攻防两端 看安全挑战
在网络安全行业,技术要解决的实际问题里,我们面临着两端的挑战。从攻方的视角来看,第一个阶段要确定目标,攻击者需要收集各种攻击的目标、攻击的资产,这是确定目标的阶段。第二个阶段是要漏洞探测,找到可利用的攻击点,构建所谓的攻击武器。第三个阶段是要做载荷的投递,有了风险点和攻击利用点之后,把攻击武器做攻击利用。第四个阶段是突防利用。第五个阶段是安装植入,安全工具植入、伪装,修改系统的服务,甚至是躲避防御体系。第六个阶段是通信控制,拿下了目标机器需要回连,接收更上一级的攻击命令,最后会做一些潜伏策略。目标达成以后要传输数据、窃密、加密数据等。第七个阶段是目标达成。
基于攻方视角,XDR要站在企业的IT架构、业务架构、安全架构,甚至是和企业的安全风险策略做绑定。
如果把网络安全看成一场战争,可分为三个阶段:战前、战时、战后。站在守方视角,我们要在战前做各种梳理,包括内外网资产、漏洞、风险梳理等,这是要在战前做的。战时是考验安全场景的核心能力,是否能发现告警、发现攻击,能不能发现还没有被传统杀毒软件命中的可疑行为,这是XDR要解决的问题。传统的单点防御体系不能解决这些问题,所以需要扩展,需要更多的数据。战后总结复盘发现攻击之后有没有拦截、有没有防御、安全策略是否有效等问题。
基于攻防两方的视角,XDR到底解决什么问题,这就是回答XDR的“是”与“非”。
8月31日,由网络安全卓越验证示范中心(以下简称“卓越示范中心”)主办,北京未来智安科技有限公司(以下简称“未来智安”)承办的“先进网络安全能力评估系列活动——扩展威胁检测响应(XDR)技术专题沙龙”在北京成功举办。未来智安联合创始人兼CTO陈毓端出席活动并发表主题演讲《穿过乱象 看XDR的是与非》。
XDR技术本质
国内很多用户和安全从业者在XDR的定义层面有一些歧义和模糊空间。作为国内第一家发布XDR产品的厂商,经过几年的实践,我们认为XDR的“X”是指扩展,具备多维度扩展属性,强调由孤立单点式威胁检测到基于更多上下文数据进行全面威胁检测的整体安全思路转变。XDR不再单纯立足端点、网络或者其他安全设备进行安全事件发现和标记,重视感知底层数据变化,从而研判企业网络安全风险,为企业安全运营带来完整的上下文和可见性。
经过几年的发展,业内XDR的技术体系主要有三类。第一种是原生XDR。原生XDR只能接自己的终端和流量,好处是实施起来相对方便,但缺乏更多上下文关联能力。第二种是生态XDR。生态XDR没有自己的终端和流量,优点是产品包容度高,缺点是它完全依赖于第三方数据,例如数据的标准、维度、背后的告警检测逻辑等,会有一些数据层面的盲点或认知上的差异。第三种是混合XDR。混合XDR具备原生的优点和异构增强的能力,同时拥有终端和流量,并且还可以接第三方的数据和安全设备,做整体的安全解决方案。未来智安XDR是混合技术形态,我们包含了原生XDR和生态XDR,技术方向是整合的技术体系。
XDR可扩展威胁检测&防御体系
我们认为XDR是以威胁为核,关注威胁检测和发现,关注对异常行为、未知威胁的发现,围绕威胁构建不同阶段的威胁检测与防御体系。从攻方视角,我们将扩展威胁检测防御体系分为7个阶段,黑客在7个阶段里有不同的技术战略。XDR利用更多的上下文和更多的安全感知,尽可能在每个阶段发现威胁和可疑行为。
