《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 《高級(jí)威脅檢測(cè)與響應(yīng)解決方案》系列訪(fǎng)談——未來(lái)智安(XDR SEC)篇

《高級(jí)威脅檢測(cè)與響應(yīng)解決方案》系列訪(fǎng)談——未來(lái)智安(XDR SEC)篇

2022-11-06
來(lái)源:安全419

  伴隨著對(duì)云計(jì)算的擁抱,、新的DevOps流程的普及,、物聯(lián)網(wǎng)設(shè)備的蔓延,、供應(yīng)鏈的復(fù)雜交織以及更多數(shù)字基建的涌現(xiàn),,新一代網(wǎng)絡(luò)攻擊手段也在持續(xù)演進(jìn),,有效的威脅檢測(cè)與響應(yīng)能力作為重要的攻防手段,,是提升實(shí)戰(zhàn)化對(duì)抗能力的關(guān)鍵因素,。

  安全419推出《高級(jí)威脅檢測(cè)與響應(yīng)解決方案》系列訪(fǎng)談選題,,邀請(qǐng)相關(guān)安全廠(chǎng)商分享主動(dòng)感知,、分析,、防御、溯源高級(jí)威脅的成功經(jīng)驗(yàn),,及其方案服務(wù)的能力和特色,,為企業(yè)用戶(hù)提升安全建設(shè)水平提供一定參考。

  本期,,我們走進(jìn)北京未來(lái)智安科技有限公司(以下簡(jiǎn)稱(chēng)為“未來(lái)智安”),,邀請(qǐng)到未來(lái)智安創(chuàng)始人兼CEO唐伽佳講解他們?cè)谠擃I(lǐng)域的觀(guān)察思考和能力輸出。

  未來(lái)智安(XDR SEC)成立于2020年10月,,專(zhuān)注于XDR擴(kuò)展威脅檢測(cè)響應(yīng),,為客戶(hù)提供精準(zhǔn)全面的網(wǎng)絡(luò)安全檢測(cè)、高效自動(dòng)化的威脅運(yùn)營(yíng)能力和產(chǎn)品方案,。自2021年1月推出國(guó)內(nèi)首個(gè)XDR擴(kuò)展威脅檢測(cè)響應(yīng)系統(tǒng)以來(lái),,現(xiàn)已迭代至3.0版本,目前核心產(chǎn)品已在金融,、能源,、運(yùn)營(yíng)商等行業(yè)頭部客戶(hù)落地應(yīng)用。

  高級(jí)威脅沒(méi)有固定套路 難以識(shí)別抗衡

  面對(duì)不斷爆發(fā)的APT攻擊,、勒索攻擊,、超大規(guī)模數(shù)據(jù)泄露、波及范圍極廣的重大安全漏洞等類(lèi)型眾多的安全事件,,網(wǎng)絡(luò)空間的安全形勢(shì)變得岌岌可危,。唐伽佳告訴我們,高級(jí)威脅之所以令人不安,在于其并沒(méi)有固定的攻擊手段或進(jìn)攻路徑,,它或者形式多變,、或者對(duì)抗性強(qiáng)、或者善于潛伏隱蔽,、或者非常持久化,。高級(jí)威脅是一個(gè)相對(duì)的概念,可能由于攻擊者手握0day不走尋常路,,也可能在于目標(biāo)的防護(hù)基礎(chǔ)非常薄弱,、存在明顯短板,當(dāng)防御一方無(wú)法識(shí)別檢測(cè)出威脅,,攻擊一方最終繞過(guò)了防線(xiàn),,神不知鬼不覺(jué)地達(dá)到了破壞或竊取的目的,徒留受害者面面相覷,。

  兵無(wú)常勢(shì),,水無(wú)常形,攻防雙方一直是在對(duì)抗博弈中向前發(fā)展進(jìn)化的,,唐伽佳根據(jù)未來(lái)智安的專(zhuān)業(yè)觀(guān)察和市場(chǎng)實(shí)踐總結(jié)了幾點(diǎn)趨勢(shì):

