您所在的位置: 首頁(yè) >
新聞資訊 >
技術(shù)前沿 >
深度:為什么 XDR是網(wǎng)絡(luò)安全的未來(lái)
在威脅日趨復(fù)雜和多種安全設(shè)備并存的網(wǎng)絡(luò)環(huán)境,基于XDR構(gòu)建統(tǒng)一安全運(yùn)營(yíng)中心,整合已有的安全產(chǎn)品/安全能力、SIEM/SOC、威脅情報(bào)、遙測(cè)數(shù)據(jù)等分散元素,縮短從檢測(cè)到響應(yīng)的時(shí)間,成為最可行的方向,被視為安全的未來(lái)。
一、網(wǎng)絡(luò)威脅日益復(fù)雜
不僅企業(yè)混合架構(gòu)變得越來(lái)越復(fù)雜,攻擊方法也變得越來(lái)越復(fù)雜。除了利用零日漏洞之外,網(wǎng)絡(luò)攻擊者現(xiàn)在還轉(zhuǎn)向高級(jí)攻擊方法,例如,利用無(wú)文件惡意軟件可以逃避檢測(cè)并且不留下任何痕跡;多階段攻擊允許黑客在網(wǎng)絡(luò)內(nèi)長(zhǎng)時(shí)間橫向移動(dòng)以執(zhí)行偵察,從而提高攻擊目標(biāo)的成功率;利用供應(yīng)鏈攻擊下游企業(yè)和消費(fèi)者;利用加密和數(shù)據(jù)泄露的雙重勒索攻擊;以及利用人工智能工具開(kāi)展攻擊。
日趨復(fù)雜高級(jí)的網(wǎng)絡(luò)攻擊給目前各種針對(duì)單一防護(hù)目的的工具,帶來(lái)嚴(yán)峻的安全挑戰(zhàn),告警疲勞成為行業(yè)普遍現(xiàn)象。
美國(guó)工業(yè)安全先驅(qū)H.W.海因里希(Herbert William Heinrich)在1930年代提出的安全管理理論“海因里希安全法則(Heinrich's Law)”發(fā)現(xiàn),每一起嚴(yán)重的工傷事故(傷殘或死亡),背后大約有29起輕傷事故和300起無(wú)傷事故(或安全隱患)。
海因里希的安全法則強(qiáng)調(diào),絕大多數(shù)事故都是可以預(yù)防的,且它們往往是由于人為失誤、不安全行為或條件引起的。根據(jù)這個(gè)理論,通過(guò)積極地識(shí)別和減少小的事故和隱患,可以有效地防止嚴(yán)重事故的發(fā)生。
從20世紀(jì)60年代末的ARPAnet到80年代的“莫里斯蠕蟲(chóng)”,網(wǎng)絡(luò)安全概念起源準(zhǔn)確來(lái)講其實(shí)很難考究,以網(wǎng)絡(luò)安全現(xiàn)況來(lái)看,安全領(lǐng)域每年都會(huì)推出眾多新的產(chǎn)品、熱詞、技術(shù)術(shù)語(yǔ)。然而,這些眾多的解決方案可能只能解決部分問(wèn)題,也是網(wǎng)絡(luò)安全領(lǐng)域競(jìng)爭(zhēng)激烈和內(nèi)卷的一個(gè)主要原因。可以確定的是隨著計(jì)算機(jī)技術(shù)、IT架構(gòu)和網(wǎng)絡(luò)模式的發(fā)展,網(wǎng)絡(luò)安全討論的話題和需要解決的問(wèn)題始終是變化的。
圖1 網(wǎng)絡(luò)安全領(lǐng)域模型與概念層出不窮(冰山一角)
到底如何構(gòu)建安全防御體系? 為了解決這一問(wèn)題,Palo Alto Network于2018年首次提出了XDR產(chǎn)品。XDR整合了多個(gè)安全產(chǎn)品和技術(shù),提供多維度且更全面的威脅檢測(cè)、分析及快速響應(yīng)能力。
二、為什么是XDR
兩點(diǎn)之間的最短距離是直線。快速檢測(cè)和響應(yīng)對(duì)于減輕攻擊造成的損害至關(guān)重要。網(wǎng)絡(luò)防護(hù)的重點(diǎn)是如何縮短從檢測(cè)到響應(yīng)行動(dòng)的時(shí)間。此外,網(wǎng)絡(luò)防護(hù),不僅跟上攻擊者的步伐,還要預(yù)測(cè)和先發(fā)制人。
僅靠一群全明星運(yùn)動(dòng)員并不能保證勝利一樣,靠聚集一系列最好的安全工具也不能確保防止攻擊發(fā)生。XDR 平臺(tái)可以!
