint Security,客户能够为他们需要的全部终端(无数量上限)提供全面保护,还可以体验完整的数据收集和传输体验,从而无需在二者之间进行艰难取舍。

安全领域领导者对 Elastic Endpoint Security 的评价

Andrew Stokes,副主任暨信息安全主管,德州农工大学

“我们十分重视响应速度,以及从历史数据的分析中汲取经验教训的能力。Elastic Endpoint Security 大大降低了我们采取纠正措施所需的平均时间,从旧款防病毒方案的 7 天降到了现在的 30 分钟;Elastic Stack 为我们提供了一种杰出方法来存储和分析数据并针对这些数据采取应对措施,这些都远远超越了市场上的所有竞争对手。通过将 Elastic Endpoint Security 和 Elastic Stack 整合到以情报为主导的单一平台,可以进一步简化和自动化我们的安全运营工作。”

Anthony Diaz,新兴服务部副总裁,Optiv

“Elastic 将新一代 SIEM、强大的可视化引擎和业内领先的终端产品集于一体,而且所有这些都以世界领先的搜索技术为后盾。这一结合为企业应对越来越复杂的网络威胁奠定了稳定基础。Elastic 的愿景是将所有这些组件都包括在开源生态系统中,这是一个大胆革新却又切实可行的想法,有助于所有规模的公司/组织充分利用所有数据来满足自身的网络安全需求。”

Sebastian Mill,全球开发部首席技术官,Infotrack

“在 InfoTrack,我们意识到终端数据无比重要,因为我们可用其来了解运行状况并确保基础设施一直保持安全。为了实现这些目标,我们的创新团队业已将 Auditbeat 纳入我们的环境中,但 Elastic Endpoint Security 的推出可帮助我们达到全新水平。一想到既可以借助 Elastic Endpoint Security 来阻止威胁,还可以将安全事件数据与 Elastic 某些基于 Machine Learning 的异常检测功能搭配使用,我们就觉得异常兴奋。这是一套极其出众的设置方案。”

资源

如果您希望亲自体验 Elastic Endpoint Security,并详细了解我们的进展,欢迎参加我们在美国、EMEA(欧洲、中东和非洲)及亚太地区举行的 Elastic{ON} Tour 大会。