攻防兩端 看安全挑戰(zhàn)

在網(wǎng)絡(luò)安全行業(yè)，技術(shù)要解決的實際問題里，我們面臨著兩端的挑戰(zhàn)。從攻方的視角來看，第一個階段要確定目標(biāo)，攻擊者需要收集各種攻擊的目標(biāo)、攻擊的資產(chǎn)，這是確定目標(biāo)的階段。第二個階段是要漏洞探測，找到可利用的攻擊點，構(gòu)建所謂的攻擊武器。第三個階段是要做載荷的投遞，有了風(fēng)險點和攻擊利用點之后，把攻擊武器做攻擊利用。第四個階段是突防利用。第五個階段是安裝植入，安全工具植入、偽裝，修改系統(tǒng)的服務(wù)，甚至是躲避防御體系。第六個階段是通信控制，拿下了目標(biāo)機(jī)器需要回連，接收更上一級的攻擊命令，最后會做一些潛伏策略。目標(biāo)達(dá)成以后要傳輸數(shù)據(jù)、竊密、加密數(shù)據(jù)等。第七個階段是目標(biāo)達(dá)成。

基于攻方視角，XDR要站在企業(yè)的IT架構(gòu)、業(yè)務(wù)架構(gòu)、安全架構(gòu)，甚至是和企業(yè)的安全風(fēng)險策略做綁定。

如果把網(wǎng)絡(luò)安全看成一場戰(zhàn)爭，可分為三個階段：戰(zhàn)前、戰(zhàn)時、戰(zhàn)后。站在守方視角，我們要在戰(zhàn)前做各種梳理，包括內(nèi)外網(wǎng)資產(chǎn)、漏洞、風(fēng)險梳理等，這是要在戰(zhàn)前做的。戰(zhàn)時是考驗安全場景的核心能力，是否能發(fā)現(xiàn)告警、發(fā)現(xiàn)攻擊，能不能發(fā)現(xiàn)還沒有被傳統(tǒng)殺毒軟件命中的可疑行為，這是XDR要解決的問題。傳統(tǒng)的單點防御體系不能解決這些問題，所以需要擴(kuò)展，需要更多的數(shù)據(jù)。戰(zhàn)后總結(jié)復(fù)盤發(fā)現(xiàn)攻擊之后有沒有攔截、有沒有防御、安全策略是否有效等問題。

基于攻防兩方的視角，XDR到底解決什么問題，這就是回答XDR的“是”與“非”。

8月31日，由網(wǎng)絡(luò)安全卓越驗證示范中心（以下簡稱“卓越示范中心”）主辦，北京未來智安科技有限公司（以下簡稱“未來智安”）承辦的“先進(jìn)網(wǎng)絡(luò)安全能力評估系列活動——擴(kuò)展威脅檢測響應(yīng)（XDR）技術(shù)專題沙龍”在北京成功舉辦。未來智安聯(lián)合創(chuàng)始人兼CTO陳毓端出席活動并發(fā)表主題演講《穿過亂象 看XDR的是與非》。

XDR技術(shù)本質(zhì)

國內(nèi)很多用戶和安全從業(yè)者在XDR的定義層面有一些歧義和模糊空間。作為國內(nèi)第一家發(fā)布XDR產(chǎn)品的廠商，經(jīng)過幾年的實踐，我們認(rèn)為XDR的“X”是指擴(kuò)展，具備多維度擴(kuò)展屬性，強(qiáng)調(diào)由孤立單點式威脅檢測到基于更多上下文數(shù)據(jù)進(jìn)行全面威脅檢測的整體安全思路轉(zhuǎn)變。XDR不再單純立足端點、網(wǎng)絡(luò)或者其他安全設(shè)備進(jìn)行安全事件發(fā)現(xiàn)和標(biāo)記，重視感知底層數(shù)據(jù)變化，從而研判企業(yè)網(wǎng)絡(luò)安全風(fēng)險，為企業(yè)安全運(yùn)營帶來完整的上下文和可見性。

經(jīng)過幾年的發(fā)展，業(yè)內(nèi)XDR的技術(shù)體系主要有三類。第一種是原生XDR。原生XDR只能接自己的終端和流量，好處是實施起來相對方便，但缺乏更多上下文關(guān)聯(lián)能力。第二種是生態(tài)XDR。生態(tài)XDR沒有自己的終端和流量，優(yōu)點是產(chǎn)品包容度高，缺點是它完全依賴于第三方數(shù)據(jù)，例如數(shù)據(jù)的標(biāo)準(zhǔn)、維度、背后的告警檢測邏輯等，會有一些數(shù)據(jù)層面的盲點或認(rèn)知上的差異。第三種是混合XDR?；旌蟈DR具備原生的優(yōu)點和異構(gòu)增強(qiáng)的能力，同時擁有終端和流量，并且還可以接第三方的數(shù)據(jù)和安全設(shè)備，做整體的安全解決方案。未來智安XDR是混合技術(shù)形態(tài)，我們包含了原生XDR和生態(tài)XDR，技術(shù)方向是整合的技術(shù)體系。

