近年來,,隨著數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化進程加快,網(wǎng)絡安全的基礎性,、關鍵性作用更加突出,。加之百年變局和世紀疫情交織疊加,國際環(huán)境日趨復雜,,網(wǎng)絡霸權主義對世界和平與發(fā)展構成威脅,,國家產(chǎn)業(yè)鏈、供應鏈及關鍵基礎設施頻繁遭受沖擊,,網(wǎng)絡空間安全的形勢復雜多變,,針對關鍵基礎設施行業(yè)和新技術、新場景的網(wǎng)絡安全威脅事件頻發(fā),。針對企事業(yè)單位的網(wǎng)絡攻擊正在變得更加隱蔽和復雜,,攻防對抗從原來的技術之爭演變?yōu)樗俣戎疇帯km然此前已配備了防火墻,、IDS,、 IPS,、WAF、SIEM,、SOAR等安全設備,,但這些設備每天產(chǎn)生海量告警,且來自不同廠商的設備各自為戰(zhàn),、檢測割裂,,難以將多個節(jié)點的痕跡自動關聯(lián)成一個完整的攻擊案件,安全團隊及時跟進告警分析與事件響應的難度大,。
報告顯示,,當前威脅檢測和響應工作和兩年前相比更加困難,一是威脅數(shù)量大幅增加,,運營層面沒有將攻擊痕跡自動關聯(lián)成攻擊案件,;二是有效攻擊識別及處置不夠智能化,安全人員在無效事件處理上耗費大量時間,;三是響應手段不夠實戰(zhàn)化,,當安全事件發(fā)生時,響應時間按天計算,;四是業(yè)務安全能力無法做到精細化和場景化,處在宏觀可視層面,,難落地,。用戶迫切需要一個更加實戰(zhàn)、精細,、智能的安全運營平臺,,解決威脅事件的檢測、溯源,、取證,、響應與處置問題。
在國家網(wǎng)絡安全宣傳周開幕首日,,專注「網(wǎng)絡攻擊溯源」的安全廠商中睿天下正式發(fā)布XDR整體解決方案,,這是一套站在“攻擊者視角”,基于“攻擊對抗”思想融合EDR,、NDR,、MDR、情報云能力,,具備安全能力組件化持續(xù)擴展與集成特質(zhì),,面向威脅事件的實戰(zhàn)化對抗安全運營平臺,該平臺包含監(jiān)測,、溯源,、防護,、響應、對抗,、運營六大邏輯板塊,,實戰(zhàn)化運營從攻擊前認清風險、整改加固,、定期演練,,攻擊中攔截、監(jiān)控,、溯源,、應急,攻擊后修改整改,、常態(tài)運營共計三個方向九個動作展開,,對客戶云、網(wǎng),、端進行威脅檢測與響應,,有效提升客戶的安全運營效率,提高威脅檢測精度,,節(jié)省人員成本,,縮短應急響應時間,實現(xiàn)安全運營的降本增效,。
在XDR技術中
X不應該是一個未知數(shù)
2018年,,Gartner 提出了XDR(Extended Detection And Response:擴展威脅檢測與響應)的概念。XDR作為一項新興的威脅檢測與響應技術,,結合數(shù)據(jù)中臺技術,、自動化編排技術及安全分析技術,形成面向已知和未知安全場景的綜合性安全解決方案,。其中,,“X”代表著安全能力的持續(xù)擴展。
2022年,,在Gartner發(fā)布的安全運營技術成熟度曲線(Hype Cycle)中,,XDR更是站上Peak of Inflated Expectations的頂端,成為安全運營體系中最炙手可熱的技術之一,。
劉慶林談到,,在Gartner提出XDR概念后,國內(nèi)部分安全廠商開始了相應的產(chǎn)品研發(fā),,但由于各家安全廠商對XDR概念的理解不同,,產(chǎn)品也存在較大差異,這種差異性為用戶帶來巨大困擾。
