这种新型EDR工具可实现秒级对全IT资产的检测与修复

检测时间和修复时间，决定是安全事件还是数据泄露。目前，虽然市面上有很多新产品帮助安全团队检测事件，但是能够帮助IT运营团队快速修复事件影响的工具却极少见。

问题之一，就是检测和修复是两个相互独立的操作，而且它们分别由安全团队和IT团队执行。但安全并非IT的唯一客户——IT还要响应合规、审计和公司内几乎所有运营部门的改善或新增App请求。

结果就是，今天众多威胁检测系统产生的大量误报，让本已沉重不堪的工作量更加难以完成了。1000名IT专业人士组成的1E自身研究团队表示，超半数的人花费25%的时间，响应来自紧急安全更新、配置改变和软件审计的非计划事件。

上周，1E发布了Tachyon，旨在为IT运营提供全IT资产触角的即时可操作访问(多达150万台终端)——无论终端分布和操作系统情况。每个终端都部署有代理，无论是服务器、桌面电脑、移动设备还是IoT设备，都可以被Tachyon服务器查询。全公司范围的资产，都可在安全事件发生数秒内被隔离并采取修复行动。

斯图尔特·奥金，1E产品高级副总裁，称可将Tachyon前端比作IT资产的谷歌搜索引擎。可在前端提问，来自各个终端的答案秒回。基于这些回答，便可采取修复行动了——同样是秒级。

奥金给出了有关Java滥用的例子。假设安全团队知道某Java漏洞正被利用，并将此信息传达给了IT运营团队。在Tachyon前端按“Java”关键字搜索设备软件，便会列出所有风险设备。然后再搜索连接到攻击者IP地址的历史证据，数秒内，所有被感染设备(如果有的话)就会被定位。

指令Tachyon向本地防火墙添加一条该IP地址的拦截规则，与攻击者的进一步通信便能被立即封锁。重复这一过程，可确保没有任何设备能连接攻击者。

该原则全面适用。如果安全团队从其他威胁情报系统知晓当前威胁，或检测到攻击指标，并能定义该威胁，IT团队就可使用Tachyon，在数秒内定位并修复之。当然，未必得是安全威胁——监管威胁、审计要求之类都可以。比如说，可用来定位特权账户对敏感数据的访问，删除非必要的东西等等。如果需要的话，还可以将其他特权账户的准确细节发送给审计。

奥金强调：Tachyon不是用来替代现有安全投入的，而是与现有解决方案协作，增强其性能。微软SCCM就是个例子。“其他厂商提倡的是推倒重来策略，我们则是全新打造Tachyon，覆盖在微软SCCM之上，推动其速度和响应。”1E创始人兼CEO苏米尔·卡拉伊评论道。

Tachyon首批用户之一，财富500强医疗保险公司证实了这一点。“我们重度依赖微软SCCM和其他1E解决方案，自动化软件更新之类日常IT任务，但缺乏即时发现并修复严重问题的能力。”该公司基础设施工程经理说，“1E的Tachyon补强了这些实时能力——帮助我们应对紧急事件。有了Tachyon，我们便能用有组织的可控方式，在数秒内解决大问题，不再像以前似的要花几小时。”

Tachyon运作关键在于每个终端上的代理。这些代理会查询设备，与Tachyon服务器维持安全通信。它们提供修复步骤的功能基础，在不对核心系统做任何升级的情况下允许引入额外的功能，确保系统是完全可扩展的。这是个跨平台的终端，支持微软、Mac、Linux、移动和IoT——适合大企业和新兴物联网。

Tachyon方法的能力所在，是它不替代任何东西，也不尝试自动化决策。事实上，在修复动作中那些可谓“重大修改”的地方，在修复被执行前都会被要求二次确认的。它让现有系统更有效更快速。公司企业仍需威胁分析师来识别潜在事件；需要IT运维团队在必要的地方影响修复。Tachyon能使两个团队更有效协作，以便潜在事件能在数秒内被检测并修复，而不是要数小时甚或几天。

本文转自d1net（转载）