Mandiant的網絡防御峰會以兩款新的軟件即服務（SaaS）產品——主動式入侵和情報監控，以及勒索軟件防御驗證——作為開幕產品，Mandiant的名字也從FireEye（火眼）改為Mandiant，該公司首席執行官凱文·曼迪亞在開幕主題演講中稱其為“Mandiant part deux”（曼迪昂特回歸）。新產品強調了該公司多年來沉淀的豐富知識和智慧的重要性，以及網絡安全控制措施的有效性和高效性。隨著火眼產品業務的出售，曼迪昂特重新聚焦以威脅情報和安全響應專業領域。

　　曼迪亞說，去年對于CISO來說是艱難的一年。他在演講中補充道：“我記得自己當時想，今年（2020年）是首席信息安全官最艱難的一年。”“但2021年同樣困難。”火眼在2020年底遭遇了一次網絡入侵，當時俄羅斯政府支持的黑客在SolarWinds的軟件更新中插入了惡意代碼。他說，這種類型的“植入”威脅，即攻擊者在軟件構建過程中植入惡意代碼，仍然是CISO最擔心的三大問題。“所以，底線是，供應鏈攻擊是公平的游戲。你還會再見到他們，因為他們是網絡間諜的目標。”

　　曼迪亞認為，零日攻擊和勒索軟件構成了當今另外兩大威脅。他補充說：“我們在2021年看到的零日比過去兩年加起來還要多。”2019年，曼迪昂特記錄了32次野外零日攻擊。這些是從未見過的攻擊，沒有可用的補丁來修復漏洞。到2020年，這一數字略降至30次。到2021年為止，曼迪昂特已記錄了64個零日漏洞。

　　曼迪亞說：“有一個零日漏洞的地下市場，你現在可以獲得的利潤是如此之高，以至于過去零日是國家的上帝。”這些民族國家的攻擊者“開發了它們，或者購買了它們，然后使用它們”。現在，我們看到越來越多的犯罪活動使用零日攻擊，因為他們可以從這些攻擊中賺到大量的金錢。

　　當然，勒索軟件是犯罪團伙牟取暴利的另一種攻擊手段。“這是董事會的頭號話題，”曼迪亞說。“這正在改變我們業務的方式，但坦率地說，這意味著：不要成為組織中容易摘到的果實。想辦法增強你的安全感。”

　　從Mandiant到FireEye再到Mandiant

　　除了在華盛頓舉辦網絡防御峰會，并于本周發布了兩款SaaS產品外，Mandiant還完成了名稱更改。

　　FireEye最初在2014年以大約10億美元的價格收購了Mandiant，隨后將Mandiant的創始人曼迪婭提拔為首席執行官。火眼公司更名為Mandiant是將其產品業務出售給私募股權公司Symphony Technology Group的結果。

　　今年6月，FireEye表示將以12億美元的價格將其產品業務出售給STG，并將其Mandiant威脅情報和事件響應部門重新整合為一家獨立公司。

　　在收購FireEye產品業務的幾個月前，STG斥資40億美元收購了McAfee的企業安全業務。去年，STG又以略高于20億美元的價格從戴爾技術公司（Dell Technologies）手中收購了安全供應商RSA。

　　首席產品官Chris.Key表示，更名為Mandiant意義重大，因為它將重點放在了公司在網絡安全前線的工作上。他補充說，Mandiant每年要花20多萬個小時來應對入侵。“大約每兩個月進行一次IR。這讓我們對攻擊者現在正在做什么有了巨大的了解，并掌握了如何防御攻擊的強大專業知識。”

　　他說：“我們看到的是，市場繼續在安全上花更多的錢，購買越來越多的控制措施，投入越來越多的人員來解決這個問題，但并沒有提高安全效率。”