  //  攻擊呈現(xiàn)碎片化,、復(fù)雜化。如今的攻擊者已經(jīng)具備比較全面的情報(bào)收集能力和分析能力,,會(huì)使用更系統(tǒng)化的攻擊工具和更具針對(duì)性的攻擊手法,,角度刁鉆、手段疊加,、樣本多變,,反映在安全事件層面則呈現(xiàn)出碎片化和復(fù)雜化的特點(diǎn),攻擊行為不易被發(fā)現(xiàn),,在內(nèi)部橫向移動(dòng)提權(quán)感染多個(gè)點(diǎn)位,,卻很難有效溯源分析出攻擊的全貌。

  //  IT架構(gòu)演化導(dǎo)致攻擊入口增多,。傳統(tǒng)的IT架構(gòu)逐漸向云端遷移,,云計(jì)算環(huán)境涉及IT基礎(chǔ)硬件、操作系統(tǒng)以及業(yè)務(wù)系統(tǒng)等,,虛擬機(jī),、微服務(wù)及容器的廣泛應(yīng)用讓傳統(tǒng)的設(shè)備邊界不再那么清晰,企業(yè)的資產(chǎn)暴露面顯著擴(kuò)大,,導(dǎo)致攻擊入口增多而且愈加復(fù)雜,。

  // 單點(diǎn)防御能效低下。企業(yè)多年來(lái)跟隨其信息化發(fā)展而逐步建立的安全防護(hù)體系已呈堆疊之勢(shì),,網(wǎng)絡(luò)側(cè),、主機(jī)側(cè),、應(yīng)用側(cè)都部署了不同的檢測(cè),、防御,、監(jiān)控、誘捕等功能的產(chǎn)品,,大量異構(gòu)產(chǎn)品各自聚焦于單點(diǎn)的檢測(cè),,缺乏統(tǒng)一的安全策略,上下文缺失,,給運(yùn)營(yíng)人員帶來(lái)大量告警,,效率低,準(zhǔn)確率低,,而云化環(huán)境中故障域的耦合更加緊密,,針對(duì)問(wèn)題根源的判斷十分困難。

  // 突發(fā)安全事件波及廣,、影響深,。類(lèi)似log4j漏洞、SolarWinds攻擊等影響范圍巨大的安全事件如今發(fā)生得越來(lái)越頻繁,,開(kāi)源軟件的廣泛使用,、各行業(yè)供應(yīng)鏈的成熟導(dǎo)致基礎(chǔ)框架、組件爆發(fā)漏洞極易引起漣漪效應(yīng),。這類(lèi)事件往往讓企業(yè)猝不及防,,沒(méi)有有效的手段發(fā)現(xiàn)并處置風(fēng)險(xiǎn)。

  單點(diǎn)安全檢測(cè)及防御能力面臨瓶頸

  IT環(huán)境,、技術(shù)的發(fā)展讓攻擊手段不斷進(jìn)化,、安全形勢(shì)日益嚴(yán)峻,相應(yīng)的,,威脅檢測(cè)與響應(yīng)技術(shù)也在不停更迭,。

  最初的IDS(Intrusion Detection System,入侵檢測(cè)系統(tǒng))用于檢測(cè)網(wǎng)絡(luò)流量上的行為,、數(shù)據(jù)特征等,,如果防火墻是一幢大樓的門(mén)鎖,那么IDS就是這幢大樓的監(jiān)視系統(tǒng),。由于IDS只是被動(dòng)地收集報(bào)文,,并利用內(nèi)置的入侵知識(shí)庫(kù)與這些流量特征進(jìn)行分析比對(duì),很難定位真正的威脅或?qū)崿F(xiàn)閉環(huán)處置,,IPS(Intrusion Prevention Systems,,入侵防御系統(tǒng))應(yīng)運(yùn)而生,傾向于提供主動(dòng)防護(hù),,預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截,,而不是簡(jiǎn)單地在惡意流量傳送時(shí)發(fā)出警報(bào),。

