伴隨著對云計算的擁抱、新的DevOps流程的普及、物聯網設備的蔓延、供應鏈的復雜交織以及更多數字基建的涌現,新一代網絡攻擊手段也在持續演進,有效的威脅檢測與響應能力作為重要的攻防手段,是提升實戰化對抗能力的關鍵因素。
安全419推出《高級威脅檢測與響應解決方案》系列訪談選題,邀請相關安全廠商分享主動感知、分析、防御、溯源高級威脅的成功經驗,及其方案服務的能力和特色,為企業用戶提升安全建設水平提供一定參考。
本期,我們走進北京未來智安科技有限公司(以下簡稱為“未來智安”),邀請到未來智安創始人兼CEO唐伽佳講解他們在該領域的觀察思考和能力輸出。
未來智安(XDR SEC)成立于2020年10月,專注于XDR擴展威脅檢測響應,為客戶提供精準全面的網絡安全檢測、高效自動化的威脅運營能力和產品方案。自2021年1月推出國內首個XDR擴展威脅檢測響應系統以來,現已迭代至3.0版本,目前核心產品已在金融、能源、運營商等行業頭部客戶落地應用。
高級威脅沒有固定套路 難以識別抗衡
面對不斷爆發的APT攻擊、勒索攻擊、超大規模數據泄露、波及范圍極廣的重大安全漏洞等類型眾多的安全事件,網絡空間的安全形勢變得岌岌可危。唐伽佳告訴我們,高級威脅之所以令人不安,在于其并沒有固定的攻擊手段或進攻路徑,它或者形式多變、或者對抗性強、或者善于潛伏隱蔽、或者非常持久化。高級威脅是一個相對的概念,可能由于攻擊者手握0day不走尋常路,也可能在于目標的防護基礎非常薄弱、存在明顯短板,當防御一方無法識別檢測出威脅,攻擊一方最終繞過了防線,神不知鬼不覺地達到了破壞或竊取的目的,徒留受害者面面相覷。
兵無常勢,水無常形,攻防雙方一直是在對抗博弈中向前發展進化的,唐伽佳根據未來智安的專業觀察和市場實踐總結了幾點趨勢:
// 攻擊呈現碎片化、復雜化。如今的攻擊者已經具備比較全面的情報收集能力和分析能力,會使用更系統化的攻擊工具和更具針對性的攻擊手法,角度刁鉆、手段疊加、樣本多變,反映在安全事件層面則呈現出碎片化和復雜化的特點,攻擊行為不易被發現,在內部橫向移動提權感染多個點位,卻很難有效溯源分析出攻擊的全貌。
// IT架構演化導致攻擊入口增多。傳統的IT架構逐漸向云端遷移,云計算環境涉及IT基礎硬件、操作系統以及業務系統等,虛擬機、微服務及容器的廣泛應用讓傳統的設備邊界不再那么清晰,企業的資產暴露面顯著擴大,導致攻擊入口增多而且愈加復雜。
// 單點防御能效低下。企業多年來跟隨其信息化發展而逐步建立的安全防護體系已呈堆疊之勢,網絡側、主機側、應用側都部署了不同的檢測、防御、監控、誘捕等功能的產品,大量異構產品各自聚焦于單點的檢測,缺乏統一的安全策略,上下文缺失,給運營人員帶來大量告警,效率低,準確率低,而云化環境中故障域的耦合更加緊密,針對問題根源的判斷十分困難。
// 突發安全事件波及廣、影響深。類似log4j漏洞、SolarWinds攻擊等影響范圍巨大的安全事件如今發生得越來越頻繁,開源軟件的廣泛使用、各行業供應鏈的成熟導致基礎框架、組件爆發漏洞極易引起漣漪效應。這類事件往往讓企業猝不及防,沒有有效的手段發現并處置風險。
單點安全檢測及防御能力面臨瓶頸
IT環境、技術的發展讓攻擊手段不斷進化、安全形勢日益嚴峻,相應的,威脅檢測與響應技術也在不停更迭。
最初的IDS(Intrusion Detection System,入侵檢測系統)用于檢測網絡流量上的行為、數據特征等,如果防火墻是一幢大樓的門鎖,那么IDS就是這幢大樓的監視系統。由于IDS只是被動地收集報文,并利用內置的入侵知識庫與這些流量特征進行分析比對,很難定位真正的威脅或實現閉環處置,IPS(Intrusion Prevention Systems,入侵防御系統)應運而生,傾向于提供主動防護,預先對入侵活動和攻擊性網絡流量進行攔截,而不是簡單地在惡意流量傳送時發出警報。
在基于規則庫匹配之余,NTA(Network Traffic Analysis,網絡流量分析)通過監控網絡流量、連接和對象來識別惡意的行為跡象,彌補傳統檢測設備重檢測、輕分析的缺陷。隨后出現的NDR(Network Detection and Response,網絡威脅檢測與響應)進一步升級,檢測能力融合機器學習、威脅情報等多維度的能力,并增加了響應與防御功能。
威脅不僅出現在網絡流量側,硬件、服務器、中間件等主機終端同樣需要重視。傳統的殺毒軟件以及HIDS(Host-based Intrusion Detection System,主機型入侵檢測系統)主要采用特征庫比對的檢測模式,很難應對病毒軟件的變種和繞過。EDR(Endpoint Detection & Response,端點檢測與響應)作為主機側的安全利器,多通過人工智能引擎和威脅情報賦予終端更為精準、持續的檢測,同時增強防護屬性,發出告警的同時也會自動智能響應處理掉惡意行為。
