2018年,美国网络安全公司Palo Alto Networks首次提出XDR(Extended Detection and Response)概念,同时也发布了世界上首款XDR产品——Cortex XDR。2020年,Gartner发布的《顶级安全和风险管理趋势》报告中,提到的第一项技术趋势就是XDR。接着又发布了《扩展检测和响应(XDR)的创新洞察》、《扩展检测和响应(XDR)市场指南》两份报告,详细的阐述了XDR的技术架构、核心能力、市场趋势等等。Gartner给XDR的定义:“XDR一种基于 SaaS 的、绑定到特定供应商的安全威胁检测和事件响应工具,它原生地将多个安全产品集成到一个统一的安全运营系统中,该系统统一了所有许可组件。”开箱即用,集成常见的多款安全产品。
方便分析和查询,统一存储标准化数据。
通过多个安全产品的协调,改善检测敏感度。
- 关联多个安全产品进行策略联动响应,响应恢复过程更完整。
早期的XDR主要关注于保护终端用户以及他们使用的应用程序和数据。后期XDR概念可以扩展到数据中心保护、身份和访问管理等产品的组合。随着各大厂家的XDR产品的不断落地,根据用户场景以及厂家实际情况,XDR的架构也在不断的细化和扩充。
Gartner后期表示XDR前端应该有三个及以上的能力,包括不限于EDR、NDR、Firewall等等,说明XDR不需要集成上表中的所有能力,毕竟任何一个厂家都很难把各个领域的产品做到最好。XDR后端能力本质上和目前国内的态势感知或者SOC平台没有太大的差异,都是诸如结合威胁情报、汇总数据分析、安全编排与自动化响应之类的能力。XDR的特点是专注威胁检测和响应,原生集成,更加易用,自动化程度更高,能显著降低安全事件的处理成本。2022年,Gartner发表的端点安全成熟度曲线中,XDR技术位于期望膨胀期的峰值(Peak of inflated Expectations)。期望膨胀期意味着技术正处于过度热情和不切实际的设想阶段,随着技术被推向极限,技术领导者们采取了一系列广泛宣传活动并带来了一些成功,但更多的是失败。根据Gartner的曲线预测,XDR还需要5-10年的时间才能趋于成熟被大众接纳。作为对比,EDR(端点检测与响应)和UEM(统一终端管理)则正处于稳步爬升期,稳步爬升期意味着技术被越来越多企业和组织实践,人们真正了解了技术的适用性、风险和好处,并且技术的开发过程因商业化的方法和工具而简化。单纯从技术角度分析,XDR需要的技术体系,以EDR的终端威胁检测技术为基础,融合了SIEM的大数据关联分析技术、SOAR的策略编排技术、UEBA的行为异常检测技术等。XDR并没有什么出现明显的技术进步,它的意义主要是改变了安全产品的服务模式,一套方案包括了各种组件。比如,从前使用 SIEM 的厂商,要自己对接各类安全产品,做定制化的对接和开发,非常复杂;但是在XDR方案中所有的安全组件都被一键打包好了。原生集成的服务模式,对厂商的要求更高,也能更好地进行情报共享、威胁分析和及时响应。从2018年首次提出XDR的概念,到2022年XDR登顶Gartner的技术曲线,国外已经有很多厂商开始研制并推出XDR产品,但是因为整个市场并未成熟,目前Gartner并没有为XDR产品绘制经典的魔力象限图。2021年Q4,市场咨询公司Forrester作为独立的第三方研究公司,对市场上的14 家最重要的XDR提供商进行了对比分析,分析结果如下:Forrester认为,在XDR市场中大家的差异很大,成熟的提供商使用其优势产品特性进行组合、改造、集成,简化事件响应,构建有针对性的高效的威胁检测和响应系统。可以看出,在XDR领域处于领导地位的企业还是几个传统大厂,比如趋势和微软,以及最早提出XDR概念的Palo Alto,均来自单一供应商。这些公司的产品线较长,往往能靠自己的产品组装出一个完整的XDR解决方案,无需借助其他厂商的力量。Gartner对XDR的定义中也提到是多个产品组件的原生集成,只有单一厂商才能比较方便的做到这一点。XDR产品中检测组件都是自家产品,收集到的安全事件都是一手数据,相比SIEM产品的Syslog信息来说,保真度更高,上下文信息更丰富。由于商业竞争的原因,大部分厂家很少会在外发的威胁告警日志中,提供详细的上下文信息。所以SIEM类产品做溯源分析时,存在大量信息丢失的情况,对于收到的误报告警,很难准确甄别。XDR利用这些丰富的上下文信息,可以建立更完善的数据模型,更准备的辨别业务异常和攻击事件,并深度挖掘发现潜在APT攻击。XDR产品以EDR为基础,扩展NDR等其他检测产品,前端感应器都是自身集成的能力,包括端点、用户、网络、文件、应用等各种检测数据,在告警的关联分析上,具备天然的优势。NDR在网络上做威胁检测,部署方便,但是检测结果主要是攻击特征或者攻击意图,不能确定是否发生了攻击,无法评估造成的后果。网络侧检测的误报率比较高,传统的安全产品IDS就一直存在这个问题,很容易造成告警风暴,给运营带来困难。EDR在端点侧做检测,能检测到攻击的准确信息,缺点是部署成本高,很难覆盖用户所有的资产。尤其在工业控制领域,很多设备不能安装客户端软件,无法做到所有端点的检测。所以EDR的特点是检测的深但是覆盖面窄,而NDR的特点是检测的浅但是覆盖面广。XDR可以结合两者的全部优点,对于重点资产可采用端点检测方式,对于其他资产可采用网络检测方式。XDR平台将这两种能力检测到的原始事件信息进行自动化关联,比单点检测更全面。传统的SIEM类产品不涉及威胁响应,近几年业界有些厂商逐渐扩展SIEM的业务,增强了联动功能,有些甚至加入了SOAR功能。但是各厂家的防护产品设计风格迥异,接口不一,要操作多家的防护产品完成威胁响应,难度很大。XDR的所有组件均为原厂研发,对外体提供的就是一套产品,不仅仅是数据结构和内容的统一,在UI和业务设计上也可以做到高度统一:统一的界面风格、统一的交互规则、统一的账号体系、统一的资产信息、统一的调查分析、统一的响应处置。这对于安全管理员非常友好,大大降低了学习成本,提升了威胁响应的效率。在XDR的所有组件安全产品中,可以放心的共享本地威胁情报:内容丰富、指引明确、一处检测、全局响应,这也可以大大提升安全运营效率,快速高效地阻止安全威胁。1)现有投资无法利旧使用。客户现场基本不可能是白纸一张,现有网络中已经部署了各种安全设备,这种情况下就要求必须能够利旧使用,单一供应商方案这时候就会受到挑战。2)客户投资的分散考虑。每家企业的产品都有自己的长处和短处,客户通过采购多家企业的产品,可能做到优势互补,补齐短板,所以很多客户不允许单一厂商采购合同,这也可以避免商务上可能存在的其他潜在风险。XDR这种发展趋势对传统的全面发展的安全大厂比较友好,但是对于新兴的安全厂商,或者仅在某一领域存在优势的厂商,则不太友好。很多厂商无法靠自身力量推出合格的XDR产品,为了能搭上XDR的浪潮,这些厂商设计了开方式XDR模型,即企业可以使用来自各个厂家的设备构造开放式或混合式XDR解决方案。
2021年8月3号,Exabeam 联合其他7家网络安全公司宣布成立 XDR 联盟(官方网址:https://www.xdralliance.com)。XDR 联盟的成员都是网络安全供应商,最初的7家公司分别是:Google Cloud Security、Mimecast、Netskope、 SentinelOne、Armis、Expel和ExtraHop。截止目前,共有14家公司加入该联盟:
XDR联盟官网要求:“所有成员必须属于以下类别之一:拥有XDR解决方案或至少提供XDR技术堆栈的一个组件。”比如,成员Mimecast的主要业务方向是邮件安全,Netskope主要业务方向是云、Web、私有应用的安全。当多家企业聚拢在一起,可以形成全栈式XDR方案。1)数据源与控制点(Data Sources & Control Points),由各个产品组成解决方案;2)引擎层(Engine),是 XDR 平台的威胁检测核心;3)内容层(Content),包括规范的、预先打包的内容,可推动、丰富引擎工作流。目前看,XDR联盟偏向是一个技术联盟,主要定义了一些技术框架,还没有看到成功的XDR商业解决方案。不管采用哪种方案实现了XDR,客户最终关注的是威胁检测和防御的效果。目前,业界最标准最受认可的评测方式就是MITRE 组织的ATT&CK评测,官方网址:https://attackevals.mitre-engenuity.org/。不知攻,焉知防。MITRE ATT&CK框架汇整了现实黑客组织的入侵攻击技术,并建立了共通语言。与Gartner及Forrester等研究机构的产品评比相比,ATT&CK评测是以更技术性的角度,来解析产品技术能力,其评测结果更受到技术专家的认可。从2018年开始,MITER 每年会模拟不同的攻击组织进行攻击测试,对参加的各个安全厂商进行评估:2018年的APT3、2019年的APT29、2020年的Carbanak/FIN7、2021年的Wizard Spider + Sandworm。Wizard Spider是一个以获取经济利益为目的的攻击团伙,从 2018年8月开始一直在针对各种组织发起勒索软件攻击行动。Sandworm Team被认为是俄罗斯的APT组织,该组织被美国司法部和英国国家网络安全中心归为俄罗斯GRU 74455 部队。Sandworm Team最典型的攻击案例包括2015年和2016年针对乌克兰电力公司的攻击以及2017年的NotPetya,该攻击组织从2009年开始就一直保持活跃。2021年参与ATT&CK安全测试评估的安全厂商包括:可以看到,很多知名安全厂商都参与了本次安全评测,前面Forrester评测中排名靠前的XDR厂商也都参与了本次评测,包括:趋势、微软、Palo Alto、CrowdStrike、SentinelOne、Bit defender、Cybereason等,他们参与评测的产品也是各自的XDR产品。2022年3月,MITRE官网发布了评测结果,因为各个维度不完全统一,所以并没有给出统一的对比图。CheckPoint公司按照技术和分析检测的覆盖度,汇总绘制如下图:对比前面Forrester的XDR供应商分析图,可以看出ATT&CK的评测结果与Forrester的分析结果基本相同,部分小厂商的排名略有出入。Cybereason、Bit defender、Sentinel One的得分超过了传统的安全大厂微软和趋势。Palo Alto官网给出的“技术检测”级别的能力对比中,则是Palo Alto、Sentinel One、微软、CrowdStrike位列前几名,如下图所示:MITRE定义安全检测系统的检测能力分为5个级别:1)无(None):未收集与攻击子步骤相关的遥测数据。2)遥测(Telemetry):此类检测通常只是保留了活动的基本日志记录。3)常规(General):此类检测使安全分析师能够调查并确定执行了哪些操作以及原因。4)策略(Tactic):此类检测可说明事情发生的原因,但仍然依赖安全分析师调查采取具体的操作或技术。5)技术(Technique):此类检测可提供所需的上下文和详细信息,说明对手为什么执行行动以及他们采取哪些行动来实现目标。后面3个级别都归属于分析覆盖,说明系统对攻击事件有了分析能力。最后一个“技术”级别的分析能力最强,达到这一步,说明已经全面深入的理解攻击方的目的、手段和方法,也就可以执行一些安全响应措施,进行攻击阻断。通过分析MITRE官网的评测报告详情,可以发现,对于这种真实的攻击模拟,要想真实检测和阻止渗透攻击事件,达到最后面技术级别的检测能力,必须有强大的终端软件。所有的入侵攻击事件,最后都依靠EDR之类的软件进行检测分析。比如,Cybereason在ATT&CK评测中的一个证明界面,显示监控发现启动了可疑程序,系统可展示进程之间的调用关系,界面如下:所以,ATT&CK评测虽然相对比较真实,但是最终的考核结果主要依赖终端的检测防护能力。这也说明在网络层面很难真正检测并确认真实的入侵攻击。总体看,现在的XDR玩家,主要来自于早期的EDR厂商或端点防护厂商,也就是在EDR上的扩展形成了XDR。前面提到,Gartner认为XDR前端应该有三个及以上的能力,包括不限于EDR、NDR、Firewall等等;后端能力本质上和目前国内的态势感知或者SOC平台没有太大的差异。理想中的XDR技术,其实是EDR、NDR、SOAR以及TIP等技术紧密融合的产物。Forrester分析师Allie Mellen认为,XDR和SIEM并不是融合,而是相互碰撞。Mellen表示,SIEM在过去十年中已经在慢慢地进化,现在很多SIEM都包含或集成了SOAR、UEBA、TIP组件。SIEM通过收集大量数据,运行安全分析,以“大海捞针”式的数据挖掘来搜寻发现威胁。XDR采取的方法是加强端点保护,然后在EDR基础上利用来自网络等其他方面的信息来进行充实,是基于EDR的扩展进化。Splunk负责安全产品的副总裁Jane Wong提出,XDR目前并不能取代SIEM解决方案,目前还是一个共存的局面。Splunk的安全分析平台可以帮助XDR增强威胁检测能力。SIEM产品经过十几年的发展,没有突飞猛进的发展,但也一直稳步的前进。早期的SIM或SEM关注的是日志或安全事件的收集、分析和审计。后续SIEM为来自企业和组织中所有IT资源(包括网络、系统和应用)产生的安全信息(包括日志、告警等)进行统一的实时监控、数据留存和审计分析,可以发现来自外部的入侵和内部的违规、误操作行为。SIEM为网络中的这些安全事件提供审计分析、调查取证功能,出具各种报表报告,帮助实现IT资源的合规性管理,同时提升企业和组织的安全运营、威胁管理和应急响应能力。SIEM在发展过程中,不断丰富其内涵,增强大数据存储和分析能力,稳定了其作为数据管理中心的地位,现在是安全运营中心SOC里面不可或缺的重量级产品。XDR因为其聚焦在威胁检测和响应方面,准确性、专业性更强,直接对准了客户的痛点问题,已经成长为SIEM潜在的有力竞争对手,这对于SIEM厂商来说既是挑战也是机遇。国际主流观点认为,SIEM是客户一站式安全运营的界面,XDR增强了SIEM的高级威胁发现能力,SIEM基于这个线索进行分析、溯源和响应。XDR是标品式自动化检测响应,SIEM是人机结合管理和运营,两者互为补充、相得益彰。2022年6月的28届Gartner安全风险管理北美峰会上,Gartner描述了多种安全分析技术的融合演进路线:可以看出,SIEM正在吸收融合SOAR、IRP(Incident Response Plan)、TIP、UEBA等各个赛道的技术,整体看,主流发展方向还是数据整合分析。SIEM对于端点解决方案(Point Solutions)的小范围融合,应该是指融合了基于端点的数据采集技术。XDR在该图中属于端点解决方案的范畴,所以其出现在Gartner的端点安全技术成熟度曲线上。汇总各个机构和专家对于XDR和SIEM观点,我们认为目前SIEM和XDR存在如下差异:XDR作为EDR、NDR之后的新概念,最近热度很高,处于Gartner成熟度曲线中的“期望膨胀”期。目前XDR的主流方案是单一供应商提供全套产品,核心功能是威胁检测和响应,借助EDR和NDR,可以拿到一手数据,检测精度较高,响应控制能力较强。XDR在EDR基础上集成NDR、防火墙等设备,具有更广泛的数据来源,可以关联多种数据源,统一分析,内部情报共享,检测和响应的效果更好。天下大势,合久必分,分久必合。安全产品和解决方案也一直按这个规律前行。不管单一供应商的全家桶模式,还是多家供应商的融合模式,在特定时期特定场景都有其存在的价值,也都有其弱点。购买最好的产品,会导致过多的厂商和产品,无法紧密集成或关联。安全报警过多,数据格式、含义都不统一,无法协调,运营效率较低。购买全家桶组合套装,容易导致对单一厂商的过度依赖,还可能因为单一厂商的漏洞或防护弱点,成为整个方案的短板,导致威胁漏报或防护失效。北京未来智安科技有限公司(简称未来智安)成立于2020年10月,是国内最早主攻XDR赛道的独立厂商之一。2021年1月成功推出国内首款XDR产品;同年7月,发布2.0版本。未来智安在EDR和NDR的能力结合基础上,增加了事件引擎、UEBA、SOAR以及作战指挥室等模块,为客户提供更全面、方便和快捷的使用效果。未来智安认为XDR最核心的能力是威胁检测能力,其XDR同时具备端点和流量的威胁检测与防护能力,支持Windows、Linux,以及凝思、麒麟、统信等信创操作系统的安全监测与防护能力。在主机和流量发现告警之后进行告警的治理,将高价值的攻击场景、攻击告警进行关联,挖掘出需要重点关注的告警,减少安全团队的告警研判和分析时间。未来智安XDR产品的检测路径为:使用EDR进行行为监测和恶意软件监测(借助杀毒引擎),然后借助NDR等其他检测设备补充更完整的上下文信息,融合分析,还原攻击的路径和模式。未来智安在2022年的网络安全大会中讲解了他们的XDR产品及其技术方案,攻击检测原理如下图:1)看见资产:比如看见主机上的进程、软件、开放的端口、数据库、环境变量、内核模块等。2)感知系统变化:比如新增账号文件权限的变更,并且能在第一时间去告知用户和安全团队。3)检测敏感行为:为了感知底层的安全变化,需要具备一定的敏感行为检测能力,比如说提权行为、异常登录等。目前未来智安XDR围绕ATT&CK覆盖了近万条的威胁检测规则,将各类安全设备产生的告警进行统一的数据治理,同时基于同源、同类型的攻击场景化,进行告警的归并收敛。然后进一步利用XDR事件引擎将零散的攻击告警提升为完整的攻击事件,这样就可以通过告警详情看清楚整个攻击过程,并方便进行攻击溯源。2021年12月,腾讯安全联合Gartner撰写的《XDR,威胁检测与响应的利器》正式发布。腾讯的XDR方案可以联动EDR、SIEM、SOAR等不同层面的安全产品的能力,实现跨产品、跨层级的安全数据获取、威胁检测和事件响应。同时,XDR基于大数据分析和机器学习能力,强化对高级威胁的分析,以及攻击杀伤链的理解和还原,让安全人员可以真正聚焦在数量有限且真正具备影响力的安全事件上。此外,XDR可以提供自动化响应威胁的技术和工具,让用户对文件、权限、主机和网络执行经过预先设计编排过的手动和自动的补救措施,提高局部威胁发现、全局快速响应的能力,并减少对高水平安全运维人员的依赖。腾讯的XDR白皮书中给出的XDR的架构就是各种主流技术的大融合,架构图如下:腾讯依托自身成熟的云上安全能力,率先在国内拓展云上XDR方案,并对私有化场景进行赋能。针对公有云环境和传统IT环境,形成两套相对独立的方案,应对不同应用场景需要。腾讯XDR方案基于PaaS层的安全算力算法支撑,其云原生方案集成度高、部署成本低、SaaS化服务即申请即使用,还可凭借云上各种基础设施针对用户访问等场景进行威胁检测与分析,拥有包括云上成熟的大数据和机器学习能力、安全算力算法在内的诸多优势。腾讯安全的XDR方案说明如下:2023年1月,360数字安全集团联合Gartner撰写的《新一代XDR——面向未来的数字安全防御架构》白皮书正式发布。新一代XDR以“打破安全数据孤岛,实现有效的检测与响应”的理念为驱动力,解决数字时代新威胁格局下“看见”威胁的难题,形成面向多种甚至未知安全场景的综合性安全解决方案,帮助安全回归攻防对抗本质。360的XDR白皮书指出,XDR是安全对抗技术之集大成者,是终端安全、大数据处理、大数据分析、AI人工智能、智能安全评估BAS、APT基因库和攻防知识百科、MDR安全运营和对抗专家服务发展到高峰的自然成果,是安全领域的复杂性系统工程。该白皮书认为,XDR的核心是EDR,因为终端能获得高质量数据,并可以完全覆盖攻击杀伤链的关键技战术,更直接有效增强了企业“看见”威胁的能力。