  在基于規(guī)則庫(kù)匹配之余,NTA(Network Traffic Analysis,,網(wǎng)絡(luò)流量分析)通過(guò)監(jiān)控網(wǎng)絡(luò)流量,、連接和對(duì)象來(lái)識(shí)別惡意的行為跡象,彌補(bǔ)傳統(tǒng)檢測(cè)設(shè)備重檢測(cè),、輕分析的缺陷,。隨后出現(xiàn)的NDR(Network Detection and Response,網(wǎng)絡(luò)威脅檢測(cè)與響應(yīng))進(jìn)一步升級(jí),,檢測(cè)能力融合機(jī)器學(xué)習(xí),、威脅情報(bào)等多維度的能力,并增加了響應(yīng)與防御功能,。

  威脅不僅出現(xiàn)在網(wǎng)絡(luò)流量側(cè),,硬件、服務(wù)器,、中間件等主機(jī)終端同樣需要重視,。傳統(tǒng)的殺毒軟件以及HIDS(Host-based Intrusion Detection System,主機(jī)型入侵檢測(cè)系統(tǒng))主要采用特征庫(kù)比對(duì)的檢測(cè)模式,,很難應(yīng)對(duì)病毒軟件的變種和繞過(guò),。EDR(Endpoint Detection & Response,端點(diǎn)檢測(cè)與響應(yīng))作為主機(jī)側(cè)的安全利器,,多通過(guò)人工智能引擎和威脅情報(bào)賦予終端更為精準(zhǔn),、持續(xù)的檢測(cè),同時(shí)增強(qiáng)防護(hù)屬性,,發(fā)出告警的同時(shí)也會(huì)自動(dòng)智能響應(yīng)處理掉惡意行為,。

  “而問(wèn)題在于”,唐伽佳說(shuō)道,,“攻擊本身不是割裂的,,這些單點(diǎn)性的安全產(chǎn)品形成了孤島式的安全能力,海量告警無(wú)法全面看清終端側(cè)和網(wǎng)絡(luò)側(cè)的威脅狀況,,難以溯源到真正的攻擊全貌,。”

  未來(lái)智安XDR:告訴客戶(hù)一個(gè)完整的攻擊故事,,并快速響應(yīng)和處置

  在這樣的背景下,,安全研究人員開(kāi)始嘗試把端和網(wǎng),以及包括郵件,、云端,、沙箱等的數(shù)據(jù)結(jié)合在一起進(jìn)行系統(tǒng)化、全局化的威脅檢測(cè),,于是XDR(Extended Detection And Response,,擴(kuò)展檢測(cè)與響應(yīng))技術(shù)理念應(yīng)運(yùn)而生,。

  在唐伽佳看來(lái),“X”所代表的擴(kuò)展屬性,,強(qiáng)調(diào)由孤立單點(diǎn)式威脅檢測(cè)過(guò)渡到基于更多上下文數(shù)據(jù),,進(jìn)行全面威脅檢測(cè)的整體安全思路的轉(zhuǎn)變。XDR不再單純依賴(lài)于端點(diǎn),、網(wǎng)絡(luò)或其他安全設(shè)備進(jìn)行告警發(fā)現(xiàn)和安全事件的標(biāo)記,,重視底層的數(shù)據(jù)變化,比如主機(jī)上的權(quán)限變更,、文件變更、賬號(hào)體系變更,、系統(tǒng)負(fù)載的變化等,,從而研判企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn),為企業(yè)安全運(yùn)營(yíng)帶來(lái)完整的上下文和可見(jiàn)性,。最終,,通過(guò)XDR告訴客戶(hù)一個(gè)完整的攻擊故事,并快速響應(yīng)和處置,。

  微信圖片_20221106171001.png

  圖:未來(lái)智安XDR具有完備的流程機(jī)制,,實(shí)現(xiàn)威脅追蹤溯源

  打破威脅檢測(cè)盲點(diǎn)

