,下面我们就来聊聊关于XDR原理 从防御到应急响应?接下来我们就一起去了解一下吧!
XDR原理 从防御到应急响应
这是个全新的世界,不但会出现新的商业模式和数字物种,更能需要新的秩序和生存法则。当传统的网络安全防护理念已经无法适应当前的网络安全形势,人们的网络安全观已经到了必须革新的时候了。正所谓“思维决定行动”。D-Link Covr-C1203 [经销商]京东商城[产品售价]1199元进入购买 2017年,Gartner提出了精密编排的自动化响应SOAR模型(Security Orchestration,Automation and Response),并且提出将安全产品以及安全流程链接和整合起来,通过预定义的工作流(Work flow)和工作脚本(Playbook)来标准化事故的调查处置流程,提升威胁响应的自动化程度和执行效率。在亚信安全高级威胁治理专家白日看来,SOAR模型一经问世,便得到了信息安全厂商和大部分用户的认可,其原因如下: ·缩短应急处置安全事故的时间 ·减少和优化传统SOC中不必要和冗余的工作 ·安全产品整合的API加速了自动化 ·丰富的安全数据服务:威胁情报平台TIP ·提高告警分析的质量和侦测发现能力 ·提高工作精准度,安全运维流程的文档化以及证据的管理 ·减少培训新安全运维分析人员的代价 ·整体提高衡量和管理安全运维的能力 而据白日介绍,2018年,正直检测和响应市场(Detection & Response)爆发的前期,SOAR、EDR、NDR、NTA、MDR、UEBA等概念和技术此起彼伏,在市场还在消化和吸收各种声音的时候,亚信安全已对高级威胁治理进行了全面升级,并推出了以EDR和NDR为技术支撑、以MDR为服务支撑,以SOAR自动化精密编排为工作流支撑的XDR体系。 XDR可以解决什么问题? 应该说,XDR体系解决了持续演化的高级威胁和安全运营能力不匹配的矛盾。 1.持续演化的高级威胁 无论是以APT(高级持续性威胁)为代表的定向攻击,还是以勒索、挖矿、钓鱼、广告诈骗为代表的大规模攻击,攻击者不断尝试使用新型攻击技术,企图绕过传统检测机制对目标发起攻击以达到某种目的,这种威胁我们统称之为“高级威胁”。 为了统一威胁的描述,避免盲人摸象一般去谈论威胁,可将威胁依次划分为四个层面的内容,即威胁描述分层模型,也称威胁描述“点、线、面、体”四层次模型。 高级威胁的发动者无时无刻不在找寻渗透企业IT环境的途径,其中一个最容易的通道,就是利用终端上的漏洞。因此,白日表示很多企业在 “修墙御敌”理论支撑下做了大量工作,无论是部署防火墙、防病毒、IPS等基于策略和规则的安全设备,甚至是基于行为和大数据分析等安全软件的采购,然而百密一疏,严防死守的方式显然已经无法满足当前的安全需求。 这更像是“马奇诺防线”在网络世界的再现:虽然企业在正面已经构建起坚固的安全防线,但是网络攻击者正在采用迂回的策略,渗透到防线背后,让网络安全防护系统丧失作用。 2.安全运营成熟度及能力安全运营四阶段成熟度及能力鸿沟 从上图中看到,超过90%的用户完成了“阻断”阶段的安全运营建设,大约60%的用户着手“发现”阶段的安全运营建设,但只有不足5%的用户具备有限的“响应”阶段的安全运营能力。不难发现,从“发现”阶段到“响应”阶段,事实上存在着一条巨大的安全运营“能力鸿沟”。正是这条能力鸿沟,致使高级威胁治理的落地遭遇了现实的瓶颈,而XDR的关键,就是解决这个现实问题,把“空”口补上。 那么,不妨先研究一下,从“发现”到“响应”到底需要怎样的能力构成?到底是哪些关键能力的缺失影响了用户的安全运营? 白日随后指出,大量成功实践告诉人们,从“发现”到“响应”包括以下四个步骤的能力构成: 第一步,“告警受理”:来自各类检测工具的威胁告警通常会汇集到用户的态势/SIEM/SOC平台,然后以工单的方式派发出来,接下来就是“告警受理”这个步骤,这个步骤包括两部分内容:告警分类和优先级划分,也就是告警的预处理; 第二步,“定性分析”:判断威胁的真实性,确认威胁的本质和攻击者的意图; 第三步,“定量分析”:回溯攻击场景、评估威胁的严重性、影响和范围; 第四步,“响应”:根据响应脚本,制定并执行响应策略,完成修复补救。 以上过程需借助EDR、NDR、威胁情报、沙箱、ATT&CK等相关工具,以及MDR检测和响应安全专家服务,执行自动化告警预处理、验伤和取证、以及制定和执行响应策略等具体工作内容,整个过程还需要案件管理、响应预案、自动化精密编排等流程作为保障,把这些内容放在一起,就构成了SOAR。 但是,受限于用户安全领域专业技能的缺乏,流程自动化程度不高,以及配套的工具支撑不够完善,以上每个环节的问题都可能被无限放大,最终导致战略落地困难重重。 3.错误的思维方式,导致错误的行动 比如:市场上不少人会认为只要检测到了威胁就可以及时作出响应,对于早期市场用户来说,很容易就接受了从“检测”到“响应”的最直观的解决方案,而且这种解决方案确实很符合广大企业,尤其符合中小企业的安全运维能力现状。很多厂商也迎合这种早期需求推出了简单的产品组合方案,试图将“检测”和“响应”这两个过程顺理成章地过渡起来。 然而,这么多年的高级威胁治理实践一次次粉碎了上述这种简单的想法。任何方案的落地都需要大量实践相佐证。当用户接受并部署高级威胁检测类型的产品和解决方案之后,随之而来的不仅仅是揭开了藏匿在网络中各种污垢,还包括了海量的可疑威胁告警,当运维人员接到告警处置派单时,噩梦也接踵而来。如何捕捉到“有82%只会保持一个小时的活跃性,70%只会出现一次的恶意软件”,如何分析这些恶意软件的活性?往往通过网络检测到的可疑威胁对象,在终端上却找不到任何留存和活动的迹象,运维人员如何判断告警的真实性?如何给出一份有价值的告警分析报告?如何制定和执行处置策略? “在没有采用这些检测技术之前,用户对于高级威胁大多眼不见心不烦,而采用了这些检测技术之后,逐渐有用户开始后悔了,因为自身的技术能力、知识储备、专业技能和现有流程并不足以应对如此海量的告警。甚至绝大多数用户根本没有做好处置这些告警的准备,用户开始怀疑这些检测产品或解决方案的价值,于是,他们选择将此类产品或解决方案束之高阁,或者选择对告警置之不理。”,白日如是说。 很多人会想,造成以上现实,