XDR 平臺(tái)可以充分利用每個(gè)可用的數(shù)據(jù)遙測(cè)源,有效減少網(wǎng)絡(luò)噪音并發(fā)現(xiàn)潛在入侵或攻擊的信號(hào),從而可以實(shí)時(shí)檢測(cè)和響應(yīng)潛在的入侵和攻擊行動(dòng)。
XDR具備三大關(guān)鍵能力:
可見(jiàn)性、響應(yīng)和檢測(cè)
1、XDR實(shí)現(xiàn)安全可見(jiàn),提升威脅感知能力
XDR 利用數(shù)據(jù)和傳感器的力量來(lái)提供全面且豐富的檢測(cè)和響應(yīng)能力。通過(guò)利用日志源、威脅情報(bào)、端點(diǎn)數(shù)據(jù)和其他傳感器數(shù)據(jù),XDR 可以將這些遙測(cè)數(shù)據(jù)創(chuàng)建為一致的安全警報(bào)。
正如“海因里希安全法則對(duì)于每一起嚴(yán)重的工傷事故(傷殘或死亡),背后大約有29起輕傷事故和300起無(wú)傷事故(或安全隱患)”。有效的網(wǎng)絡(luò)安全防御與安全運(yùn)營(yíng)體系需要全局的安全可見(jiàn)。
XDR的安全可見(jiàn)能力也稱之為XDR的遙測(cè)能力,是XDR的最核心最關(guān)鍵的基礎(chǔ)能力,做為網(wǎng)絡(luò)安全防御體系XDR安全可見(jiàn)能力最為核心可以分為看見(jiàn)資產(chǎn)、看見(jiàn)應(yīng)用環(huán)境、看見(jiàn)行為/活動(dòng)、看見(jiàn)風(fēng)險(xiǎn)/攻擊面、看見(jiàn)入侵行為等。
# 看見(jiàn)資產(chǎn)能力
談到XDR的安全可見(jiàn)能力,"看見(jiàn)資產(chǎn)"的能力無(wú)疑是最應(yīng)該被優(yōu)先考慮的。這是因?yàn)槠髽I(yè)的安全防御體系建立在對(duì)其資產(chǎn)的全面了解之上,特別是對(duì)高價(jià)值資產(chǎn)和與核心業(yè)務(wù)密切相關(guān)的資產(chǎn)的保護(hù)。這些資產(chǎn)通常是企業(yè)運(yùn)營(yíng)的關(guān)鍵,一旦受到威脅或攻擊,可能會(huì)對(duì)企業(yè)的業(yè)務(wù)運(yùn)行造成嚴(yán)重影響。因此,確保對(duì)這些資產(chǎn)有清晰的可見(jiàn)性,是實(shí)現(xiàn)有效安全防護(hù)的前提。
## 第一步,構(gòu)建資產(chǎn)臺(tái)賬
不少企業(yè)雖然出臺(tái)的關(guān)于員工網(wǎng)絡(luò)安全相關(guān)行政要求或員工網(wǎng)絡(luò)準(zhǔn)則,但是監(jiān)管措施依然滯后甚至無(wú)效,因而帶來(lái)如影子資產(chǎn)問(wèn)題,大量散落在角落未被納入資產(chǎn)管理范圍的影子資產(chǎn),往往成為黑客攻擊的突破口,給企業(yè)網(wǎng)絡(luò)安全管理帶來(lái)了嚴(yán)重挑戰(zhàn)。
傳統(tǒng)意義上的資產(chǎn)管理多是基于手動(dòng)添加、更新,或是在指定時(shí)間節(jié)點(diǎn)進(jìn)行統(tǒng)一的資產(chǎn)更新、變更或資產(chǎn)審計(jì)操作,很明顯其缺點(diǎn)是既費(fèi)時(shí)又費(fèi)力,更糟糕的是各自原因總是導(dǎo)致資產(chǎn)更新延遲、遺漏等問(wèn)題。
對(duì)于企業(yè)安全團(tuán)隊(duì)而言,需要使用保持即時(shí)更新的資產(chǎn)庫(kù),才能保證安全運(yùn)營(yíng)過(guò)程的準(zhǔn)確性。從攻防對(duì)抗角度,防守方將面臨進(jìn)行有效防御范圍界定問(wèn)題,未知資產(chǎn)意味著可能存在更多未發(fā)現(xiàn)的風(fēng)險(xiǎn)和攻擊暴露面。黑客攻擊手法每天都在不斷變化并變得越來(lái)越復(fù)雜,過(guò)時(shí)、不完整、粗曠的資產(chǎn)清單無(wú)法有效應(yīng)對(duì)高對(duì)抗的安全挑戰(zhàn)。
持續(xù)跟蹤資產(chǎn)并保持即時(shí)更新是一個(gè)看似簡(jiǎn)單實(shí)際復(fù)雜命題也是一項(xiàng)復(fù)雜而艱巨的任務(wù),要做到持續(xù)的資產(chǎn)監(jiān)控并保持更新除了周期性的資產(chǎn)發(fā)現(xiàn)和采集外,更多需要關(guān)注觸發(fā)類的資產(chǎn)變更行為,并需要具備對(duì)接企業(yè)ITAM或CMDB系統(tǒng),從企業(yè)整體資產(chǎn)管理角度進(jìn)行統(tǒng)一資產(chǎn)管理或持續(xù)增強(qiáng)。
