随着在网络威胁持续演化升级,网络安全攻防对抗的日趋激烈,网络安全仅靠单纯的防范与阻断已无法帮助企业快速有效的应对所有安全威胁与风险。
2017 年,Gartner 提出未来五年企业将改变他们的安全支出战略,从仅采取阻止 (prevent) 措施而转向更侧重于检测和响应。反观国内市场,近几年,更多安全提供商相继推出各类检测与响应 (DR) 方案,大型高端客户对SOAR的需求和关注度越来越高,不难看出 “检测与响应” 已成为国内安全市场主要趋势。
2018 年底,亚信安全推出 XDR 战略,呼吁业界重视响应能力的建设。经过近一年的实践积累与技术融合,亚信安全于 10 月 15 日,再次发布 “亚信安全XDR全景”,全面展示了感知+运维的 XDR 解决方案提升事件响应能力的实践经验。
一、XDR全景中的EDR能力
2013 年 Gartner 的 AntonChuvakin 首次创造了端点威胁检测和响应 (Endpoint Threat Detection and Response,ETDR) 这一术语,用来定义一种 “检测和调查主机 / 端点上可疑活动(及其痕迹)” 的工具,后来通常称为端点检测和响应 (EDR)。EDR 在 2014 年就进入 Gartner 的 10 大技术之列,并逐步成为网络安全的必备之物。
【亚信安全总裁 陆光明】
亚信安全总裁陆光明认为,围绕 Gartner 提出的 EDR 四大基本功能:检测、调查、遏制、修复,好的 EDR 能力应具备以下几点:
1. 可具备操作系统行为内核态高清记录能力;
2. 历史数据可回溯,高清行为日志长期存储通常三个月以上;
3. 攻击可视化,能够绘制进程事件树;
4. 威胁情报检测能力(IOA/IOC能力);
5. 对核实确认的高级威胁进行遏制和修复;
6. 安全可运维,提供Threat Hunting服务。
二、精密编排XDR解决方案提升事件响应能力
2016年,Gartner指出“EDR不是其他端点安全工具的替代品;它通常是其他工具在检测和可见性方面的扩展和补充,旨在提供端点安全功能”。然而,企业在面对无服务计算、容器、数据整合、检测分析,以及 “看到” 未知威胁这些应用需求时就非常有难度。因此,跨越安全层,达成关联分析,归并离散的威胁告警,提炼带有上下文扩展属性的安全事件,优先联动处理,将成为是下一代威胁治理技术的关键所在。亚信安全认为,亚信安全 XDR 全景将 “威胁感知” 与 “安全运维” 相结合,不仅可以提升事件响应能力还可为用户提供积极而有效的高级威胁治理手段。
- 专业调研工具相结合。终端检测及响应 EDR:从服务器端收集日志并进行关联分析,时时记录客户端系统行为;网络检测及响应 NDR:流量采集还原以及海量数据存储索引,24 小时监视网络流量;高级威胁情报平台 TIP:汇集全球化、全行业、运营商海量威胁情报数据;威胁感知运维平台 (UAP):自动化的威胁检测与共享,所有信息集中呈现分析。
- 应对各类高级威胁的应急响应预案:准备 – 发现 – 分析 – 遏制 – 消除 – 恢复 – 优化。
- 将所有产品精密编排联动,最终交由安全响应专家团队组成的托管检测及响应 MDR。
【亚信安全CDO 吴湘宁】
亚信安全 CDO 吴湘宁介绍:
在网络安全运营管理中,通过网络、端点、邮件、云主机等更多智能探针,用户可以将行为数据和威胁检测数据提交到 XDR 数据湖 (Data Lake),通过威胁运维平台 (UAP),形成自动化威胁检测、病毒清除、威胁狩猎、根因分析等。此外,亚信安全将采用 AI 与安全专家协同工作的托管运维服务 (MDR),解决安全专家短缺问题,为用户提供第三方安全专家的检测报告、病毒清除、修复计划等,达到威胁检测更多、更简单,告警更少、更真实可靠的安全管理新高度。
三、亚信安全XDR全景的四大品类
检测类:深度威胁发现设备 TDA、深度威胁回溯设备 TRA、高级威胁终端检测及响应系统 CTDI;
分析类:深度威胁分析设备 DDAN、高级威胁终端检测及响应系统 CTDI、深度威胁回溯设备 TRA;
响应类:网络防护网关 AE、终端防护系统 OfficeScan、服务器深度安全防护系统 Deep Security、深度威胁邮件网关 DDEI;
集中管控类:威胁运维平台 (UAP)、控制管理中心 TMCM。
发布会上亚信安全分别通过 “挖矿软件病毒和响应”、“10 分钟自动拦截最新勒索病毒变种”、“重保期间联动封堵攻击 IP” 三个实战案例,对 XDR 工作流程进行了详细剖析。
安全牛评
从 SIEM,到态势感知,再到自动化编排 SOAR,安全防御理念不断更新迭代的同时也为企业带来了无法落地的难题。态势感知可为企业构建一套整体的安全运营管理体系但由于它的建设及运营成本较高,使得很多中小企业望而却步;SOAR 可帮助企业快速检测威胁、减少安全人工分析投入、做到快速响应,提高安全运营效率,但 SOAR 对企业的安全基础建设及业务配合提出了更高的要求,目前在国内市场仍处于概念阶段。基于国内市场的特殊性,亚信安全去年 12 月在国内首提 XDR 理念,经过 10 个多月的落地实践,今年再次提出 XDR 全景,通过小联动及 UAP(高级感知运维平台),可以让 SOAR 最快捷、最轻快,更精准的落地,能够让更多用户享受精密编排带来的好处,也将解决安全产品多元化,碎片化,以及运维专业化的落地问题。