“針對新的安全概念,,用戶的感知不像安全廠商那么敏感,,他們的關注點會聚焦于如何解決面臨的實際需求上。安全的概念層出不窮,,但是用戶的痛點變化不大,,他們剛剛理解了什么是EDR、NDR,,XDR又馬不停蹄地出爐了,。甚至有用戶開玩笑說,什么是XDR,?X就像是一個需要不停投資的無底洞,。”
劉慶林表示,,從技術視角看,,XDR并非新鮮事物。在更復雜的安全形勢下,,用戶更加聚焦實戰(zhàn)攻防并以結果為導向,,XDR能夠將原有的安全技術和手段進行有機地排列組合,通過系統(tǒng)的更新和升級,,更有效的解決檢測與響應的難題,。從嚴格意義上來說,XDR并不是一項創(chuàng)新的安全技術或產(chǎn)品,,而是面向高級威脅提出了更有效的安全運營解決方案,。
“從Gartner的定義來看,XDR被稱為可擴展的威脅檢測與響應技術,,它仍然是以威脅為對象,解決當前檢測與響應技術方面的不足,。早在XDR提出之前,,國內(nèi)就已經(jīng)在強調(diào)‘云管邊端’的防護理念,如果在這個基礎上增加‘人’的維度,,就已經(jīng)符合了XDR在各個維度做擴展的思路,。”
所以中睿天下對XDR的定義是:XDR是一個新一代安全運營解決方案,,它采用平臺+組件+服務的組合方式,,通過對終端、網(wǎng)絡進行數(shù)據(jù)的采集,、處理和分析,,能夠將不同時點產(chǎn)生的攻擊片段自動化整合成攻擊事件,并結合安全專家能力,,進行自動化的攻擊研判,、標準化的響應處理,、更高效的攻擊事件處置,最終有效支撐用戶常態(tài)化的安全運營,,為用戶的網(wǎng)絡安全賦能,。
XDR的最終使命
解決聯(lián)防聯(lián)控、精準防護,、人員能力的三大挑戰(zhàn)
過去二十年里,,多數(shù)用戶已采購了防火墻、IDS,、IPS,、WAF、防病毒軟件等大量的安全設備和安全軟件,,如何讓網(wǎng)絡中各自為戰(zhàn)的安全設備和軟件更加有效的協(xié)同運營,,并以聯(lián)防聯(lián)控的方式使其各司其職并發(fā)揮應有的作用,這是擺在安全運營者面前的第一道難題,。
此外,,這種傳統(tǒng)的、碎片化的安全建設方案還催生出了告警風暴,,用戶內(nèi)部屈指可數(shù)的安全運維人員被淹沒在海量安全告警中,。“所有的檢測設備都會提醒你疑似發(fā)現(xiàn)異常,,但告警是否準確,?攻擊是否真實發(fā)生?這個判定的過程本身就是一件很有挑戰(zhàn)的工作,?!?/p>
在海量的告警信息中鑒別出真正有效的攻擊后,如何快速處置并將一個個獨立的攻擊片段聚類還原成一次系統(tǒng)的攻擊事件,,繼而將多起攻擊事件串聯(lián)形成一個攻擊案例,,并在下一次攻擊到來前實現(xiàn)精準防護,這是擺在用戶安全運營中的第二道難題,。
最終,,安全運營的種種問題還要回歸到“人”。安全產(chǎn)品的品類過于繁雜,,這就對安全運營人員的能力要求極為苛刻,,加之能夠精通多品類安全產(chǎn)品的安全運營專家具有一定的稀缺性,如何通過一套標準化,、更友好的安全運營平臺,,讓不同水平的安全運營人員都能及時、有效地進行標準化、流程化的安全威脅處置工作,,降低對安全運維人員個人能力的依賴,,成為擺在用戶面前的第三道難題。
劉慶林指出,,隨著攻防對抗的日趨激烈,,攻擊者也在向著更智能和更隱蔽的方向進化?!肮粽叩氖侄魏图夹g已經(jīng)有了大幅的進化,,一個攻擊手法從誕生的那一刻起,就已經(jīng)將如何繞過市面上的安全防護設備作為出發(fā)點,。以秒撥攻擊為例,,攻擊者會在一次攻擊事件中,利用秒撥的手段偽造10萬個以上的IP地址同時發(fā)起攻擊,,而真正的攻擊則以加密數(shù)據(jù)包的形式隱藏其中,,所以如何發(fā)現(xiàn)有效攻擊則成為防護的難點?!?/p>