XDR看見(jiàn)資產(chǎn)能力,除了基于XDR廠商內(nèi)置的EDR Agent實(shí)現(xiàn)資產(chǎn)采集或是通過(guò)內(nèi)置的NDR,通過(guò)流量層面采集資產(chǎn),更重要的是需要具備基與數(shù)據(jù)驅(qū)動(dòng)的自動(dòng)化資產(chǎn)數(shù)據(jù)提取能力及對(duì)接企業(yè)現(xiàn)有資產(chǎn)管理系統(tǒng)如CMDB,減少對(duì)數(shù)據(jù)接入過(guò)程的人工干預(yù),降低實(shí)施和運(yùn)營(yíng)成本,構(gòu)建跨安全平臺(tái)的資產(chǎn)可見(jiàn)能力。
## 第二步, 定位和看見(jiàn)真實(shí)資產(chǎn)
當(dāng)發(fā)生安全事件時(shí),比如安全團(tuán)隊(duì)從NDR監(jiān)測(cè)到可疑流量,這些流量似乎正在嘗試?yán)媚硞€(gè)已知漏洞。在沒(méi)有NAT/PAT的情況下,NDR類設(shè)備可以直接定位到對(duì)應(yīng)的內(nèi)部IP地址,安全團(tuán)隊(duì)可以迅速定位并檢查該設(shè)備,以確定是否真的遭受了攻擊。然而,在NAT/PAT等場(chǎng)景下因?yàn)镮P地址映射,安全團(tuán)隊(duì)需要訪問(wèn)NAT/PAT設(shè)備的日志文件,以確定真實(shí)受害者IP地址對(duì)應(yīng)于警報(bào)中的應(yīng)受害IP。
看見(jiàn)和快速定位資產(chǎn)做為XDR安全運(yùn)營(yíng)的基本能力,XDR具備去IP化(不完全依賴單一IP視角)的資產(chǎn)歸一化治理體系,是一種不完全依賴單一IP地址來(lái)識(shí)別和管理網(wǎng)絡(luò)資產(chǎn)的方法。通過(guò)將資產(chǎn)與其它標(biāo)識(shí)符關(guān)聯(lián),實(shí)現(xiàn)對(duì)資產(chǎn)的精準(zhǔn)識(shí)別和管理,即使在復(fù)雜的NAT/PAT環(huán)境中也能有效工作,保障安全運(yùn)營(yíng)快速。
正所謂,安全網(wǎng)絡(luò)從資產(chǎn)管理開(kāi)始,XDR看見(jiàn)資產(chǎn)為“摸清家底、認(rèn)清風(fēng)險(xiǎn)、找出漏洞、通報(bào)結(jié)果、督促整改”構(gòu)建基本前提。
# 看見(jiàn)應(yīng)用環(huán)境
看見(jiàn)應(yīng)用環(huán)境意味著企業(yè)擁有對(duì)運(yùn)行的所有軟件\服務(wù)等支撐體系的深入洞察。這包括了諸如應(yīng)用軟件、運(yùn)行的進(jìn)程、內(nèi)核模塊、系統(tǒng)賬號(hào)、開(kāi)放的端口、計(jì)劃任務(wù)、系統(tǒng)環(huán)境變量、系統(tǒng)服務(wù)、數(shù)據(jù)庫(kù)、WEB服務(wù)、WEB站點(diǎn)、移動(dòng)存儲(chǔ)、Windows根證書(shū)、Windows補(bǔ)丁、系統(tǒng)啟動(dòng)項(xiàng)、共享目錄和jar包等等。每一個(gè)維度都構(gòu)成了企業(yè)應(yīng)用環(huán)境安全的一部分,對(duì)于看見(jiàn)和維護(hù)整體的網(wǎng)絡(luò)安全至關(guān)重要。
如Apache Log4j 在爆出 CVE-2021-44228漏洞時(shí),所有安全廠商都熱火朝天的發(fā)應(yīng)急響應(yīng)軟文,讓企業(yè)去排查和梳理涉及的相關(guān)jar包,以確定可能存在的安全影響面。
圖2 某廠商軟文截圖
企業(yè)用什么高效的手段去快速梳理存在的jar包,利用安裝的Agent還是利用各類掃描器如漏掃工具? 或是各類安全產(chǎn)品或工具梳理出來(lái)的數(shù)據(jù)各種割裂,能快速看到嗎?能全局看到嗎?還是讓IT系統(tǒng)或安全產(chǎn)品的廠商各自梳理下是否用到了相關(guān)的jar包?
XDR“看見(jiàn)應(yīng)用環(huán)境能力”可以幫助企業(yè)提前梳理梳理應(yīng)用環(huán)境臺(tái)賬,并持續(xù)監(jiān)測(cè)企業(yè)業(yè)務(wù)環(huán)境下的應(yīng)用環(huán)境變更,做到看的見(jiàn)、可審計(jì)、可追溯。
# 看見(jiàn)行為看見(jiàn)活動(dòng)
恐懼往往來(lái)自對(duì)未知的焦慮,網(wǎng)絡(luò)安領(lǐng)域也是如此,購(gòu)買大量的安全防護(hù)產(chǎn)品,您是否感覺(jué)到安全了?
