伴隨著對云計算的擁抱、新的DevOps流程的普及、物聯(lián)網(wǎng)設(shè)備的蔓延、供應(yīng)鏈的復(fù)雜交織以及更多數(shù)字基建的涌現(xiàn)，新一代網(wǎng)絡(luò)攻擊手段也在持續(xù)演進，有效的威脅檢測與響應(yīng)能力作為重要的攻防手段，是提升實戰(zhàn)化對抗能力的關(guān)鍵因素。

　　安全419推出《高級威脅檢測與響應(yīng)解決方案》系列訪談選題，邀請相關(guān)安全廠商分享主動感知、分析、防御、溯源高級威脅的成功經(jīng)驗，及其方案服務(wù)的能力和特色，為企業(yè)用戶提升安全建設(shè)水平提供一定參考。

　　本期，我們走進北京未來智安科技有限公司（以下簡稱為“未來智安”），邀請到未來智安創(chuàng)始人兼CEO唐伽佳講解他們在該領(lǐng)域的觀察思考和能力輸出。

　　未來智安（XDR SEC）成立于2020年10月，專注于XDR擴展威脅檢測響應(yīng)，為客戶提供精準(zhǔn)全面的網(wǎng)絡(luò)安全檢測、高效自動化的威脅運營能力和產(chǎn)品方案。自2021年1月推出國內(nèi)首個XDR擴展威脅檢測響應(yīng)系統(tǒng)以來，現(xiàn)已迭代至3.0版本，目前核心產(chǎn)品已在金融、能源、運營商等行業(yè)頭部客戶落地應(yīng)用。

　　高級威脅沒有固定套路 難以識別抗衡

　　面對不斷爆發(fā)的APT攻擊、勒索攻擊、超大規(guī)模數(shù)據(jù)泄露、波及范圍極廣的重大安全漏洞等類型眾多的安全事件，網(wǎng)絡(luò)空間的安全形勢變得岌岌可危。唐伽佳告訴我們，高級威脅之所以令人不安，在于其并沒有固定的攻擊手段或進攻路徑，它或者形式多變、或者對抗性強、或者善于潛伏隱蔽、或者非常持久化。高級威脅是一個相對的概念，可能由于攻擊者手握0day不走尋常路，也可能在于目標(biāo)的防護基礎(chǔ)非常薄弱、存在明顯短板，當(dāng)防御一方無法識別檢測出威脅，攻擊一方最終繞過了防線，神不知鬼不覺地達到了破壞或竊取的目的，徒留受害者面面相覷。

　　兵無常勢，水無常形，攻防雙方一直是在對抗博弈中向前發(fā)展進化的，唐伽佳根據(jù)未來智安的專業(yè)觀察和市場實踐總結(jié)了幾點趨勢：

　　//  攻擊呈現(xiàn)碎片化、復(fù)雜化。如今的攻擊者已經(jīng)具備比較全面的情報收集能力和分析能力，會使用更系統(tǒng)化的攻擊工具和更具針對性的攻擊手法，角度刁鉆、手段疊加、樣本多變，反映在安全事件層面則呈現(xiàn)出碎片化和復(fù)雜化的特點，攻擊行為不易被發(fā)現(xiàn)，在內(nèi)部橫向移動提權(quán)感染多個點位，卻很難有效溯源分析出攻擊的全貌。

　　//  IT架構(gòu)演化導(dǎo)致攻擊入口增多。傳統(tǒng)的IT架構(gòu)逐漸向云端遷移，云計算環(huán)境涉及IT基礎(chǔ)硬件、操作系統(tǒng)以及業(yè)務(wù)系統(tǒng)等，虛擬機、微服務(wù)及容器的廣泛應(yīng)用讓傳統(tǒng)的設(shè)備邊界不再那么清晰，企業(yè)的資產(chǎn)暴露面顯著擴大，導(dǎo)致攻擊入口增多而且愈加復(fù)雜。

　　// 單點防御能效低下。企業(yè)多年來跟隨其信息化發(fā)展而逐步建立的安全防護體系已呈堆疊之勢，網(wǎng)絡(luò)側(cè)、主機側(cè)、應(yīng)用側(cè)都部署了不同的檢測、防御、監(jiān)控、誘捕等功能的產(chǎn)品，大量異構(gòu)產(chǎn)品各自聚焦于單點的檢測，缺乏統(tǒng)一的安全策略，上下文缺失，給運營人員帶來大量告警，效率低，準(zhǔn)確率低，而云化環(huán)境中故障域的耦合更加緊密，針對問題根源的判斷十分困難。

　　// 突發(fā)安全事件波及廣、影響深。類似log4j漏洞、SolarWinds攻擊等影響范圍巨大的安全事件如今發(fā)生得越來越頻繁，開源軟件的廣泛使用、各行業(yè)供應(yīng)鏈的成熟導(dǎo)致基礎(chǔ)框架、組件爆發(fā)漏洞極易引起漣漪效應(yīng)。這類事件往往讓企業(yè)猝不及防，沒有有效的手段發(fā)現(xiàn)并處置風(fēng)險。