XDR可擴(kuò)展威脅檢測&防御體系

我們認(rèn)為XDR是以威脅為核，關(guān)注威脅檢測和發(fā)現(xiàn)，關(guān)注對異常行為、未知威脅的發(fā)現(xiàn)，圍繞威脅構(gòu)建不同階段的威脅檢測與防御體系。從攻方視角，我們將擴(kuò)展威脅檢測防御體系分為7個階段，黑客在7個階段里有不同的技術(shù)戰(zhàn)略。XDR利用更多的上下文和更多的安全感知，盡可能在每個階段發(fā)現(xiàn)威脅和可疑行為。

XDR的擴(kuò)展威脅檢測與防御體系，第一個階段，構(gòu)建網(wǎng)絡(luò)空間防御地圖，先知道有什么才能知道怎樣做防御，從資產(chǎn)管理開始，從攻擊視角看資產(chǎn)，梳理和定義資產(chǎn)對業(yè)務(wù)的重要性。第二個階段，構(gòu)建網(wǎng)絡(luò)空間風(fēng)險情報地圖，有了網(wǎng)絡(luò)空間防御地圖之后，基于視覺的平面看有哪些風(fēng)險、異常、薄弱環(huán)節(jié)，不單是內(nèi)網(wǎng)，還要看外網(wǎng)、看邊界、看互聯(lián)網(wǎng)等。第三個階段，構(gòu)建網(wǎng)絡(luò)空間攻擊監(jiān)測中心，要看到誰在攻擊。XDR關(guān)注底層數(shù)據(jù)的變化，網(wǎng)絡(luò)空間的攻擊監(jiān)測需要重點看到異常行為，盡可能感知到可疑行為。第四個階段，構(gòu)建網(wǎng)絡(luò)空間威脅復(fù)盤中心，需要知道黑客如何攻擊，怎么橫向移動，產(chǎn)生了哪些關(guān)鍵線索，有沒有數(shù)據(jù)被加密、被竊取等。第五個階段是網(wǎng)絡(luò)空間應(yīng)急調(diào)度中心。當(dāng)威脅發(fā)生時，企業(yè)的應(yīng)急預(yù)案是什么？能不能聯(lián)動？能不能快速研判？需要提升自動化運(yùn)營程度。第六個階段是網(wǎng)絡(luò)空間近地防御。假設(shè)網(wǎng)絡(luò)空間一定會被拿下，資產(chǎn)一定會被侵入，那么被攻進(jìn)來以后的底層防御邏輯是什么？資產(chǎn)被拿下之后要如何保護(hù)企業(yè)的核心數(shù)據(jù)？要做好防勒索，鎖住入口，盡量避免基于被攻擊機(jī)器發(fā)生大范圍的橫向移動和擴(kuò)散，這些也是未來智安與騰訊安全玄武實驗室要重點合作的方向。第七個階段是建立網(wǎng)絡(luò)空間聯(lián)合作戰(zhàn)中心，XDR將前面所有的能力融合到一個平臺上，做一體化的運(yùn)營，把企業(yè)的各種安全設(shè)備和能力基于企業(yè)關(guān)注的業(yè)務(wù)場景，做安全運(yùn)營效果的整體提升。

做XDR一定要有全局思維、威脅視角和底線思維。要構(gòu)建一個網(wǎng)絡(luò)空間防御地圖，要有統(tǒng)一的資產(chǎn)臺賬。在給客戶服務(wù)和實踐過程中，客戶認(rèn)為資產(chǎn)很重要，但是廠商更多是基于IP視角看資產(chǎn)，缺乏業(yè)務(wù)視角。要以業(yè)務(wù)視角做資產(chǎn)管理，而不是以IP或單一資產(chǎn)視角做資產(chǎn)管理。

隨著數(shù)字化深入推進(jìn)，資產(chǎn)邊界的定義進(jìn)一步擴(kuò)大，傳統(tǒng)安全視角不足以繪制出完整的攻擊或者防御視圖。我們認(rèn)為XDR的資產(chǎn)視圖一定有4個維度，最底層是系統(tǒng)層面，第二是應(yīng)用層面，第三是業(yè)務(wù)層面，第四還要貼合國家對基礎(chǔ)設(shè)施的重點防護(hù)體系。根據(jù)這幾個維度構(gòu)建數(shù)字資產(chǎn)地圖，可以看到哪里有薄弱環(huán)節(jié)?；诘貓D做整體防御，而不是單點做防御，更重要的是感知底層的數(shù)據(jù)維度和數(shù)據(jù)資產(chǎn)。

XDR強(qiáng)調(diào)開箱即用，整個交付體系要輕，無論是終端還是流量方向，都要通過內(nèi)置的API開箱即用，構(gòu)建資產(chǎn)視圖。我們再對數(shù)據(jù)進(jìn)一步暢想，將整個數(shù)據(jù)基于領(lǐng)域建模，構(gòu)建標(biāo)準(zhǔn)化資產(chǎn)數(shù)據(jù)臺賬，包括資產(chǎn)類、行為類、風(fēng)險類、入侵警報類，通過各種維度縮減數(shù)據(jù)接入的復(fù)雜程度，通過技術(shù)手段構(gòu)建有效的防御地圖。

幾年的積累，我們認(rèn)為客戶對于風(fēng)險核心關(guān)注三點，第一，業(yè)務(wù)連續(xù)性問題，第二，風(fēng)險對品牌或者聲譽(yù)產(chǎn)生破壞的影響問題，第三，合規(guī)問題。安全產(chǎn)品不是社交產(chǎn)品，我們要給出風(fēng)險度量指標(biāo)。

XDR從攻方視角做可疑行為發(fā)現(xiàn)，它的“擴(kuò)展”是結(jié)合更多的上下文數(shù)據(jù)，同時結(jié)合ATT&CK作為威脅檢測的核心思路，最終呈現(xiàn)給客戶的模型是知道攻擊者通過什么進(jìn)程、時間、地點、載體，以何種方式，做了什么事。整個防御體系要先把入口鎖住，比如外部訪問、遠(yuǎn)程登錄，攻擊進(jìn)來之后落到哪些資產(chǎn)，以資產(chǎn)為核心、以服務(wù)為中心看資產(chǎn)和服務(wù)的變更，XDR的出現(xiàn)是結(jié)合上下文發(fā)現(xiàn)未知的威脅。

從遙測能力驅(qū)動檢測覆蓋的視角，XDR要采集更多細(xì)粒度的數(shù)據(jù)，這些數(shù)據(jù)存在安全價值，比如一個文件被修改是很小的攻擊指示點。未來智安XDR從遙測能力的角度看到更細(xì)的風(fēng)險或異常行為。目前未來智安XDR大概有3000+的數(shù)據(jù)維度，是目前在數(shù)據(jù)遙測方面比較好的沉淀。

看到攻擊之后要把整個攻擊過程回溯出來。我們在擴(kuò)展威脅檢測響應(yīng)（XDR）能力評價標(biāo)準(zhǔn)里講到了“關(guān)聯(lián)分析”的能力。黑客通過邊界打進(jìn)來以后，NDR看到告警，如果攻擊成功落到一臺機(jī)器上，可能會有外聯(lián)，下載攻擊載荷，橫向移動，或者大范圍的跨網(wǎng)段的擴(kuò)散，這是完整的攻擊過程。XDR能把整個過程看清楚，除了遙測能力之外還有數(shù)據(jù)關(guān)聯(lián)分析，以及基于AI引擎的支撐，這是對整個攻擊溯源的能力。

針對攻擊溯源未來智安提出了12個維度，包括攻擊者是誰、要結(jié)合情報分析攻擊者是怎么攻進(jìn)來的、利用了什么漏洞、使用什么攻擊武器打進(jìn)來的、在服務(wù)器上做了什么、有沒有發(fā)生橫向移動，對企業(yè)整體的攻擊影響面有多大等等。威脅檢測不能只告訴客戶有一個攻擊發(fā)生，還要告訴它對企業(yè)經(jīng)營、對企業(yè)業(yè)務(wù)有什么影響。我們也是業(yè)內(nèi)第一個提出了對攻擊溯源分析的12個維度。

攻擊發(fā)生后要做應(yīng)急調(diào)度、編排、響應(yīng)。企業(yè)日常的安全運(yùn)營流程可以通過安全編排的方式做自動化的執(zhí)行和調(diào)度。SOAR應(yīng)該被集成還是單獨(dú)存在？我們的觀點是SOAR一定是跟整個產(chǎn)品體系深度綁定，它需要知道告警和資產(chǎn)，感知企業(yè)的產(chǎn)品融合，而不是單獨(dú)存在。通過SOAR可以將資產(chǎn)、風(fēng)險、攻擊指示全部串在一起，形成自動化的運(yùn)營體系。這一系列的編排在未來智安XDR體系中已經(jīng)做到開箱即用。

