由“嚴防死守”到“應急響應”,XDR應對不斷演化的數字威脅
責編:gltian |2019-05-05 13:42:44這是個全新的世界,不但會出現新的商業模式和數字物種,更能需要新的秩序和生存法則。當傳統的網絡安全防護理念已經無法適應當前的網絡安全形勢,我們的網絡安全觀已經到了必須革新的時候了。“思維決定行動”。
2017年,Gartner提出了精密編排的自動化響應SOAR模型(Security Orchestration,Automation and Response),并且提出將安全產品以及安全流程鏈接和整合起來,通過預定義的工作流(Work flow)和工作腳本(Playbook)來標準化事故的調查處置流程,提升威脅響應的自動化程度和執行效率。SOAR模型一經問世,便得到了信息安全廠商和大部分用戶的認可,其原因如下:
- 縮短應急處置安全事故的時間
- 減少和優化傳統SOC中不必要和冗余的工作
- 安全產品整合的API加速了自動化
- 豐富的安全數據服務:威脅情報平臺TIP
- 提高告警分析的質量和偵測發現能力
- 提高工作精準度,安全運維流程的文檔化以及證據的管理
- 減少培訓新安全運維分析人員的代價
- 整體提高衡量和管理安全運維的能力
2018年,正直檢測和響應市場(Detection & Response)爆發的前期,SOAR、EDR、NDR、NTA、MDR、UEBA等概念和技術此起彼伏,在市場還在消化和吸收各種聲音的時候,亞信安全已對高級威脅治理進行了全面升級,并推出了以EDR和NDR為技術支撐、以MDR為服務支撐,以SOAR自動化精密編排為工作流支撐的XDR體系。
XDR可以解決什么問題?
XDR體系解決了持續演化的高級威脅和安全運營能力不匹配的矛盾。
1.持續演化的高級威脅
無論是以APT(高級持續性威脅)為代表的定向攻擊,還是以勒索、挖礦、釣魚、廣告詐騙為代表的大規模攻擊,攻擊者不斷嘗試使用新型攻擊技術,企圖繞過傳統檢測機制對目標發起攻擊以達到某種目的,這種威脅我們統稱之為“高級威脅”。
為了統一威脅的描述,避免盲人摸象一般去談論威脅,我們將威脅依次劃分為四個層面的內容,即威脅描述分層模型,也稱威脅描述“點、線、面、體”四層次模型:
圖:威脅描述分層模型
高級威脅的發動者無時無刻不在找尋滲透企業IT環境的途徑,其中一個最容易的通道,就是利用終端上的漏洞。因此,很多企業在 “修墻御敵”理論支撐下做了大量工作,無論是部署防火墻、防病毒、IPS等基于策略和規則的安全設備,甚至是基于行為和大數據分析等安全軟件的采購,然而百密一疏,嚴防死守的方式顯然已經無法滿足當前的安全需求。
這更像是“馬奇諾防線”在網絡世界的再現:雖然企業在正面已經構建起堅固的安全防線,但是網絡攻擊者正在采用迂回的策略,滲透到防線背后,讓網絡安全防護系統喪失作用。
2.安全運營成熟度及能力
?
圖:安全運營四階段成熟度及能力鴻溝
從上圖中我們看到,超過90%的用戶完成了“阻斷”階段的安全運營建設,大約60%的用戶著手“發現”階段的安全運營建設,但只有不足5%的用戶具備有限的“響應”階段的安全運營能力。我們不難發現,從“發現”階段到“響應”階段,事實上存在著一條巨大的安全運營“能力鴻溝”。正是這條能力鴻溝,致使高級威脅治理的落地遭遇了現實的瓶頸,而XDR的關鍵,就是解決這個現實問題,把“空”口補上。
那么,我們不妨先研究一下,從“發現”到“響應”到底需要怎樣的能力構成?到底是哪些關鍵能力的缺失影響了用戶的安全運營?
