从防御到应急响应 XDR如何应对数字威胁
然而,这么多年的高级威胁治理实践一次次粉碎了上述这种简单的想法。任何方案的落地都需要大量实践相佐证。当用户接受并部署高级威胁检测类型的产品和解决方案之后,随之而来的不仅仅是揭开了藏匿在网络中各种污垢,还包括了海量的可疑威胁告警,当运维人员接到告警处置派单时,噩梦也接踵而来。如何捕捉到“有82%只会保持一个小时的活跃性,70%只会出现一次的恶意软件”,如何分析这些恶意软件的活性?往往通过网络检测到的可疑威胁对象,在终端上却找不到任何留存和活动的迹象,运维人员如何判断告警的真实性?如何给出一份有价值的告警分析报告?如何制定和执行处置策略? “在没有采用这些检测技术之前,用户对于高级威胁大多眼不见心不烦,而采用了这些检测技术之后,逐渐有用户开始后悔了,因为自身的技术能力、知识储备、专业技能和现有流程并不足以应对如此海量的告警。甚至绝大多数用户根本没有做好处置这些告警的准备,用户开始怀疑这些检测产品或解决方案的价值,于是,他们选择将此类产品或解决方案束之高阁,或者选择对告警置之不理。”,白日如是说。 很多人会想,造成以上现实窘相的是由于高级威胁检测技术的不成熟,造成误报率居高不下,无法给予用户高质量的告警。然而,无论技艺多么高超医生,如果不借助专业的分析工具或技术,不依靠过往的经验,都不可能对一个疑似症状做出完全无误的诊断。事实上,造成这种现状的是市场初期绝大多数人对于从“检测”到“响应”的过于简单的认知。 从“检测”到“响应”,必然绕不开“分析”这个关键阶段。然而,无论是Gartner还是大多数第三方分析报告中,对“分析”这个环节都没有给出太多的解释,甚至没有将“分析”列入其自适应模型的关键阶段。但无论如何“分析”阶段所承载的正是“检测和响应”的核心业务逻辑。 XDR体系的核心构成 突出从“侦测”“分析”到“响应”整个过程的核心能力,可将EDR、NDR、MDR和SOAR所构成的精密编排的自动化检测和响应体系定义为XDR,即亚信安全高级威胁治理战略3.0的核心。 1.XDR技术螺旋矩阵模型 前面介绍过,威胁描述模型包括 “点、线、面、体”四个层次,威胁治理模型包括“侦测、分析、响应、预测”四个阶段,那么,如果把这两个模型叠加起来,就会形成一个螺旋矩阵,如果将每个矩阵空格所对应的关键技术标注起来,就构成了亚信安全XDR“技术螺旋矩阵模型”。 2.XDR核心业务逻辑及工作流程 产品螺旋矩阵模型从结构上阐述了高级威胁治理战略所有相关产品的定位以及相互之间的静态关系。下图则描述了XDR的核心业务逻辑及工作流程:
3.XDR落地的关键要素 XDR解决方案包含三个核心要素:标准的预案、专业的调查工具、安全响应专家。 (1)标准的预案 从最近亚信安全协助金融用户做出的大量应急响应预案来看,预案针对每一种类型的黑客攻击,都采取了XDR的7个步骤,这包括“准备、发现、分析、遏制、消除、恢复、优化”策略,进而来确定用户碰到不同的威胁类型的时候该怎么处置。 例如,很多企业发生过终端主机和网络流量异常的情况,但是普通用户层面却没有感受到明显的网络攻击现象。在这个时候,XDR的方法是获取威胁数据,把数据集中到本地威胁情报和云端威胁情报做分析,通过分析黑客进攻的时间、路径、工具等所有细节,其特征提取出来,再进行遏制、清除、恢复和优化。 (2)专业的调查工具 高效、精准的应急响应需要专业的工具和设备支撑,这些设备能够在网络层面、服务器和终端内核层面发现异常现象,这是确保查清楚黑客到底做了什么、目的是什么,通过什么方式的关键。 这些专业工具包括:高级威胁终端及主机检测系统OSCE/DS、终端及主机存取证系统CTDI、高级威胁网络检测系统TDA、高级威胁网络存取证系统TRA,高级威胁情报系统TIP、高级威胁分析设备DDAN、高级威胁综合取证验伤分析系统UAP,以及本地和云端威胁情报的“双回路”机制都是方案中极为重要的工具,它们在精密编排的预案下联动工作,使得各个安全节点可以对APT定向攻击、勒索软件等高级攻击的特征行为进行发现、收集、分析和响应。 其中,亚信安全的EDR还采用了动态调查和审计技术DIA(Dynamic Investigation & Audit),通过云端和本地威胁情报“双回路”、沙盒分析、网络取证、终端取证、大数据关联分析等技术手段,基于网络和终端对黑客行为进行抓取分析,确保了取证内容的司法有效性和企业违规操作内控审计的准确性。 (3)MDR高级安全专家服务 成功的XDR应用离不开专业化高级安全专家服务。与传统MSSP主要帮客户提供安全运维和一般性安全事件响应不同,亚信安全MDR的本质是以攻防为核心的高级安全专家服务,该服务旨在主要帮助重点行业的重要客户,为保护核心资产应对定向攻击(Targeted Attack)。亚信安全MDR是XDR圣诞树体系中最顶端的星星,是“检测”到“响应”的所有技术和能力支撑中对攻防Know-How要求最高的一个环节,它是厂商能力的基石,是客户的最后一道防线。 亚信安全MDR针对重大威胁事件提供事前、事中和事后的威胁检测、分析、对抗、验伤、取证及修复补救等一系列安全服务,包括但不限于阻断入侵、确定影响范围、帮助恢复生产、调查取证和给出整改建议等。 在准备阶段,安全专家利用取证产品和工具,了解黑客攻击过程和攻击路径,找到关键攻击线索; 在执行阶段,通过确定影响的范围,服务团队现场搜集数据,利用取证产品获取关键信息,找出完整的证据链; 在结束阶段,服务团队提供完整的黑客入侵报告,并原始数据和取证数据留档保存,客户可以利用后续整改方案,防止再次出现同类攻击。
(编辑:温州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |