XDR为何会成为企业安全运营的“热门”工具?
作者: 日期:2021年09月08日 阅:16,129

访谈嘉宾:李平

记者:张安媛

分析师:陈发明

《数据安全法》、《网络安全漏洞管理规定》等法规政策的正式实施,让行业企业更加清醒的意识到数据的安全管控已经不再是局限于关乎自身发展与利益的小事,而是上升到合乎法规政策的社会高度;同时,数字化和信息化的高速发展,也让企业更加深入的思考,采取怎样的安全威胁检测与响应方案才能在合规的基础上,发现并抵御更多潜藏网络安全深海中不易察觉的危险暗礁。

极盾科技产品总监 李平

洪水般的安全告警、众多的安全产品孤岛让安全团队苦不堪言;因企业自身专业人才短缺及其他局限性条件,使得现有安全解决方案无法切实落地、发挥最大功能价值。为帮助企业理清数据安全治理思路、了解如何提升企业数据安全治理能力等方面的问题,本期牛人访谈我们邀请到了极盾科技的产品总监李平先生,结合极盾科技在数据安全检测与响应方面的“实战”经验,以及目前市场用户广为熟知的XDR产品,在其技术原理、实际落地、未来发展等方面进行了多维度的详细解答,以下是访谈内容:

安全牛:数字化时代,企业面临的安全威胁更加多样,而企业的安全专业人才却存在大量缺失,使得相关安全解决方案难以落地。在此背景下,XDR(可扩展威胁检测与响应)因为自动化程度高、检测能力多样等特点受到行业广泛关注,您认为XDR对当前企业用户的应用价值主要有哪些?

李平:数字化时代发展所带来的机遇与挑战,让我们更加清晰的了解到网络安全的本质即数据安全。安全防护、安全管理、安全合规、数据生命周期安全、人员内控等举措建设都是为了达成核心目标:数据安全。

数据保护中的威胁检测与响应需要联合多个安全产品,整合多种安全检测手段,并采取相应的场景化安全控制措施,才能实现很好的落地。参与完成上述整套管控流程的专业安全人才稀缺,且被频繁大量的“狼来了式”告警噪音搞得身心俱疲,而XDR就是突破这一困局的有效手段。

XDR平台可以通过汇集、融合企业网络访问日志、安全设备日志、应用系统日志、三方威胁情报等四大类日志数据,并结合流计算、图计算、AI智能等技术,帮助企业用户打破安全数据孤岛,实现企业基础安全设施的彻底融合,并通过实时的安全风险指标计算、违规\恶意行为模式挖掘、任意安全事件关联分析,形成全视角的安全检测能力,结合场景化的安全响应定制等高价值功能,帮助企业数据安全威胁检测与响应工作体系化、数字化、持续性的建设与运营,做到真正的落地。

安全牛:如何降低误报和噪声,是自动化威胁检测与响应产品厂商面临的共同难题,结合实际经验,您认为XDR产品是如何通过具体技术手段解决这一问题的?

李平:安全告警误报多是由于安全技术碎片化造成的,每个安全设备都有各自的检测点,每个点只能展现安全事件的局部信息,仅凭局部信息来判断IP地址是否对企业存在安全威胁无异于“盲人摸象”。

因此,XDP产品通过汇聚来自各个设备与此IP相关的告警日志、网络访问流量、数据操作日志以及第三方高质量威胁情报,并结合流计算等技术实时提炼安全风险特征,对该IP地址的风险行为进行综合的关联分析,再通过动态的安全风险建模技术才能准确的识别该IP地址是否存在安全威胁。

XDR产品通过上述一整套“组合拳”能够有效的降低需要人工响应的告警频次,并通过自动化处置能力帮助企业的安全团队解决噪声大,误报多的困扰。下图是极盾XDR产品实际应用案例,能够帮助读者进一步了解XDR的工作流程。通过这一工作流程我们可以看到,XDR产品在企业的安全运营管理中起到了“承上启下”的关键作用,对企业实时采集的庞大数据进行智能分析时,进一步缓解了安全运维人员的工作压力,同时对关键重要数据信息实现了分类分级,让企业的安全防护得到了巨大的提升,更是为下一步的告警响应和处置工作打下了良好的基础。

安全牛:威胁情报已经成为安全威胁检测与响应一项基础能力,那么在XDR产品中,如何实现威胁情报的更高效利用?

李平:威胁情报是企业高质量安全运营后的结果输出,输出的内容一般为时效、IP、行为标签、风险等级等字段,在时效范围内,能够帮助企业用户避免恶意IP的攻击。但实现情报的高效利用并非易事。企业获取情报后,按照正常流程需要结合自身的安全运营, 对本身累积的数据样本进行有效性验证,匹配验证的命中率只有足够高,才能证明情报是有价值的。

因此,我们认为,企业用户应该把威胁情报当做一种数据源,通过XDR平台去分析、提炼能够衡量该威胁情报IP的恶意程度,通过这一衡量指标来抵消上述数据样本不足引发的不够准确、时效性不足的问题。例如,当威胁情报是安全风险等级高且距现下时间很近的,则视为满足自动化处置条件;如果是风险等级一般且时效性较短的威胁情报,则企业用户数据库中所有此类数据均可通过风险指标提炼后去使用。需要具体情景具体分析,但统一宗旨是尽量是要经过企业自身数据库提炼之后再去使用,避免直接匹配。

安全牛: XDR产品的以一个重要特点就是实现自动化处置,在实际应用中,安全管理人员应该如何判断进行自动化处置还是人工处置?两种处置策略之间应该如何平衡

李平:首先,在对情报进行处置之前,XDR平台会对数据进行综合的分析。XDR产品中内置有专门针对威胁风险检测的策略控模型,这些模型会对数据进行一些自动化的分析;对于不在模型内的一些数据,用户可以借助XDR产品的分析功能以及策略回溯能力,人工介入半自动化的进行分析,然后根据分析结果生成一种新的策略模型,储存到模型库中。

两种处置策略很好平衡和判断。通过上述数据分析即可了解应该归于自动化处置还是人工处置。自动化处置模型的建立即最基本的分析准则为:可疑IP地址的风险指数以及有别于正常IP地址的可解释度来决定。风险指数高、可解释的情况下,可以放心大胆的设定自动化处置策略,否则进行人工处置,而伴随着人工处置经验的累积,就可以对自动化处置策略进行优化和扩容,进而将原来的人工处置流程转变为自动化处置。这一过程类似于PDCA循环,随着时间的延伸,企业的安全响应自动化水平会逐渐增强,人力成本也会逐渐降低。

安全牛: XDR自动化处置模型建立的基本准则通常有哪些?基于这些原则,XDR产品是如何实现对安全事件关联分析的?

李平:自动化处置的整个编排框架是由条件节点与多个串联或并联的执行节点组合建立的,条件节点用于定制安全事件匹配条件;执行节点负责执行满足条件后的执行动作,执行节点一般分为几种,如命令执行类,扫描类、发送消息类,以及更灵活的脚本类,如图所示:

任意的安全事件关联分析则是XDR的最基础、最关键的能力,如果一个XDR产品不能做到无限制的任意安全事件关联分析,我认为这个产品是不合格的。通过XDR中的指标引擎与决策引擎,就可以将各个维度上可关联的事件节点形成统一的安全指标,企业用户可以通过这些指标和规则来分析、判断企业内部的安全事件。类比来说,当定性一个社会事件的好坏时,可以从多个维度和视角来综合评判,XDR的关联分析规则也是如此。用户可以灵活的制定告警规则,比如在限定的时间内当任意IP关联到了3个以上的威胁情报标签就告警、限定时间内任意IP触发了SQL注入规则同时1小时内获取数据超过100M就告警等。

安全牛:XDR是一个综合性的智能平台,需要多种安全能力、安全产品的协同联动,才能进一步提升其威胁检测、自动化响应的准确性和效率,目前在这方面的行业标准制定情况如何?

李平:站在企业用户的角度来说,如果数据的全生命周期处理能够形成统一的标准十分具有价值。即对数据生命周期内每个节点的处理都有固定的标准,这样无论更换哪一种数据安全处理产品,其模型都是固定的,都可以直接使用。

另一方面,数据的初期采集解析阶段也形成统一的数据标准,比如说对于不同品牌的不同WAF产品,其对某一字段的命名不同,但字段内容可能完全相同,因此我认为在数据层面也可以形成一定的标准,有些企业在数据采集层面拥有很深的技术沉淀,形成一定的标准后,企业用户可以直接把该厂商的采集产品与其他安全防护产品一起结合使用,进而将每个安全厂商的擅长点综合在一起。

至于说设备联动的统一标准还是很难建立的,因为每个安全设备的接口都不统一,一般不同数据安全监测与响应产品都有其固定的脚本,API接口不统一,无法使用统一的脚本对其进行调用,但如果能够实现接口的统一标准,对于企业用户来说是十分便捷的。

安全牛:根据安全牛的调研,我们认为XDR在国内的应用还处于起步阶段。您认为XDR产品未来会有哪些新的发展特点和趋势?

李平:未来,XDR产品会成为大数据、流计算、图计算、机器学习等技术的最有可能落地、产生效果的着力点。这些技术会使XDR产品的关联分析能力变得更加智能,让安全告警处置更加便捷简单;同时,会让APT检测、ATTACK攻击模型检测、人员复杂的违规行为检测变得更有可行性。

现在,大多数情况下,我们都是先内置好或预想好策略模型将范围内的数据框在其中,是一个被动化、静态化的过程。未来,随着AI智能的不断发展和样本库的增加,XDR产品将会帮助企业去预测攻击者的下一步攻击,帮助企业提早进行安全防范。

安全牛评:

当下,企业传统的边界安全防御机制已经越来越不适应业务和技术的发展,企业需要更快速的发现威胁及网络入侵,同时快速处置风险的能力,当信息安全变成AI与AI的对抗,企业需要更先进的基于机器学习的技术来防范网络入侵,保护数据资产。

轻量化的XDR解决方案,专注于威胁的快速发现及处理,通过对安全元数据的动态引入,进行实时计算和离线分析,当发现威胁后,通过可自定义的剧本,实现快速事件处置,及时阻断威胁行为的发生。极盾科技的XDR平台开箱即用,实现了快速布署,快速实现其应用价值,会成为企业数据安全防护的有用工具。


相关文章