很久很久以前,希腊北部有一个弹丸小国在短短时间内成长为横跨亚非欧的庞大帝国,这一切可能要归功于从这个地方诞生的一个卓越军事领袖和一种当时威力无穷的战队方阵布局,他就是亚历山大大帝,一个常在你的扑克牌上出现的男子,它,就是马其顿方阵。
【 图片来源:dy.163.com 所有者:dy.163.com 】
马其顿方阵在亚历山大军队中占据绝对数量优势,成了亚历山大军队的主力。在亚历山大的天才指挥下,庞大的帝国被区区4万军队打得分崩离析。
【 图片来源:喵说历史 所有者:喵说历史 】
正经来说,马其顿方阵并不是亚历山大创建的,而是他爸“发明”的。
在荷马时代以前,步兵打起仗来像一窝蜂似地杂乱无章,亚历山大的老爹腓力二世在当马其顿的国王时,对马其顿的军务进行了全面改革,把多兵种混合成了一支完整的作战部队,还为步兵方阵配备了萨利沙长矛,结束了混乱的步兵作战模式。
前人栽树,后人争气,亚历山大大帝后来将这种方阵运用得十分出色。
后来的战争就比这种马其顿方阵更“先进”了,经过一代代进化,不仅有多兵种作战,还有多武器装备作战。不得不说,将多个兵种有效融合,以少胜多打败强大的对手,是一种牛逼的进步。
在看不见硝烟的赛博世界,各种“武器装备”如同线下战争装备发展一般蓬勃,核心目的是如何在网络丛林里,面对危机四伏的嗜血攻击者,守卫自身的安全。不过,花了很多钱囤积装备的一些企业依然很苦恼,他们往往面临这些关键问题:辛辛苦苦花金币攒装备,这些装备到底怎么一起好好用,如何用,谁来用,谁会用?
也就是说,他们也面临着初期混乱的“步兵”打法。
要用装备的企业着急了,提供装备的安全企业也着急。
亚信安全的掌门人,亚信安全总裁陆光明在今年5月宣布,亚信安全的公司战略是“两翼齐飞,四轮驱动”,现在, “XDR全景”是对亚信安全战略的传承。
简而言之,亚信安全一直在研究,如何把混乱的“步兵”变成牛逼的方阵。
所谓“两翼”,一为威胁防护视角的产品,二为针策略管理的产品,前者专注攻防,后者力求管控。“四轮驱动”则包括准化的威胁防护类产品、定制化的策略遵从产品、以威胁情报为核心的安全数据湖和以态势感知为核心的安全运营管理中心。
可能是觉得这样把武器明明白白地列出来还不够,亚信安全首席研发官吴湘宁表示,升级后的“XDR战略”强调了“威胁可感知、安全可运维”,核心其实只有一点——“实现多产品间的智能安全联动”。
知道谁在盯着你,谁在攻击你,就知道怎么还手。
XDR 实际是运用“精密编排策略”,通过网络深度威胁发现、未知威胁分析、终端响应及阻断、网络威胁阻断和威胁情报平台,实现多智能安全联动。
有一种“武器”与 XDR 有点类似——荣耀大神叶修的“千机伞”,亚信安全 XDR 全景也是各种武器的组合、变化,包括终端检测及响应 EDR、网络检测及响应 NDR、高级威胁情报平台 TIP 等专业的调查工具,应对各类高级威胁的标准化预案工作手册,以及由安全响应专家团队组成的托管检测及响应 MDR 。
我们从 EDR 开始说起。
Gartner 于 2013 年 7 月首次创造了端点威胁检测和响应 (ETDR) 这一术语,用来定义一种 “检测和调查主机 / 端点上可疑活动(及其痕迹)” 的工具,后来通常称为端点检测和响应 (EDR),这是一种相对较新的终端安全解决方案。
第一,企业有没有可以被攻击的点,第二,如果被攻击了,这次攻击效果是否严重。第三,攻击之后如何恢复。
亚信安全产品管理总经理汪晨认为,要达到上述目标,先要采集数据,再对数据进行检测。
在很多城市,如果汽车没有礼让过斑马线的行人,司机就会被扣分。但是,如何判断司机到底是否应该被扣分呢?这也是一种收集数据的过程——比如后台要基于摄像头数据,判断行人是否在斑马线上,车辆是否停下来,通过特征点判断司机有没有违章。
同样的是,EDR 有两个检测点:行为规则 IOA 和外部特征 IOC,IOC 主要检测的是静态特征,比如文件的一些哈希值,你可以把它理解为文件的“身份证”。检测难度更大的是 IOA,也就是恶意行为的威胁情报。难点在于,要在攻击行为发生之前就对 IOA 的情报进行检测,发现其意图。
检测出“问题”的同时,要让人真的能看到问题。就像病人去医院看病,感觉胃部不舒服,到底是因为什么原因不舒服,医生要给病人开出一些检查单,通过“调查”,形成“检测报告”,而且这些“检测报告”要让人看得懂,把相关的参数翻译成直观可读懂的语言报告,第一时间判断有没有生病,病情严不严重,这就强调了 EDR 必须有很强的可视化能力。
知道了问题,就要遏制和修复,可能在调查之前,“医生”就在做遏制这件事。比如你发高烧了,需要先做物理降温再做“修复”。这一切的前提是必须有数据,要知道黑客怎么攻击进来的,做了哪些事情,是修改了注册表还是在启动项生成了文件,才能形成精准的处置建议,通过这个过程形成 EDR 检测、调查、遏制、修复的功能。
当然,这是 EDR 最基本的功能,怎么判断是不是一个优秀的 EDR?