劉慶林認為,,以靜態(tài)檢測能力來對抗動態(tài)攻擊是當前安全運營頭號挑戰(zhàn),。“過去大家面臨的問題是怎樣發(fā)現(xiàn)自己被攻擊了,但現(xiàn)在面臨的問題已經(jīng)變成了如何在獨立的攻擊碎片中發(fā)現(xiàn)更深層次的未知威脅,,所以整個安全行業(yè)迎來了更大的挑戰(zhàn),,我們必須向下一個階段進化,?!?/p>
圖:中睿天下XDR解決方案架構
中睿XDR:九層之臺始于累土
以EDR、NDR為基礎組件逐步打造XDR閉環(huán)
計算機網(wǎng)絡由終端和網(wǎng)絡構成,,不同的終端設備之間要通過網(wǎng)絡進行對話,,這個過程中產(chǎn)生了大量的流量。因此,,對終端和網(wǎng)絡流量數(shù)據(jù)的分析檢測是網(wǎng)絡安全最核心的環(huán)節(jié),。
劉慶林談到,在長期服務關鍵行業(yè)用戶的過程中,,中睿天下深入了解用戶業(yè)務場景和真實痛點,,多年來中睿人秉承實戰(zhàn)對抗的基因,,面對真實威脅態(tài)勢,,幫助用戶消除了一個又一個安全隱患。目前,,中睿天下通過自主研發(fā)已經(jīng)形成了系列產(chǎn)品布局:從網(wǎng)絡威脅檢測與響應系統(tǒng)(NDR)到終端威脅檢測與響應系統(tǒng)(EDR),,再到托管檢測與響應服務(MDR),并構建了一整套具備核心競爭力的中睿天下XDR解決方案體系。
劉慶林介紹,,中睿天下圍繞網(wǎng)絡層面打造了網(wǎng)絡攻擊溯源,、Web攻擊溯源、郵件攻擊溯源,、全流量回溯,、資產(chǎn)風險監(jiān)測、賬號安全監(jiān)測,、鏈接及文件沙箱,、SSL解密網(wǎng)關、郵件網(wǎng)關在內(nèi)的加密和非加密網(wǎng)絡流量檢測溯源系統(tǒng),,形成了中睿NDR產(chǎn)品矩陣,;圍繞終端層面開發(fā)了基線檢查、調(diào)查取證,、監(jiān)測響應系列產(chǎn)品,,安全分析對象涵蓋了操作系統(tǒng)(Windows、Linux等),、底層固件,、內(nèi)存、文件,、日志,、網(wǎng)絡及IOT設備等,形成了中睿EDR產(chǎn)品系列布局,;圍繞實戰(zhàn)化對抗層面研發(fā)了攻擊決策輔助系統(tǒng),、釣魚演練系統(tǒng)、蜜網(wǎng)等產(chǎn)品矩陣,,形成了中睿對抗產(chǎn)品矩陣,;圍繞服務層面開展了溯源、應急響應,、托管運營,、專家值守、安全巡檢,、風險評估等服務矩陣,,形成了中睿服務產(chǎn)品矩陣;圍繞運營層面構建了微應用態(tài)勢感知平臺,、睿云管控平臺,、一鍵封禁等產(chǎn)品系列,形成了中睿運營產(chǎn)品矩陣,。
他表示,,中睿天下能夠解決的安全問題一直都十分明確,,網(wǎng)絡層面幫用戶解決針對網(wǎng)絡威脅的檢測、發(fā)現(xiàn),、攔截,、防護問題,終端層面幫用戶解決來自威脅發(fā)現(xiàn),、溯源,、取證和防護問題;隨后依托可擴展威脅檢測和響應安全運營平臺,,將來自不同安全廠商的不同類型,、不同位置的安全設備連接起來,以精準防護的思路,,從海量告警數(shù)據(jù)中將不同位置的攻擊片段抽離出來,,組合成攻擊事件,事件組合成攻擊案件,,最終以友好可視化的形式進行呈現(xiàn),,降低對于安全運營人員水平的依賴,幫助運營人員實現(xiàn)更加快速,、高效的流程化處置,。中睿天下XDR通過NDR/EDR/MDR全方位的數(shù)據(jù)采集和多源異構數(shù)據(jù)接入處理,采用大數(shù)據(jù)分析,、機器學習,、行為監(jiān)測、安全建模,、自動化編排,、加密流量分析、狩獵誘捕,、攻擊取證,、追蹤溯源、攻擊畫像,、云托管等技術,,結合攻擊者視角、運營視角,、業(yè)務視角,,幫助用戶實現(xiàn)了對安全事件的檢測、溯源,、取證,、跟蹤、處置全流程閉環(huán),。