未來智安對XDR的編排（SOAR）有一些不同維度的看法，首先SOAR一定要支持多維度的協(xié)議通道，無論是KAFKA、GRPC、DB或是API，這些是基礎(chǔ)通道。在基礎(chǔ)通道上做三個維度的抽象。一是查詢類，無論SOAR查A廠商或B廠商的資產(chǎn)，查詢的對象和指令是標(biāo)準(zhǔn)的，不會因為標(biāo)準(zhǔn)變化給企業(yè)帶來很大負(fù)擔(dān)，所以叫查詢類標(biāo)準(zhǔn)。二是監(jiān)聽類，通過SOAR去監(jiān)聽有沒有外聯(lián)或異常行為。三是控制類，有三本賬：數(shù)據(jù)臺賬、動作臺賬、控制臺賬，通過三本賬對各種安全設(shè)備的能力差異做消除。最后通過可視化、在線Coding的方式實現(xiàn)業(yè)務(wù)需求。這是我們對XDR的編排的認(rèn)知和理解。

在網(wǎng)絡(luò)、資產(chǎn)被拿下之后需要近地防御體系。未來智安和騰訊安全玄武實驗室已經(jīng)正式啟動了對XDR新版本的聯(lián)合開發(fā)，重點針對勒索、釣魚、橫向移動等高級威脅提升檢測防護(hù)能力。對于終端的防御體系來講，威脅檢測思路重點是發(fā)現(xiàn)未知行為，通過很敏感、很弱小的攻擊指示找到還未被定性成某一個具體攻擊行為的發(fā)現(xiàn)，以此來發(fā)現(xiàn)可疑行為。

XDR一體化安全運(yùn)營系統(tǒng) 安全運(yùn)營最佳實踐

結(jié)合這幾年在客戶側(cè)的實際應(yīng)用場景，總結(jié)出做好安全運(yùn)營要具備的核心要點。

1. 邊界防御體系有效性驗證——防御體系打通，看清攻擊與安全策略有效性；

2. 告警治理能力——面對海量告警，能達(dá)到安全團(tuán)隊可運(yùn)營狀態(tài)；

3. 高價值場景挖掘能力——在安全分析層面具備焦點，不盲目分析或海量告警而選擇性放棄；

4. 畫像能力——摸得清攻擊者攻擊意圖、看得見受害者及受害程度&影響面；

5. 事件化能力——看得起攻擊來龍去脈，從入侵到橫向移動的完整攻擊鏈條；

6. 自動化能力——具備自動化能力，有效釋放運(yùn)營效力，聚焦高價值攻擊場景。

在安全策略驗證方面，我們和國內(nèi)的客戶做了比較多的實踐，客戶的邏輯是要通過XDR把邊界城墻越壘越高，會得出三個指標(biāo)。一是WAF阻斷了，說明策略沒有問題；二是WAF檢出了，但是告警沒有被阻斷，這個時候要思考策略是不是要增強(qiáng)；三是WAF沒檢出，但是縱深防御的流量、終端都檢出了告警，客戶就會做兩個動作，第一個動作是把攻擊IOC輸出給WAF或者防火墻，第二個動作是要把規(guī)則或者攻擊特征提取出來，增強(qiáng)邊界防御體系。

告警治理分為三個層面。一是在原始告警層面形成標(biāo)準(zhǔn)化；二是針對告警治理做收斂和降量，無論是同源同溯、智能研判、多維關(guān)聯(lián)、場景化關(guān)聯(lián)，都是把告警做第一維度的收縮，形成攻擊事件，看到整個告警的攻擊脈絡(luò)、攻擊過程、影響范圍。三是行為分析，也是高質(zhì)量告警治理的核心范疇。例如后門利用之后，通過XDR將文件行為、注冊表行為、模塊加載行為、網(wǎng)絡(luò)行為、單位時間內(nèi)的上下文告警、流量告警，各種邊界告警等在同一個平面上做分析。

做攻防無非要盯住三個點：賬號、數(shù)據(jù)、權(quán)限。通過更多的上下文數(shù)據(jù)，有更多的場景化覆蓋。在告警關(guān)聯(lián)方面，我們也做了很多嘗試，比如漏洞掃描之后的漏洞利用，有前后關(guān)聯(lián)關(guān)系，這些都是高價值場景的挖掘方式。XDR除了以風(fēng)險為核之外，要更多感知數(shù)據(jù)的變化，通過數(shù)據(jù)變化去發(fā)現(xiàn)可疑行為，把有效的告警挖掘出來。

總結(jié)：

安全體系里有很多關(guān)鍵詞和概念，我們一定要站在客戶的角度去思考。XDR一定要有全局思維、威脅視角和底線防御思維，為客戶創(chuàng)造價值，我們始終堅信一句話“安全產(chǎn)品不是社交產(chǎn)品，我們沒有那么多時間在平臺探索，告訴我什么是高價值、要重點處理的告警”。

（雷峰網(wǎng)(公眾號：雷峰網(wǎng))）

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。