  對(duì)于企業(yè)客戶(hù)來(lái)說(shuō),能全面發(fā)現(xiàn)威脅依然是最核心的訴求,,單點(diǎn)的攻擊路徑或者攻擊模式并不能展示完整的結(jié)果,。唐伽佳表示,強(qiáng)大的數(shù)據(jù)采集和遙測(cè),、以及針對(duì)大數(shù)據(jù)的關(guān)聯(lián)索引能力成為保障XDR威脅檢測(cè)能力的基礎(chǔ),,未來(lái)智安XDR針對(duì)資產(chǎn)提供細(xì)粒度監(jiān)控和全局安全感知,并從外部入口到內(nèi)部資產(chǎn),、再到應(yīng)用環(huán)境進(jìn)行風(fēng)險(xiǎn)發(fā)現(xiàn)與研判,。

  在檢測(cè)能力上,未來(lái)智安XDR平臺(tái)內(nèi)置基于主機(jī)的EDR檢測(cè)能力與基于流量的NDR威脅檢測(cè)能力,,基于豐富的遙測(cè)數(shù)據(jù)更細(xì)粒度的感知底層數(shù)據(jù)變化從而研判用戶(hù)側(cè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn),,實(shí)現(xiàn)跨端跨流量的立體化威脅檢測(cè),為安全運(yùn)營(yíng)帶來(lái)完整的上下文和威脅的可見(jiàn)性,。通過(guò)XDR平臺(tái)的前置CEP流式實(shí)時(shí)檢測(cè)引擎和基于離線(xiàn)的場(chǎng)景化檢測(cè)能力,,同時(shí)利用端點(diǎn)告警、端點(diǎn)行為日志,、流量告警,、流量日志、資產(chǎn)等數(shù)據(jù),,并采用專(zhuān)利性的基于大數(shù)據(jù)挖掘的智能化事件分析引擎(AiE),,自動(dòng)將每天千萬(wàn)級(jí)零散告警生成跨終端跨網(wǎng)絡(luò)的幾十條完整攻擊事件(Incident),,攻擊檢測(cè)有效性提升百倍以上,實(shí)現(xiàn)全面的攻擊鏈檢測(cè),,讓威脅不存在檢測(cè)盲點(diǎn),。

  持續(xù)感知精確溯源

  識(shí)別與檢測(cè)是第一步,能持續(xù)地感知風(fēng)險(xiǎn)變化并精確地溯源攻擊是XDR防護(hù)有效的保障,。未來(lái)智安XDR圍繞ATT&CK覆蓋了近萬(wàn)條威脅檢測(cè)規(guī)則,,這些檢測(cè)規(guī)則在傳統(tǒng)的基于靜態(tài)檢測(cè)、基于特征檢測(cè)的安全防護(hù)能力的產(chǎn)品中是不具備的,。

  并且基于其自研的告警治理引擎,,利用主機(jī)側(cè)EDR、流量側(cè)NDR及相關(guān)資產(chǎn)數(shù)據(jù)圍繞攻擊鏈進(jìn)行攻擊事件回溯,??苫诠羰录蘒ncident出發(fā)進(jìn)行攻擊事件的調(diào)查分析,可圍繞多維度的攻擊線(xiàn)索展開(kāi)攻擊行為上下文,、進(jìn)程鏈等內(nèi)容分析,,有效解決溯源難問(wèn)題,且大大提高攻擊溯源效率,。