在攻防技戰(zhàn)術(shù)各種繞過(guò)和對(duì)抗場(chǎng)景下,企業(yè)安全團(tuán)隊(duì)需持續(xù)的監(jiān)控被保護(hù)對(duì)象的各類細(xì)粒度操作行為或活動(dòng),通過(guò)細(xì)粒度的行為變更實(shí)現(xiàn)第一時(shí)間的變化感知、風(fēng)險(xiǎn)感知、攻擊感知。需要細(xì)粒度看見(jiàn)和審計(jì)防護(hù)對(duì)象的各類行為活動(dòng)如進(jìn)程啟停事件、模塊加載行為、文件操作行為、網(wǎng)絡(luò)訪問(wèn)行為、注冊(cè)表變更行為、瀏覽器訪問(wèn)行為、提權(quán)行為等。XDR提供了一種全新的視角來(lái)理解和應(yīng)對(duì)網(wǎng)絡(luò)安全威脅。通過(guò)深入觀察和分析系統(tǒng)內(nèi)部的各類行為變化,企業(yè)安全專家可以從中發(fā)現(xiàn)異常模式,及時(shí)識(shí)別出潛在的威脅, 以便能夠發(fā)現(xiàn)并采取措施進(jìn)行阻斷。
# 看見(jiàn)風(fēng)險(xiǎn)看見(jiàn)攻擊面
隨著企業(yè)IT環(huán)境的復(fù)雜化和多樣化,攻擊者利用的手段也越來(lái)越多樣化,特別是企業(yè)數(shù)字化轉(zhuǎn)型下企業(yè)IT及業(yè)務(wù)系統(tǒng)變得越來(lái)越復(fù)雜,各種中間件、開(kāi)源軟件、Web應(yīng)用、數(shù)據(jù)庫(kù)、容器、云服務(wù)等,加大了企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。從內(nèi)部網(wǎng)絡(luò)到云基礎(chǔ)設(shè)施,再到移動(dòng)設(shè)備和IoT設(shè)備,構(gòu)成了一個(gè)錯(cuò)綜復(fù)雜的IT架構(gòu)。每一個(gè)組成部分都可能成為攻擊者潛在的目標(biāo),每一個(gè)軟件更新、配置更改或新服務(wù)部署都可能引入新的安全漏洞,給攻擊者留下可利用的空間。
雖然企業(yè)IT建設(shè)也不斷加大了企業(yè)安全投入,然而受限與安全產(chǎn)品間的數(shù)據(jù)割裂,更多的企業(yè)始終無(wú)法持續(xù)的監(jiān)測(cè)和收斂攻擊面。
XDR可通過(guò)集成和分析來(lái)自網(wǎng)絡(luò)、終端、漏掃等多個(gè)數(shù)據(jù)源的風(fēng)險(xiǎn)信息,提供了一個(gè)全局視角來(lái)觀察和分析安全風(fēng)險(xiǎn)點(diǎn)。這種全面的監(jiān)控能力使得XDR能夠跨越傳統(tǒng)的安全邊界,實(shí)時(shí)監(jiān)控整個(gè)IT環(huán)境的變化,動(dòng)態(tài)發(fā)現(xiàn)新的漏洞和安全風(fēng)險(xiǎn)。結(jié)合資產(chǎn)屬性特別是業(yè)務(wù)重要性等屬性定義,XDR能夠識(shí)別出異常行為和潛在的安全風(fēng)險(xiǎn)及背后可能存在的業(yè)務(wù)風(fēng)險(xiǎn),給企業(yè)呈現(xiàn)全域的安全風(fēng)險(xiǎn)感知與洞察視角。
舉例,近期公安部在面對(duì)越演愈烈的勒索攻擊,一劍封喉地指出了問(wèn)題的本質(zhì),大部分的勒索攻擊是利用了高危漏洞、高危端口、弱口令滲透到企業(yè)并進(jìn)行勒索攻擊結(jié)果的達(dá)成。為了減少勒索攻擊帶來(lái)的社會(huì)危害,公安部針對(duì)企業(yè)“兩高一弱”的問(wèn)題,會(huì)持續(xù)的展開(kāi)監(jiān)管檢查活動(dòng),目前已經(jīng)有一些企業(yè)因?yàn)椤皟筛咭蝗酢钡膯?wèn)題而導(dǎo)致攻擊事件發(fā)生被處罰。
XDR可利用其自身風(fēng)險(xiǎn)及攻擊面監(jiān)測(cè)能力及整合第三方安全設(shè)備風(fēng)險(xiǎn)數(shù)據(jù),可有效應(yīng)對(duì)“兩高一弱”(高危漏洞、高危端口、弱口令)的問(wèn)題,以下我們將通過(guò)未來(lái)智安XDR看看如何應(yīng)對(duì)“兩高一弱”。
圖3 未來(lái)智安XDR 安全工作臺(tái): 直觀監(jiān)測(cè)“兩高一弱”
XDR平臺(tái)內(nèi)置了端點(diǎn)保護(hù)和響應(yīng)(EDR)、網(wǎng)絡(luò)流量檢測(cè)和響應(yīng)(NDR)、自動(dòng)化編排(SOAR)等功能,同時(shí)能夠協(xié)助企業(yè)監(jiān)管第三方安全產(chǎn)品的數(shù)據(jù)進(jìn)行統(tǒng)一分析,從全局的視角覆蓋應(yīng)用程序、網(wǎng)絡(luò)、端點(diǎn)、云、郵件等多個(gè)通道的數(shù)據(jù),以便全面地發(fā)現(xiàn)網(wǎng)絡(luò)中存在的高危端口、高危漏洞、弱口令等風(fēng)險(xiǎn)場(chǎng)景。
綜上所敘,XDR全面的“安全可見(jiàn)能力”有助于實(shí)現(xiàn)快速的安全威脅響應(yīng)。一旦發(fā)現(xiàn)異常活動(dòng)或安全威脅,擁有全面的“安全可見(jiàn)能力”可以迅速定位問(wèn)題所在,并采取相應(yīng)的措施加以應(yīng)對(duì),從而最大程度地減少安全事件對(duì)業(yè)務(wù)的影響,保障網(wǎng)絡(luò)及業(yè)務(wù)的持續(xù)運(yùn)行。
2、XDR 實(shí)現(xiàn)主動(dòng)威脅檢測(cè)
