安全419《高级威胁检测与响应解决方案》系列访谈——未来智安(XDR SEC)篇
伴随着对云计算的拥抱、新的DevOps流程的普及、物联网设备的蔓延、供应链的复杂交织以及更多数字基建的涌现,新一代网络攻击手段也在持续演进,有效的威胁检测与响应能力作为重要的攻防手段,是提升实战化对抗能力的关键因素。
安全419推出《高级威胁检测与响应解决方案》系列访谈选题,邀请相关安全厂商分享主动感知、分析、防御、溯源高级威胁的成功经验,及其方案服务的能力和特色,为企业用户提升安全建设水平提供一定参考。
本期,我们走进北京未来智安科技有限公司(以下简称为“未来智安”),邀请到未来智安创始人兼CEO唐伽佳讲解他们在该领域的观察思考和能力输出。
未来智安(XDR SEC)成立于2020年10月,专注于XDR扩展威胁检测响应,为客户提供精准全面的网络安全检测、高效自动化的威胁运营能力和产品方案。自2021年1月推出国内首个XDR扩展威胁检测响应系统以来,现已迭代至3.0版本,目前核心产品已在金融、能源、运营商等行业头部客户落地应用。
高级威胁没有固定套路 难以识别抗衡
面对不断爆发的APT攻击、勒索攻击、超大规模数据泄露、波及范围极广的重大安全漏洞等类型众多的安全事件,网络空间的安全形势变得岌岌可危。唐伽佳告诉我们,高级威胁之所以令人不安,在于其并没有固定的攻击手段或进攻路径,它或者形式多变、或者对抗性强、或者善于潜伏隐蔽、或者非常持久化。高级威胁是一个相对的概念,可能由于攻击者手握0day不走寻常路,也可能在于目标的防护基础非常薄弱、存在明显短板,当防御一方无法识别检测出威胁,攻击一方最终绕过了防线,神不知鬼不觉地达到了破坏或窃取的目的,徒留受害者面面相觑。
兵无常势,水无常形,攻防双方一直是在对抗博弈中向前发展进化的,唐伽佳根据未来智安的专业观察和市场实践总结了几点趋势:
攻击呈现碎片化、复杂化。如今的攻击者已经具备比较全面的情报收集能力和分析能力,会使用更系统化的攻击工具和更具针对性的攻击手法,角度刁钻、手段叠加、样本多变,反映在安全事件层面则呈现出碎片化和复杂化的特点,攻击行为不易被发现,在内部横向移动提权感染多个点位,却很难有效溯源分析出攻击的全貌。
IT架构演化导致攻击入口增多。传统的IT架构逐渐向云端迁移,云计算环境涉及IT基础硬件、操作系统以及业务系统等,虚拟机、微服务及容器的广泛应用让传统的设备边界不再那么清晰,企业的资产暴露面显著扩大,导致攻击入口增多而且愈加复杂。
单点防御能效低下。企业多年来跟随其信息化发展而逐步建立的安全防护体系已呈堆叠之势,网络侧、主机侧、应用侧都部署了不同的检测、防御、监控、诱捕等功能的产品,大量异构产品各自聚焦于单点的检测,缺乏统一的安全策略,上下文缺失,给运营人员带来大量告警,效率低,准确率低,而云化环境中故障域的耦合更加紧密,针对问题根源的判断十分困难。
突发安全事件波及广、影响深。类似log4j漏洞、SolarWinds攻击等影响范围巨大的安全事件如今发生得越来越频繁,开源软件的广泛使用、各行业供应链的成熟导致基础框架、组件爆发漏洞极易引起涟漪效应。这类事件往往让企业猝不及防,没有有效的手段发现并处置风险。
单点安全检测及防御能力面临瓶颈
IT环境、技术的发展让攻击手段不断进化、安全形势日益严峻,相应的,威胁检测与响应技术也在不停更迭。
最初的IDS(Intrusion Detection System,入侵检测系统)用于检测网络流量上的行为、数据特征等,如果防火墙是一幢大楼的门锁,那么IDS就是这幢大楼的监视系统。由于IDS只是被动地收集报文,并利用内置的入侵知识库与这些流量特征进行分析比对,很难定位真正的威胁或实现闭环处置,IPS(Intrusion Prevention Systems,入侵防御系统)应运而生,倾向于提供主动防护,预先对入侵活动和攻击性网络流量进行拦截,而不是简单地在恶意流量传送时发出警报。
在基于规则库匹配之余,NTA(Network Traffic Analysis,网络流量分析)通过监控网络流量、连接和对象来识别恶意的行为迹象,弥补传统检测设备重检测、轻分析的缺陷。随后出现的NDR(Network Detection and Response,网络威胁检测与响应)进一步升级,检测能力融合机器学习、威胁情报等多维度的能力,并增加了响应与防御功能。
威胁不仅出现在网络流量侧,硬件、服务器、中间件等主机终端同样需要重视。传统的杀毒软件以及HIDS(Host-based Intrusion Detection System,主机型入侵检测系统)主要采用特征库比对的检测模式,很难应对病毒软件的变种和绕过。EDR(Endpoint Detection & Response,端点检测与响应)作为主机侧的安全利器,多通过人工智能引擎和威胁情报赋予终端更为精准、持续的检测,同时增强防护属性,发出告警的同时也会自动智能响应处理掉恶意行为。