“而問題在于”,唐伽佳說道,“攻擊本身不是割裂的,這些單點性的安全產品形成了孤島式的安全能力,海量告警無法全面看清終端側和網絡側的威脅狀況,難以溯源到真正的攻擊全貌。”
未來智安XDR:告訴客戶一個完整的攻擊故事,并快速響應和處置
在這樣的背景下,安全研究人員開始嘗試把端和網,以及包括郵件、云端、沙箱等的數據結合在一起進行系統化、全局化的威脅檢測,于是XDR(Extended Detection And Response,擴展檢測與響應)技術理念應運而生。
在唐伽佳看來,“X”所代表的擴展屬性,強調由孤立單點式威脅檢測過渡到基于更多上下文數據,進行全面威脅檢測的整體安全思路的轉變。XDR不再單純依賴于端點、網絡或其他安全設備進行告警發現和安全事件的標記,重視底層的數據變化,比如主機上的權限變更、文件變更、賬號體系變更、系統負載的變化等,從而研判企業網絡安全風險,為企業安全運營帶來完整的上下文和可見性。最終,通過XDR告訴客戶一個完整的攻擊故事,并快速響應和處置。
圖:未來智安XDR具有完備的流程機制,實現威脅追蹤溯源
打破威脅檢測盲點
對于企業客戶來說,能全面發現威脅依然是最核心的訴求,單點的攻擊路徑或者攻擊模式并不能展示完整的結果。唐伽佳表示,強大的數據采集和遙測、以及針對大數據的關聯索引能力成為保障XDR威脅檢測能力的基礎,未來智安XDR針對資產提供細粒度監控和全局安全感知,并從外部入口到內部資產、再到應用環境進行風險發現與研判。
在檢測能力上,未來智安XDR平臺內置基于主機的EDR檢測能力與基于流量的NDR威脅檢測能力,基于豐富的遙測數據更細粒度的感知底層數據變化從而研判用戶側網絡安全風險,實現跨端跨流量的立體化威脅檢測,為安全運營帶來完整的上下文和威脅的可見性。通過XDR平臺的前置CEP流式實時檢測引擎和基于離線的場景化檢測能力,同時利用端點告警、端點行為日志、流量告警、流量日志、資產等數據,并采用專利性的基于大數據挖掘的智能化事件分析引擎(AiE),自動將每天千萬級零散告警生成跨終端跨網絡的幾十條完整攻擊事件(Incident),攻擊檢測有效性提升百倍以上,實現全面的攻擊鏈檢測,讓威脅不存在檢測盲點。
持續感知精確溯源
識別與檢測是第一步,能持續地感知風險變化并精確地溯源攻擊是XDR防護有效的保障。未來智安XDR圍繞ATT&CK覆蓋了近萬條威脅檢測規則,這些檢測規則在傳統的基于靜態檢測、基于特征檢測的安全防護能力的產品中是不具備的。
并且基于其自研的告警治理引擎,利用主機側EDR、流量側NDR及相關資產數據圍繞攻擊鏈進行攻擊事件回溯。可基于攻擊事件Incident出發進行攻擊事件的調查分析,可圍繞多維度的攻擊線索展開攻擊行為上下文、進程鏈等內容分析,有效解決溯源難問題,且大大提高攻擊溯源效率。
提高安全運營效率
無論是看見威脅還是處置風險,重要的是讓安全團隊可以常態化地運營起來,發現高價值的告警,看清攻擊的本質,以提升整體的安全防護能力。除原生的未來智安EDR、NDR之外,未來智安XDR支持接入其他異構安全設備的數據并進行統一管理。告警治理引擎利用資產關聯、不同安全設備間的數據進行告警的數據互補、互糾來完成告警核實、告警Alert到攻擊事件Incident的提升,從而降低告警數量。同時利用SOAR技術針對不同類型的威脅告警進行告警的自動化分析核實及告警的歸并,有效降低告警量及告警誤報率。
基于SOAR的安全編排與自動化響應處置能力,還可完成不同攻擊類型、不同攻擊場景的告警及攻擊事件的應急預案,通過任務編排的方式以自動化或半自動化運行,提高攻擊事件的處置效率。另外還提供作戰指揮室,通過統一的協同工作界面高效進行攻擊事件調查任務的派發、多人協同調查,大大降低人工運維壓力。
據唐伽佳介紹,經市場落地驗證,未來智安XDR將威脅事件運營效率從小時級提高到分鐘級,運營效率提升8倍以上;開放靈活的集成能力可保證客戶在已有安全平臺架構之上落地可行的方案,降低成本44%,顯著提升投資回報率。
XDR引領未來安全發展方向
從國際前沿的應用經驗來看,檢測響應類產品已經成為企業標配,海量誤報以及檢測盲點問題突出,而XDR是威脅檢測與響應技術的一次進化,為當下組織的安全運營提供最直接、最核心的安全價值,并能全面綜合性地解決用戶在威脅檢測和安全運營兩大層面面臨的挑戰,惠及組織未來的安全體系建設。
唐伽佳表示,XDR理念和技術的出現及當前的熱潮,正是為了更好地解決愈加頻繁且復雜的高級威脅所引發的安全挑戰,但價值需要通過更多實際的應用去驗證和展現。作為安全廠商,需要始終站在用戶的角度去思考并解決問題,XDR能力的核心,也正是目前企業安全建設體系中的痛點的良藥——用統一的解決方案更快、更全面、更精準地檢測威脅和自動化響應處理威脅事件;實現對整個資產、攻擊面、威脅態勢的全面可視化,及時發現高級復雜威脅及攻擊;降低安全運營的使用門檻和使用成本,保護企業現有的安全投資,實現可持續的安全運營。
更多信息可以來這里獲取==>>電子技術應用-AET<<