XDR中的“X”具備多維度的擴(kuò)展屬性,強(qiáng)調(diào)由孤立單點(diǎn)式威脅檢測(cè)過(guò)渡到基于更多上下文數(shù)據(jù)的可見(jiàn),進(jìn)行全面威脅檢測(cè)的整體安全思路的轉(zhuǎn)變。XDR不再單純依賴于端點(diǎn)、網(wǎng)絡(luò)或其他安全設(shè)備進(jìn)行告警發(fā)現(xiàn)和安全事件的標(biāo)記,重視底層的數(shù)據(jù)變化,比如主機(jī)上的權(quán)限變更、文件變更、賬號(hào)體系變更、系統(tǒng)負(fù)載的變化等,從而研判企業(yè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn),為企業(yè)安全運(yùn)營(yíng)帶來(lái)完整的上下文和可見(jiàn)性。
在XDR的框架下,"X"代表的擴(kuò)展性不僅僅局限于將不同數(shù)據(jù)源融合到一個(gè)視圖中,更重要的是XDR利用這些數(shù)據(jù)來(lái)實(shí)現(xiàn)主動(dòng)風(fēng)險(xiǎn)發(fā)現(xiàn)到主動(dòng)威脅檢測(cè)的轉(zhuǎn)變。這一過(guò)程體現(xiàn)了XDR對(duì)于安全事件的深入理解和快速響應(yīng)能力。
XDR平臺(tái)首先通過(guò)對(duì)網(wǎng)絡(luò)和終端等多個(gè)維度的安全數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控,識(shí)別出潛在的風(fēng)險(xiǎn)點(diǎn)。這些風(fēng)險(xiǎn)點(diǎn)可能是一個(gè)異常登錄嘗試、不尋常的網(wǎng)絡(luò)流量模式,或是系統(tǒng)配置的未授權(quán)更改。XDR利用基于多源數(shù)據(jù)的主動(dòng)分析技術(shù)如基于ATT&CK技戰(zhàn)術(shù)的異常行為檢測(cè),來(lái)識(shí)別出這些行為背后可能隱藏的風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)發(fā)現(xiàn)機(jī)制能夠捕捉到從傳統(tǒng)安全工具可能遺漏的細(xì)微風(fēng)險(xiǎn)信號(hào),為下一步的威脅檢測(cè)打下基礎(chǔ)。
在風(fēng)險(xiǎn)被發(fā)現(xiàn)后,XDR進(jìn)一步分析這些風(fēng)險(xiǎn)點(diǎn),將它們與已知的威脅模式和情報(bào)庫(kù)進(jìn)行匹配,以判斷是否存在實(shí)際的威脅。XDR不僅關(guān)注單一事件,而是將相關(guān)事件串聯(lián)起來(lái),形成一個(gè)完整的攻擊鏈。例如,一個(gè)不尋常的文件下載行為,本身可能不會(huì)引起警報(bào),但如果與之前的異常登錄嘗試相關(guān)聯(lián),則可能表明一個(gè)更復(fù)雜的攻擊正在進(jìn)行中。
XDR的核心優(yōu)勢(shì)在于其對(duì)安全事件上下文的深入理解。通過(guò)整合來(lái)自不同數(shù)據(jù)源的信息,XDR能夠提供詳盡的上下文信息,幫助安全分析師快速準(zhǔn)確地判斷威脅的性質(zhì)和嚴(yán)重性。這包括攻擊者的可能目標(biāo)、使用的攻擊手法、受影響資產(chǎn)的重要性等。這種全面的視角使得XDR能夠在復(fù)雜的安全環(huán)境中,實(shí)現(xiàn)精準(zhǔn)的威脅檢測(cè)。
3、XDR 實(shí)現(xiàn)安全自動(dòng)化,提高響應(yīng)速度
XDR 的核心優(yōu)勢(shì)和承諾之一在于能夠?qū)崿F(xiàn)流程自動(dòng)化、有效分類警報(bào)并實(shí)現(xiàn)主動(dòng)事件響應(yīng),特別是對(duì)于重大警報(bào)。如何實(shí)現(xiàn)?
企業(yè)日常安全運(yùn)營(yíng)工作往往會(huì)陷入海量告警的運(yùn)營(yíng)困局,數(shù)量龐大且包含大量的誤報(bào),使得安全運(yùn)營(yíng)團(tuán)隊(duì)難以有效地識(shí)別真正的威脅,進(jìn)而無(wú)法展開(kāi)有效的安全運(yùn)營(yíng)工作。XDR為多安全設(shè)備多告警的安全運(yùn)營(yíng)困局提供的有效的解決路徑:
傳統(tǒng)的調(diào)查和分析過(guò)程通常需要大量的人力和時(shí)間投入。安全分析師需要手動(dòng)收集、整理和分析大量的安全事件數(shù)據(jù),進(jìn)行威脅排查和取證工作。這不僅效率低下,還容易導(dǎo)致遺漏或延誤關(guān)鍵事件的響應(yīng)。
提高效率是安全運(yùn)營(yíng)一個(gè)永恒的話題,追求效率或利用利用自動(dòng)化提升效率的前提一定是充分考慮和兼容企業(yè)安全運(yùn)營(yíng)及關(guān)注點(diǎn)差異,在滿足前者基礎(chǔ)上構(gòu)建的。
XDR自動(dòng)化分析能力體現(xiàn)在構(gòu)建完善的數(shù)據(jù)標(biāo)準(zhǔn)化及安全能力原子化基礎(chǔ)上,XDR通過(guò)整合來(lái)自網(wǎng)絡(luò)、終端和其他安全工具的告警和日志信息,提供了一個(gè)統(tǒng)一的管理平臺(tái)。這種集中式的數(shù)據(jù)管理不僅減少了信息孤島的問(wèn)題,還使得安全分析師能夠在一個(gè)平臺(tái)上查看和分析所有相關(guān)數(shù)據(jù),從而更快地識(shí)別和響應(yīng)威脅。