汪晨对雷锋网提到了三个“考核指标”:第一,它需要具备操作系统行为内核态高清记录能力——是不是认真记住了行为。第二,告警行为日志长期存储三个月以上,因为黑客渗透进来需要花一定时间,如果没有相应的历史数据,很难回溯。第三,攻击可视化,让用户能明明白白地看到问题。
最后,EDR 还有一个关键组成部分:Threat Hunting的服务,安全可运维,根据行为准则判断信息触发事件,相当于专业的安全运维人员 24 小时根据提交采集的数据匹配信息,来判断是否被攻击。
前面说到,确认被攻击后,EDR 要想遏制和修复问题,需要技术能力和相应的工具,这就要用到 XDR 使用的另一个技术:精密编排。
交响乐团要想演奏一首乐曲,首先要配置好演员和完整的乐器。第二,要有乐谱,第三,要听指挥。
能被精密编排的前提与交响乐团正常工作的原理类似,首先,产品线要是整齐的,除了终端安全产品EDR,还要有 NDR(网络检测及响应)和(TIP)高级威胁情报平台,除了有外部的威胁情报之外,还要有以沙盒为中心的本地威胁情报,这样才能提供足够专业的调查工具。
第二,要有标准的工作手册应对各种威胁的预案。第三,所有产品必须具备联动性,能被“编排”。
为了做到这一点,雷锋网注意到,亚信安全在 XDR 里布置了一款负责托管检测和响应的 MDR,来完成安全协同自动化和预先编排。
支撑上述核心技术的是亚信安全四大类产品:
检测类:深度威胁发现设备TDA、深度威胁回溯设备TRA、高级威胁终端检测及响应系统CTDI;
分析类:深度威胁分析设备DDAN、高级威胁终端检测及响应系统CTDI、深度威胁回溯设备TRA;
响应类:网络防护网关AE、终端防护系统OfficeScan、服务器深度安全防护系统 Deep Security、深度威胁邮件网关 DDEI;
集中管控类:威胁运维平台(UAP)、控制管理中心TMCM。
“第一,产品线各个产品端都要有对应的的产品,比如网络侧有TDA,检测设备,DDAN是网络侧的沙盒,是本地情报中心的核心,网关侧的AE,防火墙和防毒墙。邮件这一块是DDEI,应对邮件安全问题,端点侧有OSCE&CTDI,OSCE是终端防护类产品,CTDI是EDR的产品。云主机侧有Deep Security,所以整个云管端都具备这个能力,就像一个交响乐团,每一个演奏单元都具备。”汪晨说。
OSCE是终端安全的产品,CTDI 是 EDR 重要的模块,TDA 是网络检测设备,这些联动起来就不一样了,OSCE+CTDI形成了完整的 EDR,TDA+CTDI是形成完整的 NDR,TDA可以直接调用 CTDI 形成验测报告。这个报告可以直接被用户读懂:黑客怎么攻进来的,你需要做什么样的处置,通过这些割裂产品,按照精密编排的方式提供了完整的对抗方法。
汪晨透露,亚信安全以后还要给 XDR 加入托管的运维服务——毕竟不是每一个用户都有充足的运维人员7×24小时劳作,他希望,能尽量减轻运维压力和难度。
在雷锋网看来,亚信安全最重要的一个观点是—— “如果今天连门都没锁,靠摄像头抓坏人,这不是很奇怪的一件事吗?我们在邮件、网络、端点、服务器、云主机、容器都有拦截类的产品,通过这些产品第一时间做了相应的阻断和拦截。”
基于此,需要一个依赖于产品自身的能力形成的运维管理中心,这就是威胁运维平台 UAP,最终,亚信安全交付给用户以及用户能直接看到的冰山上的一切就是 UAP,但藏在冰山下的能力由这些产品支撑。
你也可以把 UAP 理解成一个善于调兵遣将的将军,在 XDR 全景视图中,能被用户直接看到的 UAP 将发挥至关重要的联动作用——它知道什么时候该派出最合适的兵种,什么时候应该用什么样的武器。
这就是“马其顿方阵”能成功的终极奥义。