談及中睿天下這一套XDR解決方案的技術優(yōu)勢,,劉慶林分享到,中睿天下是一家將「網(wǎng)絡攻擊溯源」刻在基因里的公司,,在公司成立至今的8年時間里,,圍繞網(wǎng)絡威脅來進行持續(xù)對抗是中睿天下專注和聚焦的事情,足夠的專注也讓中睿積累下了獨具特色的技術壁壘,。XDR同樣不應該是一個大而全的大雜燴式解決方案,,而是要精細地深入到每一個威脅檢測單元去做精準的檢測和響應。因此,,中睿天下實際上是把這道大雜燴中的食材全部拆分出來,,對每一道菜品進行精加工,給用戶呈現(xiàn)出一桌滿漢全席,。
什么樣的XDR解決方案才會得到甲方用戶的認可,?
劉慶林認為,作為一個以解決安全運營痛點為目標的綜合解決方案,,除了檢測與響應能力外,,用戶體驗也是一個核心因素。安全人員短缺,、能力參差不齊是每家甲方企業(yè)當前都要面對的現(xiàn)實問題,,在有限的人力條件下,將來自不同設備的關聯(lián)性告警信息聚類成為一個安全事件,,引入完全自動化,、流程化、制度化的工作模式,,實現(xiàn)提效減負,。
例如,在國家電網(wǎng)的安全運營平臺中,,中睿天下提出了5秒響應的理念,,首次引入開關量模型并進行可視化展示,從而將安全運營工作簡化為兩種結果:安全OR不安全,。綠燈亮表示安全,;紅燈亮則表示檢測到有效攻擊,提醒運營人員迅速一鍵處置,;若黃燈閃爍表示檢測到正在進行中的攻擊行為,,需要予以關注。開關量模型讓不同安全水平的運營人員能夠最大程度提高運營效率,,發(fā)揮自己的價值,。
XDR未來的進化之路
精細化、智能化,、個性化和場景化
采訪最后,,我們請劉慶林就當前XDR未來發(fā)展方向的問題分享了他的洞察和思考,。劉慶林認為,精細化,、智能化,、個性化和場景化將是未來XDR的重要方向。
首先,,實現(xiàn)精準防護的唯一路徑,,就是要從云、管,、邊,、端、人五個維度出發(fā),,不斷進行精細化拓展,,最終以更細粒度的方式實現(xiàn)威脅檢測、發(fā)現(xiàn),、溯源和防護,。
其次,要進一步實現(xiàn)更智能的安全運營,,在XDR中規(guī)?;階I技術是一個必然趨勢。通過對威脅數(shù)據(jù)進行大數(shù)據(jù)的關聯(lián)挖掘和識別攻擊者,,利用機器學習技術進一步快速判別攻擊手法,,反向定位黑客,并進行攻擊溯源分析,,促進XDR解決方案向智能化升級,。
第三,為更高效的應對動態(tài)變化的安全威脅,,防御側或將走向個性化,,即依據(jù)不同終端的特性,自動化形成檢測與防護模型,,實現(xiàn)更高效和準確的安全防護,,這也是未來XDR進化的重要方向。
最后一個趨勢是場景化,,過去安全行業(yè)做的事情更像是通用型解決方案,,不管什么網(wǎng)絡都可以套用流量檢測系統(tǒng)。但是在不久的未來,,無論是辦公網(wǎng),、生產(chǎn)網(wǎng)還是專網(wǎng),都會更加的場景化,。因此安全廠商需要更加深層次地了解用戶真實的訴求,,甚至去補充用戶安全的角色,,只有場景化才有可能打造出契合用戶需求的安全解決方案。
更多信息可以來這里獲取==>>電子技術應用-AET<<