XDR的扩展威胁检测与防御体系,第一个阶段,构建网络空间防御地图,先知道有什么才能知道怎样做防御,从资产管理开始,从攻击视角看资产,梳理和定义资产对业务的重要性。第二个阶段,构建网络空间风险情报地图,有了网络空间防御地图之后,基于视觉的平面看有哪些风险、异常、薄弱环节,不单是内网,还要看外网、看边界、看互联网等。第三个阶段,构建网络空间攻击监测中心,要看到谁在攻击。XDR关注底层数据的变化,网络空间的攻击监测需要重点看到异常行为,尽可能感知到可疑行为。第四个阶段,构建网络空间威胁复盘中心,需要知道黑客如何攻击,怎么横向移动,产生了哪些关键线索,有没有数据被加密、被窃取等。第五个阶段是网络空间应急调度中心。当威胁发生时,企业的应急预案是什么?能不能联动?能不能快速研判?需要提升自动化运营程度。第六个阶段是网络空间近地防御。假设网络空间一定会被拿下,资产一定会被侵入,那么被攻进来以后的底层防御逻辑是什么?资产被拿下之后要如何保护企业的核心数据?要做好防勒索,锁住入口,尽量避免基于被攻击机器发生大范围的横向移动和扩散,这些也是未来智安与腾讯安全玄武实验室要重点合作的方向。第七个阶段是建立网络空间联合作战中心,XDR将前面所有的能力融合到一个平台上,做一体化的运营,把企业的各种安全设备和能力基于企业关注的业务场景,做安全运营效果的整体提升。
做XDR一定要有全局思维、威胁视角和底线思维。要构建一个网络空间防御地图,要有统一的资产台账。在给客户服务和实践过程中,客户认为资产很重要,但是厂商更多是基于IP视角看资产,缺乏业务视角。要以业务视角做资产管理,而不是以IP或单一资产视角做资产管理。
随着数字化深入推进,资产边界的定义进一步扩大,传统安全视角不足以绘制出完整的攻击或者防御视图。我们认为XDR的资产视图一定有4个维度,最底层是系统层面,第二是应用层面,第三是业务层面,第四还要贴合国家对基础设施的重点防护体系。根据这几个维度构建数字资产地图,可以看到哪里有薄弱环节。基于地图做整体防御,而不是单点做防御,更重要的是感知底层的数据维度和数据资产。
XDR强调开箱即用,整个交付体系要轻,无论是终端还是流量方向,都要通过内置的API开箱即用,构建资产视图。我们再对数据进一步畅想,将整个数据基于领域建模,构建标准化资产数据台账,包括资产类、行为类、风险类、入侵警报类,通过各种维度缩减数据接入的复杂程度,通过技术手段构建有效的防御地图。
几年的积累,我们认为客户对于风险核心关注三点,第一,业务连续性问题,第二,风险对品牌或者声誉产生破坏的影响问题,第三,合规问题。安全产品不是社交产品,我们要给出风险度量指标。
XDR从攻方视角做可疑行为发现,它的“扩展”是结合更多的上下文数据,同时结合ATT&CK作为威胁检测的核心思路,最终呈现给客户的模型是知道攻击者通过什么进程、时间、地点、载体,以何种方式,做了什么事。整个防御体系要先把入口锁住,比如外部访问、远程登录,攻击进来之后落到哪些资产,以资产为核心、以服务为中心看资产和服务的变更,XDR的出现是结合上下文发现未知的威胁。
从遥测能力驱动检测覆盖的视角,XDR要采集更多细粒度的数据,这些数据存在安全价值,比如一个文件被修改是很小的攻击指示点。未来智安XDR从遥测能力的角度看到更细的风险或异常行为。目前未来智安XDR大概有3000+的数据维度,是目前在数据遥测方面比较好的沉淀。
看到攻击之后要把整个攻击过程回溯出来。我们在扩展威胁检测响应(XDR)能力评价标准里讲到了“关联分析”的能力。黑客通过边界打进来以后,NDR看到告警,如果攻击成功落到一台机器上,可能会有外联,下载攻击载荷,横向移动,或者大范围的跨网段的扩散,这是完整的攻击过程。XDR能把整个过程看清楚,除了遥测能力之外还有数据关联分析,以及基于AI引擎的支撑,这是对整个攻击溯源的能力。
针对攻击溯源未来智安提出了12个维度,包括攻击者是谁、要结合情报分析攻击者是怎么攻进来的、利用了什么漏洞、使用什么攻击武器打进来的、在服务器上做了什么、有没有发生横向移动,对企业整体的攻击影响面有多大等等。威胁检测不能只告诉客户有一个攻击发生,还要告诉它对企业经营、对企业业务有什么影响。我们也是业内第一个提出了对攻击溯源分析的12个维度。