圖:從“發現”到“響應”的能力構成
大量成功的實踐告訴我們,從“發現”到“響應”包括以下四個步驟的能力構成:
第一步,“告警受理”:來自各類檢測工具的威脅告警通常會匯集到用戶的態勢/SIEM/SOC平臺,然后以工單的方式派發出來,接下來就是“告警受理”這個步驟,這個步驟包括兩部分內容:告警分類和優先級劃分,也就是告警的預處理;
第二步,“定性分析”:判斷威脅的真實性,確認威脅的本質和攻擊者的意圖;
第三步,“定量分析”:回溯攻擊場景、評估威脅的嚴重性、影響和范圍;
第四步,“響應”:根據響應腳本,制定并執行響應策略,完成修復補救。
以上過程需借助EDR、NDR、威脅情報、沙箱、ATT&CK等相關工具,以及MDR檢測和響應安全專家服務,執行自動化告警預處理、驗傷和取證、以及制定和執行響應策略等具體工作內容,整個過程還需要案件管理、響應預案、自動化精密編排等流程作為保障,把這些內容放在一起,就構成了SOAR。
但是,受限于用戶安全領域專業技能的缺乏,流程自動化程度不高,以及配套的工具支撐不夠完善,以上每個環節的問題都可能被無限放大,最終導致戰略落地困難重重。
3.錯誤的思維方式,導致錯誤的行動
比如:市場上不少人會認為只要檢測到了威脅就可以及時作出響應,對于早期市場用戶來說,很容易就接受了從“檢測”到“響應”的最直觀的解決方案,而且這種解決方案確實很符合廣大企業,尤其符合中小企業的安全運維能力現狀。很多廠商也迎合這種早期需求推出了簡單的產品組合方案,試圖將“檢測”和“響應”這兩個過程順理成章地過渡起來。
然而,這么多年的高級威脅治理實踐一次次粉碎了上述這種簡單的想法。任何方案的落地都需要大量實踐相佐證。當用戶接受并部署高級威脅檢測類型的產品和解決方案之后,隨之而來的不僅僅是揭開了藏匿在網絡中各種污垢,還包括了海量的可疑威脅告警,當運維人員接到告警處置派單時,噩夢也接踵而來。如何捕捉到“有82%只會保持一個小時的活躍性,70%只會出現一次的惡意軟件”,如何分析這些惡意軟件的活性?往往通過網絡檢測到的可疑威脅對象,在終端上卻找不到任何留存和活動的跡象,運維人員如何判斷告警的真實性?如何給出一份有價值的告警分析報告?如何制定和執行處置策略?
在沒有采用這些檢測技術之前,用戶對于高級威脅大多眼不見心不煩,而采用了這些檢測技術之后,逐漸有用戶開始后悔了,因為自身的技術能力、知識儲備、專業技能和現有流程并不足以應對如此海量的告警。甚至絕大多數用戶根本沒有做好處置這些告警的準備,用戶開始懷疑這些檢測產品或解決方案的價值,于是,他們選擇將此類產品或解決方案束之高閣,或者選擇對告警置之不理。
很多人會說,造成以上現實窘相的是由于高級威脅檢測技術的不成熟,造成誤報率居高不下,無法給予用戶高質量的告警。然而,無論技藝多么高超醫生,如果不借助專業的分析工具或技術,不依靠過往的經驗,都不可能對一個疑似癥狀做出完全無誤的診斷。事實上,造成這種現狀的是市場初期絕大多數人對于從“檢測”到“響應”的過于簡單的認知。
從“檢測”到“響應”,必然繞不開“分析”這個關鍵階段。然而,無論是Gartner還是大多數第三方分析報告中,對“分析”這個環節都沒有給出太多的解釋,甚至沒有將“分析”列入其自適應模型的關鍵階段。但無論如何“分析”階段所承載的正是“檢測和響應”的核心業務邏輯。
XDR體系的核心構成
突出從“偵測”“分析”到“響應”整個過程的核心能力,我們將EDR、NDR、MDR和SOAR所構成的精密編排的自動化檢測和響應體系定義為XDR,即亞信安全高級威脅治理戰略3.0的核心。
圖:XDR體系構成
1.XDR技術螺旋矩陣模型
前面介紹過,威脅描述模型包括 “點、線、面、體”四個層次,威脅治理模型包括“偵測、分析、響應、預測”四個階段,那么,如果我們把這兩個模型疊加起來,就會形成一個螺旋矩陣,如果將每個矩陣空格所對應的關鍵技術標注起來,就構成了亞信安全XDR“技術螺旋矩陣模型”。如下圖所示:
圖:XDR技術螺旋矩陣模型
2.XDR核心業務邏輯及工作流程
產品螺旋矩陣模型從結構上闡述了高級威脅治理戰略所有相關產品的定位以及相互之間的靜態關系。下圖則描述了XDR的核心業務邏輯及工作流程:
圖:XDR核心業務邏輯及工作流程
3.XDR落地的關鍵要素