正如两个名称缩写首字母所代表的,X指eXtended,是指在EDR基础上扩展打通了其他产品。白皮书中,还给出了一个XDR监测响应“酸狐狸事件”的案例。案例示意图如下:在“酸狐狸事件”案例中,终端探针设备采集终端上的进程、文件、注册表以及敏感API调用等遥测数据,识别恶意软件的植入、劫持、上传数据等行为;流量探针设备通过采集网络会话的元数据,识别异常流量,发现诸如中间人攻击、下载恶意软件以及外连命令控制服务器等行为;360XDR可进一步关联终端和流量数据,分析还原整个攻击链路,方便安全团 队研判;同时能自动化提取威胁攻击IOC和标记受害资产,预置的自动化预案自动调度防火墙对C2地址进行封禁,调度终端防护系统扫描受害主机隔离恶意文件。国内真正投入XDR研发的厂商还比较少,以早期的EDR厂家为主,在EDR为基础进行扩展,另外一些新兴厂家也在找这个机会点切入。360数字安全在国内EDR领域属于领导厂商,同样在XDR领域也具有领先优势。腾讯安全则以云为切入点,依赖腾讯云的优势,侧重云上的XDR研究。总体看,国内的XDR市场还没有培育成熟,客户的认知度不高,很多安全大厂还没有大力投入XDR产品的研发和推广。微软同时是SIEM领域和XDR领域的领导者,市场占有率高,技术成熟度高,资料齐全,所以本文以Microsoft 365 Defender为典型代表来分析XDR产品的定位和技术能力。
Microsoft 365 Defender 是一个集成式威胁防护套件,属于XDR类产品,提供完整的端点安全解决方案,检测防护对象包括:用户、电子邮件、文档、终结点(主机)、应用程序、网络、容器、云等。检测防护场景覆盖IT、OT、云等多种场景。这些解决方案提供了完整的攻击链入侵分析和可视化,用户能够从中全面了解威胁入侵的过程,并且能够修复和保护组织免受未来的攻击。Microsoft Sentinel 是云原生安全性信息和事件管理器 (SIEM) 平台,它使用内置 AI 来帮助快速分析企业中的大量数据。Sentinel 聚合来自所有源的数据,这些数据源包括用户、应用程序、服务器以及在本地或任何云中运行的设备,借助对 CEF 和 Syslog 等开放标准格式的支持,从任何源收集数据。Microsoft 365 Defender和Microsoft Sentinel是两个相关性比较强的产品,Sentinel属于SIEM类产品,聚合多源异构数据,侧重威胁可视化;而365 Defender属于XDR类产品,侧重威胁检测和响应处置。因为微软产品线比较丰富,作为单一供应商提供安全全家桶,可以推测这两款产品在内部有很多共用组件。Microsoft 365 Defender 作为XDR,和Sentinel作为SIEM紧密配合,形成SOC整体解决方案。XDR位于下层,接触一手原始数据,提供可靠的威胁信息和控制能力;SIEM位于上层,集中管理和分析更大范围的数据,提供更广泛的安全信息,支持威胁狩猎和安全编排自动化响应,可以和XDR进行情报共享和策略联动。微软认为安全运营由多个不同的职能团队组成,每个职能团队都有一个主要重点领域,还必须与其他职能和外部团队密切合作,才能有效进行安全运营。在较小的组织中,这些职能通常组合成一个角色或团队,由IT运营部门执行(对于技术角色),或者由领导/代表作为临时职能执行(对于事件管理)。在这个层面,使用XDR产品可以准实时解决已知事件类型,不需要人工参与。这些事件通常是多次看到的明确定义的攻击,可以按预定的响应处置方式进行处理。在这个层面,需要会审分析师对告警事件进行人工判断,通常可以快速修正,一般任务是批准自动修正工作流,并识别特殊的复杂告警,提交给调查(第2层)团队进行下一步分析。XDR负责提供高质量的告警,要求告警的准确度达到90%,减少大量误报,从而减少分析师的工作量。同时,XDR提供自动化调查的能力,针对告警自动启动关联信息调研,对告警提供处置建议,提示分析师进行人工审核。