基于上下文豐富和關(guān)聯(lián)分析,實(shí)現(xiàn)威脅的有效過(guò)濾和優(yōu)先級(jí)排序,讓安全團(tuán)隊(duì)聚焦真正的威脅
(1)基于多維權(quán)重入侵警報(bào)分流
通過(guò)不同維度如入侵警報(bào)的優(yōu)先級(jí)(包括高中低等)、資產(chǎn)的價(jià)值/重要程度等多維度定義,有效的對(duì)海量告警進(jìn)行分類、圈定優(yōu)先級(jí)。
場(chǎng)景假定:在縱深防御階段的NDR/全流量設(shè)備產(chǎn)生大量入侵警報(bào),其中涉及一般資產(chǎn)、核心資產(chǎn)、資產(chǎn)對(duì)業(yè)務(wù)的影響程度、資產(chǎn)與數(shù)據(jù)/隱私/機(jī)密的重要程度、告警類型的多維度,賽選/分流出需要重點(diǎn)分析的入侵警報(bào)。
備注: 需對(duì)威脅等級(jí)、告警類型等維度進(jìn)行歸一化處理
(2)基于攻擊技戰(zhàn)術(shù)
通過(guò)透視攻擊路徑和常見(jiàn)攻擊方式方法,依據(jù)當(dāng)下常見(jiàn)的攻擊技戰(zhàn)術(shù)生產(chǎn)階段性的安全事件,通過(guò)攻擊技戰(zhàn)術(shù)收斂和歸類告警,實(shí)現(xiàn)某類攻擊技戰(zhàn)術(shù)的有效防御如針對(duì)owasp top10,owasp top10是最新入侵風(fēng)險(xiǎn)的風(fēng)向標(biāo),對(duì)如何解決網(wǎng)絡(luò)安全問(wèn)題有著重要且積極的影響。持續(xù)跟進(jìn)owasp top10的變更,基于owasp top10對(duì)網(wǎng)絡(luò)安全進(jìn)行整體上重新評(píng)估與風(fēng)險(xiǎn)量化并生成對(duì)應(yīng)的安全事件。
(3)基于攻擊時(shí)序
在面對(duì)海量零散告警背后黑客攻擊技戰(zhàn)術(shù)看似變幻莫測(cè),但縱觀其整個(gè)入侵/攻擊過(guò)程,往往還是有一定規(guī)律可循的,如攻擊前信息收集而觸發(fā)的掃描探測(cè)類入侵警報(bào),信息收集之后的漏洞利用如web網(wǎng)頁(yè)掃描后發(fā)生組件漏洞掃描,漏洞掃描后發(fā)起緩沖區(qū)溢出攻擊之后發(fā)現(xiàn)后門(mén)木馬?;诠魰r(shí)序不斷覆蓋攻擊場(chǎng)景,并提供可運(yùn)營(yíng)和建模能力,不斷增強(qiáng)、收斂和挖掘高價(jià)值入侵警報(bào)形成安全事件。
舉例:
(4)基于攻擊實(shí)際影響/結(jié)果
部署了越來(lái)越多的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品,每天數(shù)萬(wàn)甚至上百萬(wàn)的告警都給安全運(yùn)營(yíng)帶來(lái)嚴(yán)重的告警研判和安全運(yùn)營(yíng)負(fù)擔(dān),據(jù)相關(guān)數(shù)據(jù)統(tǒng)計(jì)部分企業(yè)的入侵誤報(bào)率可高達(dá)90%,嚴(yán)重降低安全運(yùn)營(yíng)效率,更大范圍的增加了真實(shí)告警多帶來(lái)的攻擊影響面。利用各類安全設(shè)備的數(shù)據(jù)和安全能力要素,綜合研判入侵警報(bào)的實(shí)際影響并基于實(shí)際影響研判入侵有效性同時(shí)生成針對(duì)性的高價(jià)值安全事件。
舉例:
1、全流量NDR發(fā)現(xiàn)文件上傳漏洞利用同時(shí)發(fā)現(xiàn)上傳webshell; 2終端EDR發(fā)現(xiàn)webshell文件落地、執(zhí)行蟻劍連接、執(zhí)行了whoami和ipconfig,然后上傳并執(zhí)行惡意程序artifact.exe,執(zhí)行了whoami和ipconfig,然后進(jìn)程注入到notepad.exe中,執(zhí)行了whomai、ipconfig。
圖4 攻擊實(shí)際影響評(píng)估
XDR可以實(shí)時(shí)監(jiān)控和分析大量的安全事件數(shù)據(jù),自動(dòng)識(shí)別和定位潛在威脅,并提供關(guān)鍵的上下文信息和響應(yīng)建議。這樣,安全團(tuán)隊(duì)可以更快速地做出響應(yīng),減少事件的持續(xù)時(shí)間和影響范圍。
圖5 未來(lái)智安XDR攻擊路徑完整呈現(xiàn)
XDR從安全運(yùn)營(yíng)的視角自動(dòng)化分析和呈現(xiàn)攻擊者是誰(shuí)?攻擊者是怎么打進(jìn)來(lái)的?用什么漏洞打進(jìn)來(lái)?用什么武器打進(jìn)來(lái)的?攻擊者拿下一臺(tái)服務(wù)器之后,在服務(wù)器上做了什么事兒?有沒(méi)有發(fā)生橫向移動(dòng)?有沒(méi)有下載攻擊載荷或者相關(guān)的攻擊載荷?攻擊過(guò)程中都產(chǎn)生了哪些關(guān)鍵的線索,如IP、域名、攻擊樣本,同時(shí)這些樣本涉及到哪些進(jìn)程、服務(wù)、端口和網(wǎng)絡(luò)?哪些服務(wù)器受到影響、哪些數(shù)據(jù)被篡改了?那攻擊背后都產(chǎn)生了哪些告警?有沒(méi)有應(yīng)急響應(yīng)的處置方式?能不能和其他安全設(shè)備進(jìn)行快速的聯(lián)動(dòng)和處置?最后一點(diǎn)就是攻擊背后黑客所使用的攻擊技術(shù),比如說(shuō)在ATT&CK上的攻擊矩陣的分布,企業(yè)如何基于ATT&CK的戰(zhàn)術(shù)、技術(shù)持續(xù)的提升安全防護(hù)能力?