攻击发生后要做应急调度、编排、响应。企业日常的安全运营流程可以通过安全编排的方式做自动化的执行和调度。SOAR应该被集成还是单独存在?我们的观点是SOAR一定是跟整个产品体系深度绑定,它需要知道告警和资产,感知企业的产品融合,而不是单独存在。通过SOAR可以将资产、风险、攻击指示全部串在一起,形成自动化的运营体系。这一系列的编排在未来智安XDR体系中已经做到开箱即用。
未来智安对XDR的编排(SOAR)有一些不同维度的看法,首先SOAR一定要支持多维度的协议通道,无论是KAFKA、GRPC、DB或是API,这些是基础通道。在基础通道上做三个维度的抽象。一是查询类,无论SOAR查A厂商或B厂商的资产,查询的对象和指令是标准的,不会因为标准变化给企业带来很大负担,所以叫查询类标准。二是监听类,通过SOAR去监听有没有外联或异常行为。三是控制类,有三本账:数据台账、动作台账、控制台账,通过三本账对各种安全设备的能力差异做消除。最后通过可视化、在线Coding的方式实现业务需求。这是我们对XDR的编排的认知和理解。
在网络、资产被拿下之后需要近地防御体系。未来智安和腾讯安全玄武实验室已经正式启动了对XDR新版本的联合开发,重点针对勒索、钓鱼、横向移动等高级威胁提升检测防护能力。对于终端的防御体系来讲,威胁检测思路重点是发现未知行为,通过很敏感、很弱小的攻击指示找到还未被定性成某一个具体攻击行为的发现,以此来发现可疑行为。
XDR一体化安全运营系统 安全运营最佳实践
结合这几年在客户侧的实际应用场景,总结出做好安全运营要具备的核心要点。
1. 边界防御体系有效性验证——防御体系打通,看清攻击与安全策略有效性;
2. 告警治理能力——面对海量告警,能达到安全团队可运营状态;
3. 高价值场景挖掘能力——在安全分析层面具备焦点,不盲目分析或海量告警而选择性放弃;
4. 画像能力——摸得清攻击者攻击意图、看得见受害者及受害程度&影响面;
5. 事件化能力——看得起攻击来龙去脉,从入侵到横向移动的完整攻击链条;
6. 自动化能力——具备自动化能力,有效释放运营效力,聚焦高价值攻击场景。
在安全策略验证方面,我们和国内的客户做了比较多的实践,客户的逻辑是要通过XDR把边界城墙越垒越高,会得出三个指标。一是WAF阻断了,说明策略没有问题;二是WAF检出了,但是告警没有被阻断,这个时候要思考策略是不是要增强;三是WAF没检出,但是纵深防御的流量、终端都检出了告警,客户就会做两个动作,第一个动作是把攻击IOC输出给WAF或者防火墙,第二个动作是要把规则或者攻击特征提取出来,增强边界防御体系。
告警治理分为三个层面。一是在原始告警层面形成标准化;二是针对告警治理做收敛和降量,无论是同源同溯、智能研判、多维关联、场景化关联,都是把告警做第一维度的收缩,形成攻击事件,看到整个告警的攻击脉络、攻击过程、影响范围。三是行为分析,也是高质量告警治理的核心范畴。例如后门利用之后,通过XDR将文件行为、注册表行为、模块加载行为、网络行为、单位时间内的上下文告警、流量告警,各种边界告警等在同一个平面上做分析。
做攻防无非要盯住三个点:账号、数据、权限。通过更多的上下文数据,有更多的场景化覆盖。在告警关联方面,我们也做了很多尝试,比如漏洞扫描之后的漏洞利用,有前后关联关系,这些都是高价值场景的挖掘方式。XDR除了以风险为核之外,要更多感知数据的变化,通过数据变化去发现可疑行为,把有效的告警挖掘出来。
总结:
安全体系里有很多关键词和概念,我们一定要站在客户的角度去思考。XDR一定要有全局思维、威胁视角和底线防御思维,为客户创造价值,我们始终坚信一句话“安全产品不是社交产品,我们没有那么多时间在平台探索,告诉我什么是高价值、要重点处理的告警”。
(雷峰网(公众号:雷峰网))