　　單點安全檢測及防御能力面臨瓶頸

　　IT環(huán)境、技術(shù)的發(fā)展讓攻擊手段不斷進化、安全形勢日益嚴(yán)峻，相應(yīng)的，威脅檢測與響應(yīng)技術(shù)也在不停更迭。

　　最初的IDS（Intrusion Detection System，入侵檢測系統(tǒng)）用于檢測網(wǎng)絡(luò)流量上的行為、數(shù)據(jù)特征等，如果防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓的監(jiān)視系統(tǒng)。由于IDS只是被動地收集報文，并利用內(nèi)置的入侵知識庫與這些流量特征進行分析比對，很難定位真正的威脅或?qū)崿F(xiàn)閉環(huán)處置，IPS（Intrusion Prevention Systems，入侵防御系統(tǒng)）應(yīng)運而生，傾向于提供主動防護，預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進行攔截，而不是簡單地在惡意流量傳送時發(fā)出警報。

　　在基于規(guī)則庫匹配之余，NTA（Network Traffic Analysis，網(wǎng)絡(luò)流量分析）通過監(jiān)控網(wǎng)絡(luò)流量、連接和對象來識別惡意的行為跡象，彌補傳統(tǒng)檢測設(shè)備重檢測、輕分析的缺陷。隨后出現(xiàn)的NDR（Network Detection and Response，網(wǎng)絡(luò)威脅檢測與響應(yīng)）進一步升級，檢測能力融合機器學(xué)習(xí)、威脅情報等多維度的能力，并增加了響應(yīng)與防御功能。

　　威脅不僅出現(xiàn)在網(wǎng)絡(luò)流量側(cè)，硬件、服務(wù)器、中間件等主機終端同樣需要重視。傳統(tǒng)的殺毒軟件以及HIDS（Host-based Intrusion Detection System，主機型入侵檢測系統(tǒng)）主要采用特征庫比對的檢測模式，很難應(yīng)對病毒軟件的變種和繞過。EDR（Endpoint Detection & Response，端點檢測與響應(yīng)）作為主機側(cè)的安全利器，多通過人工智能引擎和威脅情報賦予終端更為精準(zhǔn)、持續(xù)的檢測，同時增強防護屬性，發(fā)出告警的同時也會自動智能響應(yīng)處理掉惡意行為。

　　“而問題在于”，唐伽佳說道，“攻擊本身不是割裂的，這些單點性的安全產(chǎn)品形成了孤島式的安全能力，海量告警無法全面看清終端側(cè)和網(wǎng)絡(luò)側(cè)的威脅狀況，難以溯源到真正的攻擊全貌。”

　　未來智安XDR：告訴客戶一個完整的攻擊故事，并快速響應(yīng)和處置

　　在這樣的背景下，安全研究人員開始嘗試把端和網(wǎng)，以及包括郵件、云端、沙箱等的數(shù)據(jù)結(jié)合在一起進行系統(tǒng)化、全局化的威脅檢測，于是XDR（Extended Detection And Response，擴展檢測與響應(yīng)）技術(shù)理念應(yīng)運而生。

　　在唐伽佳看來，“X”所代表的擴展屬性，強調(diào)由孤立單點式威脅檢測過渡到基于更多上下文數(shù)據(jù)，進行全面威脅檢測的整體安全思路的轉(zhuǎn)變。XDR不再單純依賴于端點、網(wǎng)絡(luò)或其他安全設(shè)備進行告警發(fā)現(xiàn)和安全事件的標(biāo)記，重視底層的數(shù)據(jù)變化，比如主機上的權(quán)限變更、文件變更、賬號體系變更、系統(tǒng)負載的變化等，從而研判企業(yè)網(wǎng)絡(luò)安全風(fēng)險，為企業(yè)安全運營帶來完整的上下文和可見性。最終，通過XDR告訴客戶一個完整的攻擊故事，并快速響應(yīng)和處置。

　　圖：未來智安XDR具有完備的流程機制，實現(xiàn)威脅追蹤溯源

　　打破威脅檢測盲點

　　對于企業(yè)客戶來說，能全面發(fā)現(xiàn)威脅依然是最核心的訴求，單點的攻擊路徑或者攻擊模式并不能展示完整的結(jié)果。唐伽佳表示，強大的數(shù)據(jù)采集和遙測、以及針對大數(shù)據(jù)的關(guān)聯(lián)索引能力成為保障XDR威脅檢測能力的基礎(chǔ)，未來智安XDR針對資產(chǎn)提供細粒度監(jiān)控和全局安全感知，并從外部入口到內(nèi)部資產(chǎn)、再到應(yīng)用環(huán)境進行風(fēng)險發(fā)現(xiàn)與研判。

　　在檢測能力上，未來智安XDR平臺內(nèi)置基于主機的EDR檢測能力與基于流量的NDR威脅檢測能力，基于豐富的遙測數(shù)據(jù)更細粒度的感知底層數(shù)據(jù)變化從而研判用戶側(cè)網(wǎng)絡(luò)安全風(fēng)險，實現(xiàn)跨端跨流量的立體化威脅檢測，為安全運營帶來完整的上下文和威脅的可見性。通過XDR平臺的前置CEP流式實時檢測引擎和基于離線的場景化檢測能力，同時利用端點告警、端點行為日志、流量告警、流量日志、資產(chǎn)等數(shù)據(jù)，并采用專利性的基于大數(shù)據(jù)挖掘的智能化事件分析引擎（AiE），自動將每天千萬級零散告警生成跨終端跨網(wǎng)絡(luò)的幾十條完整攻擊事件（Incident），攻擊檢測有效性提升百倍以上，實現(xiàn)全面的攻擊鏈檢測，讓威脅不存在檢測盲點。

　　持續(xù)感知精確溯源

　　識別與檢測是第一步，能持續(xù)地感知風(fēng)險變化并精確地溯源攻擊是XDR防護有效的保障。未來智安XDR圍繞ATT&CK覆蓋了近萬條威脅檢測規(guī)則，這些檢測規(guī)則在傳統(tǒng)的基于靜態(tài)檢測、基于特征檢測的安全防護能力的產(chǎn)品中是不具備的。

　　并且基于其自研的告警治理引擎，利用主機側(cè)EDR、流量側(cè)NDR及相關(guān)資產(chǎn)數(shù)據(jù)圍繞攻擊鏈進行攻擊事件回溯。可基于攻擊事件Incident出發(fā)進行攻擊事件的調(diào)查分析，可圍繞多維度的攻擊線索展開攻擊行為上下文、進程鏈等內(nèi)容分析，有效解決溯源難問題，且大大提高攻擊溯源效率。

　　提高安全運營效率

　　無論是看見威脅還是處置風(fēng)險，重要的是讓安全團隊可以常態(tài)化地運營起來，發(fā)現(xiàn)高價值的告警，看清攻擊的本質(zhì)，以提升整體的安全防護能力。除原生的未來智安EDR、NDR之外，未來智安XDR支持接入其他異構(gòu)安全設(shè)備的數(shù)據(jù)并進行統(tǒng)一管理。告警治理引擎利用資產(chǎn)關(guān)聯(lián)、不同安全設(shè)備間的數(shù)據(jù)進行告警的數(shù)據(jù)互補、互糾來完成告警核實、告警Alert到攻擊事件Incident的提升，從而降低告警數(shù)量。同時利用SOAR技術(shù)針對不同類型的威脅告警進行告警的自動化分析核實及告警的歸并，有效降低告警量及告警誤報率。

　　基于SOAR的安全編排與自動化響應(yīng)處置能力，還可完成不同攻擊類型、不同攻擊場景的告警及攻擊事件的應(yīng)急預(yù)案，通過任務(wù)編排的方式以自動化或半自動化運行，提高攻擊事件的處置效率。另外還提供作戰(zhàn)指揮室，通過統(tǒng)一的協(xié)同工作界面高效進行攻擊事件調(diào)查任務(wù)的派發(fā)、多人協(xié)同調(diào)查，大大降低人工運維壓力。

　　據(jù)唐伽佳介紹，經(jīng)市場落地驗證，未來智安XDR將威脅事件運營效率從小時級提高到分鐘級，運營效率提升8倍以上；開放靈活的集成能力可保證客戶在已有安全平臺架構(gòu)之上落地可行的方案，降低成本44%，顯著提升投資回報率。

　　XDR引領(lǐng)未來安全發(fā)展方向

　　從國際前沿的應(yīng)用經(jīng)驗來看，檢測響應(yīng)類產(chǎn)品已經(jīng)成為企業(yè)標(biāo)配，海量誤報以及檢測盲點問題突出，而XDR是威脅檢測與響應(yīng)技術(shù)的一次進化，為當(dāng)下組織的安全運營提供最直接、最核心的安全價值，并能全面綜合性地解決用戶在威脅檢測和安全運營兩大層面面臨的挑戰(zhàn)，惠及組織未來的安全體系建設(shè)。

　　唐伽佳表示，XDR理念和技術(shù)的出現(xiàn)及當(dāng)前的熱潮，正是為了更好地解決愈加頻繁且復(fù)雜的高級威脅所引發(fā)的安全挑戰(zhàn)，但價值需要通過更多實際的應(yīng)用去驗證和展現(xiàn)。作為安全廠商，需要始終站在用戶的角度去思考并解決問題，XDR能力的核心，也正是目前企業(yè)安全建設(shè)體系中的痛點的良藥——用統(tǒng)一的解決方案更快、更全面、更精準(zhǔn)地檢測威脅和自動化響應(yīng)處理威脅事件；實現(xiàn)對整個資產(chǎn)、攻擊面、威脅態(tài)勢的全面可視化，及時發(fā)現(xiàn)高級復(fù)雜威脅及攻擊；降低安全運營的使用門檻和使用成本，保護企業(yè)現(xiàn)有的安全投資，實現(xiàn)可持續(xù)的安全運營。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<