另外,XDR的各类工具都集成到统一的控制台中,分析师可以在一个地方快速响应处置各种威胁事件,最小化安全告警事件可能造成的负面影响。在这个层面,需要更高级的安全运维人员,处理第1层升级上来的问题,直接监视关键资产相关的特殊告警,以及持续攻击活动的告警。该团队定期查看会审团队的告警和处理结果,并在业余时间使用 XDR 工具主动搜寻。团队成员通常是资深的安全工程师,负责更深入地调查少量更复杂的攻击,通常是人为操作进行的多阶段攻击。另外,团队承担管理事件的非技术方面,包括与其他团队(如通信、法律、领导和其他业务利益干系人)的协调等工作。在这个层面,需要一个多学科团队,专注于识别可能已通过检测的潜在攻击者。团队依靠所有可获得的工具,包括但不限于SIEM、XDR、TIP等,主动搜寻未检测到的威胁,协助主动升级和高级取证,并优化告警和自动化流程。团队依赖情报和假设主动采取行动,而不是依赖告警事件驱动,即属于事前主动巡检,而不是事后应急处置。威胁情报团队提供威胁信息的上下文和处置建议,在一些大型组织中可能使用威胁情报平台 (TIP)。该团队的工作内容包括许多不同的方面,比如:针对活动威胁事件的应对技术研究;针对攻击者群体、攻击趋势、新兴技术的研究;针对业务、技术流程和优先级的战略分析研究等。Microsoft 365 Defender 产品提供完整的端点安全解决方案,可以提供攻击链各个阶段的入侵分析和可视化展示。典型的攻击场景分析如下图:微软通过各种探针,甚至无探针(集成在操作系统或云上)方式,对用户、网络、应用、文件、云等各种防护对象的运行数据进行监测,从而发现外部、内部的各种异常和入侵事件,并跟踪其发展过程,在365 Defender中进行联合分析、统一展示、响应处置。Microsoft 365 Defender的核心能力体现在下面几个方面:微软借助其在终端和云上强大的管控能力,以及多年终端安全的经验积累,可以准确地检测到系统漏洞或脆弱性、恶意文件或异常行为。自动化调查是Microsoft 365 Defender的一个特色亮点功能。当检测到来自端点的恶意或可疑内容产生告警后,365 Defender具有自动调查和响应功能,可帮助安全运营团队更高效、更有效地解决威胁,类似现在的SOAR功能。自动调查和响应功能可帮助安全运营团队完成以下步骤:确定是否需要针对某个威胁采取行动。
执行(或建议执行)任何必要的修正操作。
确定是否还需要执行哪些调查。
根据需要对其他告警重复此流程。
告警产生时,自动响应功能生效,对于确定的安全事件立即采取措施来解决违规行为。该功能明显减少告警数量,使安全运营人员能够专注于更复杂的威胁和其他高价值的计划。告警产生时,安全playbook生效,根据安全playbook,开始进行自动调查。例如,假设恶意文件驻留在某台设备上。终端EDR检测到该文件时,将触发告警,并开始执行自动调查过程,调查后给出裁定结果:恶意、可疑和未发现威胁。Defender会检查该恶意文件是否存在于组织中的任何其他设备上,在自动调查期间和之后,都可以随时获得调查的详细信息和裁定结果。调查的结果支持以多种形式进行可视化展示,包括关系图谱、卡片、时间轴等多种样式来描述告警故事。经过分析调查,根据裁定结果会触发一项或多项响应/修正操作,包括:隔离文件、停止进程、隔离设备、阻止URL、删除计划任务等。根据组织设定的自动化级别以及其他安全设置,修正操作可以自动发生,也可以仅在安全运营团队批准的情况下进行。所有修正操作(无论是挂起还是已完成)都可以在操作中心查看。安全运营团队也可以根据实际需要撤消修正操作。自动化级别将影响修正操作的进行,Defender支持定义以下的自动化级别:1)完全自动化(推荐)表示对确定为恶意的项目自动执行修正操作。2)半自动化表示自动执行某些修正操作,但其他修正操作在执行之前需要等待批准。如果使用这种半自动化级别,对核心文件夹中的文件或可执行文件进行所需的任何修正操作都需要获得批准。核心文件夹包括操作系统目录,例如 Windows (windows*)。对于其他(非核心)文件夹中的文件或可执行文件,可以自动执行修正操作。在操作中心的“挂起”选项卡上,可以查看和批准对核心文件夹中的文件或可执行文件的挂起操作。如果使用这种半自动化级别,对临时文件夹中不包含的文件或可执行文件执行所需的任何修正操作都需要获得批准,对于临时文件夹中的文件或可执行文件,可自动执行修正操作。在操作中心的“挂起”选项卡上,可查看和批准对临时文件夹中不包含的文件或可执行文件的挂起操作。临时文件夹可包括以下示例:
3)无自动化则表示不会运行自动调查和修正,建议不要使用该选项。
网络威胁搜寻(简称“威胁搜寻”,也有人将其称为“威胁狩猎”)是一项主动进行的网络安全活动。其目标是找出隐藏在大量安全信号和警报数据下或未被安全产品标记的威胁,这一流程通常手动进行。威胁搜寻涉及各种工具集,不局限于XDR,所以本节仅简单举例说明:安全管理员张三通过威胁情报了解到有一个新漏洞会影响公司环境中的ERP系统。因为这一漏洞刚刚才被公布,张三无法确定攻击者如何利用这个漏洞,也没有可用的补丁来修正这一漏洞。于是,张三创建一个查询,用于查询与该漏洞中涉及的流程相关的行为。张三把该查询的结果确定为基线,如果发现不同于基线的意外行为,则产生告警通知。根据Gartner统计,微软是多年来SIEM领域的领导者,在大数据、安全分析、机器学习等技术领域有明显优势。微软凭借其操作系统附带的defender以及云上的巨大优势,在XDR领域也属于领导者(参考Forrester的分析结果)。微软依靠其对操作系统的深入理解,在端点防护方面具有先天优势,迭加其在云计算市场的影响力,以及在安全方面的巨大投入,为客户提供一揽子安全解决方案。微软的XDR方案中业务理解透彻、产品定位清晰、技术路线明确、培训资料齐全、产品方便易用,是XDR产品的优秀代表。
截止目前,技术人员对XDR仍然存在不同的声音:一部分人认为XDR必将引领全新的安全运营体系,是未来不可或缺的关键技术;另外一部分人则认为XDR技术不过是在炒作技术概念,并没有真正的关键技术。从客户视角看,对XDR也存在疑问:既有的安全产品怎么办,能否利旧复用?和SIEM、SOC有什么本质区别,是替代还是融合?购买一家的产品,怎么保证不会漏报,会不会被单一厂家绑架?NIST的IPDRR(Identify, Protect, Detect, Respond and Recover)安全框架下从识别阶段到恢复阶段,依赖人的程度是逐步递增的,而依赖技术能力是逐步递减的。现在众多安全厂商的产品都集中在识别、保护和检测阶段,而响应和恢复阶段的产品种类非常少。这个事实与客户安全运营的实际诉求相矛盾。因为多数客户是没有或者只有很少人力做专业的安全运营工作,所以虽然部署了很多的安全检测设备,但是安全实效提升不大。对于客户来讲,以前是看不到威胁,现在是天天看到大量的威胁告警但无从下手。XDR目前最突出的优点是一体化解决方案,运营简单,告警精准度比较高,威胁检测和响应能力突出。所以,XDR针对的客户需求是真实存在的。以客户为中心,满足客户的真实需求,是XDR后续存在和发展的根本基础。但是从“期望膨胀”的顶峰,到真正落地实施到客户的网络中、获得用户的认可,还需要踏踏实实的不断进行磨合探索。北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。
威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的6000多家行业客户实现了业务安全合规运行。
作为中国工控安全国家队,威努特积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,始终以保护我国关键信息基础设施安全为己任,致力成为建设网络强国的中坚力量!
渠道合作咨询 田先生 15611262709
稿件合作 微信:shushu12121
还没有评论,来说两句吧...