三、XDR是網(wǎng)絡(luò)安全的未來(lái)
Broadcom、Cisco、CrowdStrike、Fortinet、Microsoft、Palo Alto Networks、SentinelOne、Sophos、TEHTRIS、Trend Micro和VMWare。都將XDR作為未來(lái)發(fā)展的重點(diǎn),各有有不同的側(cè)重與方向。
2022年全球XDR擴(kuò)展威脅檢測(cè)和響應(yīng)市場(chǎng)規(guī)模為7.548億美元,2023年預(yù)計(jì)將達(dá)到9.118億美元, 2023年至2030年將以20.7%的復(fù)合年增長(zhǎng)率(CAGR)增長(zhǎng)。
圖6 美國(guó)XDR市場(chǎng)增長(zhǎng)預(yù)測(cè)
北美在2022年主導(dǎo)了XDR市場(chǎng),占全球收入份額近 47%。由于為改進(jìn)現(xiàn)有網(wǎng)絡(luò)安全解決方案而增加的研發(fā)活動(dòng)投資,美國(guó)和加拿大是該地區(qū) XDR 解決方案的領(lǐng)先市場(chǎng)。由于英國(guó)、德國(guó)和法國(guó)等國(guó)家對(duì)威脅檢測(cè)和響應(yīng)解決方案的高需求,歐洲市場(chǎng)的需求也顯著增加。
圖7 北美XDR市場(chǎng)增長(zhǎng)預(yù)測(cè)
亞太地區(qū)XDR市場(chǎng)因不斷增長(zhǎng)的IT支出和越來(lái)越多的數(shù)據(jù)泄露是推動(dòng)區(qū)域市場(chǎng)增長(zhǎng)的關(guān)鍵因素。根據(jù)GSM協(xié)會(huì)的數(shù)據(jù),就連接數(shù)量而言,亞太地區(qū)是最大的物聯(lián)網(wǎng)市場(chǎng)。因此,為了保護(hù)跨組織的數(shù)據(jù)(無(wú)論是物聯(lián)網(wǎng)設(shè)備、電子郵件、云還是本地服務(wù)器上的數(shù)據(jù)),對(duì) XDR 解決方案的需求預(yù)計(jì)會(huì)增加。
預(yù)計(jì)2023年至2030年,全球擴(kuò)展檢測(cè)和響應(yīng)市場(chǎng)將以20.7%的復(fù)合年增長(zhǎng)率增長(zhǎng),到2030年將達(dá)到34.098 億美元。
2022-2023年主導(dǎo)全球XDR市場(chǎng)的主要參與者包括思科、趨勢(shì)科技、微軟、Palo Alto Networks、CrowdStrike、Fortinet、Trellix和SentinelOne等。這些安全廠商專注于通過(guò)實(shí)施新產(chǎn)品開(kāi)發(fā)、合作和并購(gòu)等增長(zhǎng)戰(zhàn)略來(lái)提高其市場(chǎng)占有率。這些戰(zhàn)略進(jìn)一步幫助市場(chǎng)參與者擴(kuò)大地域并進(jìn)入未開(kāi)發(fā)的市場(chǎng)。
四、XDR的本地化與落地
XDR的技術(shù)路線發(fā)展演進(jìn)是一個(gè)不斷進(jìn)化的過(guò)程。最初,XDR主要集中在終端檢測(cè)與響應(yīng)(EDR)技術(shù)的擴(kuò)展,但隨著時(shí)間的推移,它已經(jīng)演化為一個(gè)更廣泛的解決方案,包括網(wǎng)絡(luò)檢測(cè)與響應(yīng)(NDR)、云安全、身份和訪問(wèn)管理等。XDR的演進(jìn)路徑包括:
整體來(lái)說(shuō)XDR產(chǎn)品的實(shí)現(xiàn)模式可以分為三種不同模式,分別是“原生XDR”、“生態(tài)XDR”,以及“混合模式XDR”。
“原生XDR”依賴廠商自身的安全防護(hù)和數(shù)據(jù)采集能力來(lái)實(shí)現(xiàn)XDR,具有實(shí)施方便、集成成本低、數(shù)據(jù)和響應(yīng)能力可控的優(yōu)點(diǎn)。然而,缺點(diǎn)在于安全防護(hù)產(chǎn)品可能存在數(shù)據(jù)和遙測(cè)能力不足的問(wèn)題,可能影響XDR的整體效果。
“生態(tài)XDR”具有較高的包容性,可以復(fù)用甲方前期的安全投入和安全建設(shè),但它嚴(yán)重依賴第三方安全設(shè)備,整體集成成本較高,數(shù)據(jù)質(zhì)量、遙測(cè)能力和響應(yīng)處置能力相對(duì)不可控,因?yàn)樗蕾嚨谌皆O(shè)備,存在一定不可控的風(fēng)險(xiǎn)。
“混合模式XDR”融合了“原生”和“生態(tài)”XDR的優(yōu)勢(shì),可以接入原生的自有安全組件和第三方安全防護(hù)產(chǎn)品,實(shí)現(xiàn)了更靈活的集成。不論是數(shù)據(jù)還是安全能力,都可以通過(guò)混合模式XDR實(shí)現(xiàn)集成,兼顧了自有能力和第三方設(shè)備的優(yōu)勢(shì)。