  提高安全運(yùn)營(yíng)效率

  無(wú)論是看見(jiàn)威脅還是處置風(fēng)險(xiǎn),,重要的是讓安全團(tuán)隊(duì)可以常態(tài)化地運(yùn)營(yíng)起來(lái),發(fā)現(xiàn)高價(jià)值的告警,,看清攻擊的本質(zhì),,以提升整體的安全防護(hù)能力。除原生的未來(lái)智安EDR,、NDR之外,,未來(lái)智安XDR支持接入其他異構(gòu)安全設(shè)備的數(shù)據(jù)并進(jìn)行統(tǒng)一管理。告警治理引擎利用資產(chǎn)關(guān)聯(lián),、不同安全設(shè)備間的數(shù)據(jù)進(jìn)行告警的數(shù)據(jù)互補(bǔ),、互糾來(lái)完成告警核實(shí)、告警Alert到攻擊事件Incident的提升,,從而降低告警數(shù)量,。同時(shí)利用SOAR技術(shù)針對(duì)不同類(lèi)型的威脅告警進(jìn)行告警的自動(dòng)化分析核實(shí)及告警的歸并,有效降低告警量及告警誤報(bào)率,。

  基于SOAR的安全編排與自動(dòng)化響應(yīng)處置能力,,還可完成不同攻擊類(lèi)型、不同攻擊場(chǎng)景的告警及攻擊事件的應(yīng)急預(yù)案,,通過(guò)任務(wù)編排的方式以自動(dòng)化或半自動(dòng)化運(yùn)行,,提高攻擊事件的處置效率。另外還提供作戰(zhàn)指揮室,,通過(guò)統(tǒng)一的協(xié)同工作界面高效進(jìn)行攻擊事件調(diào)查任務(wù)的派發(fā),、多人協(xié)同調(diào)查,,大大降低人工運(yùn)維壓力。

  據(jù)唐伽佳介紹,,經(jīng)市場(chǎng)落地驗(yàn)證,,未來(lái)智安XDR將威脅事件運(yùn)營(yíng)效率從小時(shí)級(jí)提高到分鐘級(jí),運(yùn)營(yíng)效率提升8倍以上,;開(kāi)放靈活的集成能力可保證客戶(hù)在已有安全平臺(tái)架構(gòu)之上落地可行的方案,,降低成本44%,顯著提升投資回報(bào)率,。

  XDR引領(lǐng)未來(lái)安全發(fā)展方向

  從國(guó)際前沿的應(yīng)用經(jīng)驗(yàn)來(lái)看,,檢測(cè)響應(yīng)類(lèi)產(chǎn)品已經(jīng)成為企業(yè)標(biāo)配,海量誤報(bào)以及檢測(cè)盲點(diǎn)問(wèn)題突出,,而XDR是威脅檢測(cè)與響應(yīng)技術(shù)的一次進(jìn)化,,為當(dāng)下組織的安全運(yùn)營(yíng)提供最直接、最核心的安全價(jià)值,,并能全面綜合性地解決用戶(hù)在威脅檢測(cè)和安全運(yùn)營(yíng)兩大層面面臨的挑戰(zhàn),惠及組織未來(lái)的安全體系建設(shè),。

  唐伽佳表示,,XDR理念和技術(shù)的出現(xiàn)及當(dāng)前的熱潮,正是為了更好地解決愈加頻繁且復(fù)雜的高級(jí)威脅所引發(fā)的安全挑戰(zhàn),,但價(jià)值需要通過(guò)更多實(shí)際的應(yīng)用去驗(yàn)證和展現(xiàn),。作為安全廠(chǎng)商,需要始終站在用戶(hù)的角度去思考并解決問(wèn)題,,XDR能力的核心,,也正是目前企業(yè)安全建設(shè)體系中的痛點(diǎn)的良藥——用統(tǒng)一的解決方案更快、更全面,、更精準(zhǔn)地檢測(cè)威脅和自動(dòng)化響應(yīng)處理威脅事件,;實(shí)現(xiàn)對(duì)整個(gè)資產(chǎn)、攻擊面,、威脅態(tài)勢(shì)的全面可視化,,及時(shí)發(fā)現(xiàn)高級(jí)復(fù)雜威脅及攻擊;降低安全運(yùn)營(yíng)的使用門(mén)檻和使用成本,,保護(hù)企業(yè)現(xiàn)有的安全投資,,實(shí)現(xiàn)可持續(xù)的安全運(yùn)營(yíng)。



更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀(guān)點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話(huà):010-82306118;郵箱:[email protected],。