“而问题在于”,唐伽佳说道,“攻击本身不是割裂的,这些单点性的安全产品形成了孤岛式的安全能力,海量告警无法全面看清终端侧和网络侧的威胁状况,难以溯源到真正的攻击全貌。”
未来智安XDR:告诉客户一个完整的攻击故事,并快速响应和处置
图:未来智安XDR具有完备的流程机制,实现威胁追踪溯源
在这样的背景下,安全研究人员开始尝试把端和网,以及包括邮件、云端、沙箱等的数据结合在一起进行系统化、全局化的威胁检测,于是XDR(Extended Detection And Response,扩展检测与响应)技术理念应运而生。
在唐伽佳看来,“X”所代表的扩展属性,强调由孤立单点式威胁检测过渡到基于更多上下文数据,进行全面威胁检测的整体安全思路的转变。XDR不再单纯依赖于端点、网络或其他安全设备进行告警发现和安全事件的标记,重视底层的数据变化,比如主机上的权限变更、文件变更、账号体系变更、系统负载的变化等,从而研判企业网络安全风险,为企业安全运营带来完整的上下文和可见性。最终,通过XDR告诉客户一个完整的攻击故事,并快速响应和处置。
未来智安XDR具有完备的流程机制,实现威胁追踪溯源
打破威胁检测盲点
对于企业客户来说,能全面发现威胁依然是最核心的诉求,单点的攻击路径或者攻击模式并不能展示完整的结果。唐伽佳表示,强大的数据采集和遥测、以及针对大数据的关联索引能力成为保障XDR威胁检测能力的基础,未来智安XDR针对资产提供细粒度监控和全局安全感知,并从外部入口到内部资产、再到应用环境进行风险发现与研判。
在检测能力上,未来智安XDR平台内置基于主机的EDR检测能力与基于流量的NDR威胁检测能力,基于丰富的遥测数据更细粒度的感知底层数据变化从而研判用户侧网络安全风险,实现跨端跨流量的立体化威胁检测,为安全运营带来完整的上下文和威胁的可见性。通过XDR平台的前置CEP流式实时检测引擎和基于离线的场景化检测能力,同时利用端点告警、端点行为日志、流量告警、流量日志、资产等数据,并采用专利性的基于大数据挖掘的智能化事件分析引擎(AiE),自动将每天千万级零散告警生成跨终端跨网络的几十条完整攻击事件(Incident),攻击检测有效性提升百倍以上,实现全面的攻击链检测,让威胁不存在检测盲点。
持续感知精确溯源
识别与检测是第一步,能持续地感知风险变化并精确地溯源攻击是XDR防护有效的保障。未来智安XDR围绕ATT&CK覆盖了近万条威胁检测规则,这些检测规则在传统的基于静态检测、基于特征检测的安全防护能力的产品中是不具备的。
并且基于其自研的告警治理引擎,利用主机侧EDR、流量侧NDR及相关资产数据围绕攻击链进行攻击事件回溯。可基于攻击事件Incident出发进行攻击事件的调查分析,可围绕多维度的攻击线索展开攻击行为上下文、进程链等内容分析,有效解决溯源难问题,且大大提高攻击溯源效率。
提高安全运营效率
无论是看见威胁还是处置风险,重要的是让安全团队可以常态化地运营起来,发现高价值的告警,看清攻击的本质,以提升整体的安全防护能力。除原生的未来智安EDR、NDR之外,未来智安XDR支持接入其他异构安全设备的数据并进行统一管理。告警治理引擎利用资产关联、不同安全设备间的数据进行告警的数据互补、互纠来完成告警核实、告警Alert到攻击事件Incident的提升,从而降低告警数量。同时利用SOAR技术针对不同类型的威胁告警进行告警的自动化分析核实及告警的归并,有效降低告警量及告警误报率。
基于SOAR的安全编排与自动化响应处置能力,还可完成不同攻击类型、不同攻击场景的告警及攻击事件的应急预案,通过任务编排的方式以自动化或半自动化运行,提高攻击事件的处置效率。另外还提供作战指挥室,通过统一的协同工作界面高效进行攻击事件调查任务的派发、多人协同调查,大大降低人工运维压力。
据唐伽佳介绍,经市场落地验证,未来智安XDR将威胁事件运营效率从小时级提高到分钟级,运营效率提升8倍以上;开放灵活的集成能力可保证客户在已有安全平台架构之上落地可行的方案,降低成本44%,显著提升投资回报率。
XDR引领未来安全发展方向
从国际前沿的应用经验来看,检测响应类产品已经成为企业标配,海量误报以及检测盲点问题突出,而XDR是威胁检测与响应技术的一次进化,为当下组织的安全运营提供最直接、最核心的安全价值,并能全面综合性地解决用户在威胁检测和安全运营两大层面面临的挑战,惠及组织未来的安全体系建设。
唐伽佳表示,XDR理念和技术的出现及当前的热潮,正是为了更好地解决愈加频繁且复杂的高级威胁所引发的安全挑战,但价值需要通过更多实际的应用去验证和展现。作为安全厂商,需要始终站在用户的角度去思考并解决问题,XDR能力的核心,也正是目前企业安全建设体系中的痛点的良药——用统一的解决方案更快、更全面、更精准地检测威胁和自动化响应处理威胁事件;实现对整个资产、攻击面、威胁态势的全面可视化,及时发现高级复杂威胁及攻击;降低安全运营的使用门槛和使用成本,保护企业现有的安全投资,实现可持续的安全运营。