五、未來(lái)挑戰(zhàn)與應(yīng)對(duì)
強(qiáng)大的安全覆蓋需要最好的網(wǎng)絡(luò)解決方案之間的集成和協(xié)作。同時(shí),用戶希望整合安全供應(yīng)商和產(chǎn)品,發(fā)揮現(xiàn)有產(chǎn)品的價(jià)值,同時(shí)降低復(fù)雜度。實(shí)現(xiàn)安全設(shè)備實(shí)現(xiàn)無(wú)縫集成,對(duì)XDR至關(guān)重要,但目前市場(chǎng)上沒(méi)有一家安全公司可以做到。
隨著數(shù)字化轉(zhuǎn)型的加速,企業(yè)的業(yè)務(wù)和數(shù)據(jù)不斷向數(shù)字化平臺(tái)遷移。雖然數(shù)字化帶來(lái)了效率和便捷性,但也增加了網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。這使企業(yè)更容易受到各種網(wǎng)絡(luò)威脅的威脅,包括惡意軟件、網(wǎng)絡(luò)釣魚(yú)、勒索軟件等。XDR作為一種綜合性的威脅檢測(cè)和響應(yīng)解決方案,可以幫助組織更好地適應(yīng)數(shù)字化轉(zhuǎn)型,確保其數(shù)字化環(huán)境的安全性。
從長(zhǎng)遠(yuǎn)來(lái)看,XDR擴(kuò)展威脅檢測(cè)和響應(yīng)的效果保障之一是具備安全生態(tài)化與開(kāi)放性。這一趨勢(shì)反映了XDR解決方案的未來(lái)發(fā)展方向,旨在提供更全面、協(xié)同、互操作的安全體驗(yàn),以更好地保護(hù)組織免受網(wǎng)絡(luò)威脅的侵害。
安全生態(tài)化趨勢(shì)
安全生態(tài)化是指建立一個(gè)綜合、多層次的安全體系,其中各種安全解決方案、設(shè)備、應(yīng)用和服務(wù)能夠協(xié)同工作,共同應(yīng)對(duì)威脅。這種生態(tài)系統(tǒng)能夠更好地捕獲威脅情報(bào)、分享威脅信息,同時(shí)提供綜合性的威脅檢測(cè)和響應(yīng)。通過(guò)構(gòu)建安全生態(tài)系統(tǒng),XDR可以更好地應(yīng)對(duì)威脅的多樣性和復(fù)雜性。
XDR供應(yīng)商將積極與其他安全生態(tài)系統(tǒng)的參與者建立合作伙伴關(guān)系,包括安全技術(shù)提供商、威脅情報(bào)供應(yīng)商、合規(guī)性解決方案提供商等。這些合作關(guān)系將有助于構(gòu)建更綜合的安全生態(tài)系統(tǒng),為企業(yè)/組織提供更強(qiáng)大的安全保護(hù)。
開(kāi)放性趨勢(shì)
XDR的開(kāi)放性意味著它具有與其他安全解決方案和服務(wù)進(jìn)行集成的能力。這種集成可以跨越不同供應(yīng)商、不同領(lǐng)域的安全工具,使它們能夠共同工作,共享威脅情報(bào),提高整體的安全效能。這種開(kāi)放性對(duì)于保護(hù)組織免受威脅至關(guān)重要,因?yàn)橥{的復(fù)雜性要求不同的安全工具之間能夠有效合作。
XDR的開(kāi)放性還涉及到支持開(kāi)放標(biāo)準(zhǔn)和API(應(yīng)用程序接口)。這意味著XDR解決方案應(yīng)該提供易于與其他安全工具進(jìn)行集成的接口,使不同廠商的安全工具能夠協(xié)同工作。通過(guò)支持開(kāi)放標(biāo)準(zhǔn)和API,XDR可以更好地實(shí)現(xiàn)多樣化的集成,提高整體的安全性。
關(guān)于作者 陳毓端
虎符智庫(kù)專家,未來(lái)智安聯(lián)合創(chuàng)始人兼CTO,擁有十余年網(wǎng)絡(luò)安全行業(yè)經(jīng)驗(yàn)。他深耕網(wǎng)絡(luò)攻防技術(shù)和安全架構(gòu)設(shè)計(jì)多年,深入探索終端研發(fā)與終端安全,具備基于GoLang、PHP、Python、Openresty等語(yǔ)言的Web服務(wù)端開(kāi)發(fā)能力,在大數(shù)據(jù)分析和企業(yè)級(jí)高性能技術(shù)架構(gòu)等業(yè)務(wù)領(lǐng)域有豐富的落地實(shí)踐經(jīng)驗(yàn)。目前,他還擔(dān)任PHP官方PECL開(kāi)發(fā)組成員、安徽工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟專家職務(wù)。由其主導(dǎo)研發(fā)的未來(lái)智安XDR平臺(tái)已完成多個(gè)版本迭代,平臺(tái)的擴(kuò)展威脅檢測(cè)與響應(yīng)能力處于行業(yè)領(lǐng)先地位。作者還獲評(píng)2023網(wǎng)絡(luò)安全金帽子“年度技術(shù)突破者”。
文章來(lái)源:虎符智庫(kù)