　　Key說，這是因為有效的安全不是基于在IT環境中部署的控制和產品。而是基于安全控制背后的專業知識和情報。他還說，大多數攻擊都是利用多年前的漏洞攻破組織。

　　“如果我們看看像SolarWinds這樣的廣泛的供應鏈攻擊：每一個主要控制供應商的產品都牽涉其中，但仍然有18000個客戶得到了SolarWinds能夠利用的糟糕的二進制文件，”Key說。“根據我們的專業知識和追蹤能力，只有一個團隊能夠發現（漏洞）。如果我們能擴大這種專業知識和智慧，我們就能讓這個行業變得更有效。”

　　這就是為什么Mandiant推出了XDR平臺，并希望成為一家獨立的公司：“不是通過專注于控制，而是通過使這些控制更有效、更高效，來應對這些挑戰，”他說。

　　勒索軟件防御驗證

　　Mandiant本周推出的一款新的軟件即服務（SaaS）產品直接應對勒索軟件的威脅。這款產品的設計都是為了支持Mandiant的多供應商擴展檢測和響應（XDR）平臺，該平臺被稱為Mandiant Advantage，將于2022年初全面投入使用。

　　勒索軟件防御驗證允許組織測試他們針對流行勒索軟件的安全控制，確定他們容易受到哪些攻擊，然后在防御中修復的這些缺陷，這樣他們就不會受到攻擊。它是由Mandiant對活躍勒索軟件組織的威脅情報提供的。

　　“我們維護并上這些勒索組織的一個大數據庫，它的不斷更新，基于我們在勒索事件響應中看到信息，”首席產品官Chris.Key在接受采訪時表示，他補充說，這是一個動態的威脅評估。

　　他解釋說：“在我們與客戶合作的過程中，測試的內容會根據客戶的資料和我們所看到的最活躍的威脅而改變。”

　　該產品為客戶提供了針對勒索軟件的主動保護，而不是等待Mandiant或其他事故響應團隊在攻擊后進行清理。Key說，它的獨特之處在于，它為組織機構提供了他們沒有受到保護的勒索軟件菌株的量化信息。

　　“市場上大多數安全控制供應商的產品都會說他們正在保護客戶免受勒索軟件的侵害，但他們沒有提供任何可量化的信息，”他說。“此外，在大多數情況下，我們在客戶遭到破壞并發生勒索軟件事件后進入他們的環境，他們擁有他們認為可以保護他們的控制措施，但這些控制措施沒有正確設置或只是沒有能力。因此，您可以從未量化安全性的控制供應商那里獲得錯誤的安全感。”

　　勒索軟件防御驗證使用真實的勒索軟件測試組織的安全控制，“因此我們可以 100% 肯定地告訴您，當該勒索軟件發生時，您的環境會做什么，以及您的控制是否檢測到并阻止了它，”Key 說。

　　隨著勒索軟件攻擊的增加，組織的安全態勢已轉移到董事會級別的討論中。Key補充說，CISO 需要能夠回答在Darkside或REvil勒索軟件攻擊事件中企業會發生什么。

　　通常，答案是：“我們認為我們會沒事的。我們買了很多安全產品，”他說。然而，Mandiant 的新型勒索軟件預防產品“是關于將要發生的事情的經驗數據。”

　　主動的入侵和情報監控

　　Mandiant的第二款新產品“主動的入侵和情報監控”（Active Breach and Intel Monitoring）可以識別組織IT環境中的相關泄露指標（IOC）。這是基于Mandiant全球事件響應團隊的入侵調查和威脅情報研究的實時信息。

　　使用這些數據，安全模塊搜索客戶的數據，查找30天前的IOC指標。它使用基于數據科學的評分和相關因素（如行程方向和IOC類型）對IOC匹配進行優先排序，以便安全團隊能夠更有效地應對高優先級的威脅。

　　客戶看到關于SolarWinds入侵或Colonial Pipeline勒索軟件攻擊的頭條新聞，“客戶經常聽到的一件事是：我們如何知道入侵是否發生在我們的環境中？”而主動式入侵和情報監控所做的是將客戶的安全數據與我們的事故應急人員在前線發現的數據聯系起來。“

　　值得注意的是，Mandiant事件響應團隊對Colonial Pipeline和SolarWinds都做出了回應，而其威脅追蹤者最初發現了SolarWinds的漏洞。