XDR解決方案包含三個核心要素:標準的預案、專業的調查工具、安全響應專家。
(1)標準的預案
從最近亞信安全協助金融用戶做出的大量應急響應預案來看,預案針對每一種類型的黑客攻擊,都采取了XDR的7個步驟,這包括“準備、發現、分析、遏制、消除、恢復、優化”策略,進而來確定用戶碰到不同的威脅類型的時候該怎么處置。
例如,很多企業發生過終端主機和網絡流量異常的情況,但是普通用戶層面卻沒有感受到明顯的網絡攻擊現象。在這個時候,XDR的方法是獲取威脅數據,把數據集中到本地威脅情報和云端威脅情報做分析,通過分析黑客進攻的時間、路徑、工具等所有細節,其特征提取出來,再進行遏制、清除、恢復和優化。
(2)專業的調查工具
高效、精準的應急響應需要專業的工具和設備支撐,這些設備能夠在網絡層面、服務器和終端內核層面發現異常現象,這是確保查清楚黑客到底做了什么、目的是什么,通過什么方式的關鍵。
這些專業工具包括:高級威脅終端及主機檢測系統OSCE/DS、終端及主機存取證系統CTDI、高級威脅網絡檢測系統TDA、高級威脅網絡存取證系統TRA,高級威脅情報系統TIP、高級威脅分析設備DDAN、高級威脅綜合取證驗傷分析系統UAP,以及本地和云端威脅情報的“雙回路”機制都是方案中極為重要的工具,它們在精密編排的預案下聯動工作,使得各個安全節點可以對APT定向攻擊、勒索軟件等高級攻擊的特征行為進行發現、收集、分析和響應。
其中,亞信安全的EDR還采用了動態調查和審計技術DIA(Dynamic Investigation & Audit),通過云端和本地威脅情報“雙回路”、沙盒分析、網絡取證、終端取證、大數據關聯分析等技術手段,基于網絡和終端對黑客行為進行抓取分析,確保了取證內容的司法有效性和企業違規操作內控審計的準確性。
(3)MDR高級安全專家服務
成功的XDR應用離不開專業化高級安全專家服務。與傳統MSSP主要幫客戶提供安全運維和一般性安全事件響應不同,亞信安全MDR的本質是以攻防為核心的高級安全專家服務,該服務旨在主要幫助重點行業的重要客戶,為保護核心資產應對定向攻擊(Targeted Attack)。亞信安全MDR是XDR圣誕樹體系中最頂端的星星,是“檢測”到“響應”的所有技術和能力支撐中對攻防Know-How要求最高的一個環節,它是廠商能力的基石,是客戶的最后一道防線。
亞信安全MDR針對重大威脅事件提供事前、事中和事后的威脅檢測、分析、對抗、驗傷、取證及修復補救等一系列安全服務,包括但不限于阻斷入侵、確定影響范圍、幫助恢復生產、調查取證和給出整改建議等。
在準備階段,安全專家利用取證產品和工具,了解黑客攻擊過程和攻擊路徑,找到關鍵攻擊線索;
在執行階段,通過確定影響的范圍,服務團隊現場搜集數據,利用取證產品獲取關鍵信息,找出完整的證據鏈;
在結束階段,服務團隊提供完整的黑客入侵報告,并原始數據和取證數據留檔保存,客戶可以利用后續整改方案,防止再次出現同類攻擊。
“C3安全峰會”精彩預告
2019年5月7日-8日,備受全球網絡安全從業者關注的網絡安全盛典——C3安全峰會即將在成都召開。本屆峰會將以“預建未來”(Plan UP)為主題,緊密契合國家網絡安全戰略,結合5G、人工智能、物聯網、大數據等前沿引領技術和創新技術,針對當今世界正在經歷的科技革命和產業變革,分享全球最前沿的安全技術策略展望,深入討論5G商化應用中的各類威脅風險,助力用戶打造智能、可靠、安全的網絡新場景,共同迎戰數字時代下的網絡安全風險,一起預建未來。
##
關于亞信安全
亞信安全是中國網絡安全行業領跑者,以安全數字世界為愿景,旨在護航產業互聯網。亞信安全是云安全、身份安全、終端安全、態勢感知、高級威脅治理、威脅情報技術領導者,同時是5G、云計算、物聯網、大數據、工控、移動六大安全場景引領者。在國內擁有3個獨立研發中心,2,000人安全專業團隊。欲了解更多,請訪問: http://www.asiainfo-sec.com
更多媒體垂詢,敬請聯絡:
| 亞信安全 | 謀信傳媒 |
| 劉婷婷 | 雷遠方 |
| 電話:010-58256889 | 電話:010-67588241 |
| 電子郵件: liutt5@aisainfo-sec.com | 電子郵件:leiyuanfang@ctocio.com |