股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
“防毒”只是沧海一粟,乱象中(zhōng)辨明XDR真身
发布时间 :2022年07月14日
类型 :勒索软件
分(fēn)享:
如今,人们一提到XDR(扩展检测和响应),似乎已经耳熟能(néng)详,尤其是2020年以来,随着疫情和网络威胁带来的新(xīn)变化,XDR的热度持续上升。但是,认知上的偏差,蹭热度、蹭流量的“XDR”也比比皆是。那么什么是XDR?
时间回溯,2018年12月4日,亚信安(ān)全举办(bàn)了一场“高级威胁治理(lǐ)十周年”的发布会,XDR作(zuò)為(wèi)高威胁治理(lǐ)的革新(xīn)性理(lǐ)念正式发布:基于自适应框架,以安(ān)全运营為(wèi)视角,打造出的一套精(jīng)密编排的联动安(ān)全解决方案——XDR的治理(lǐ)逻辑和本质(zhì)在当时得到了明确解读。
01
為(wèi)什么需要XDR?
Gartner将XDR列為(wèi)热门安(ān)全趋势之一,并表示XDR将提高检测准确性,并提升安(ān)全运营效率和生产(chǎn)率。
首先,网络安(ān)全建设具(jù)有(yǒu)专业性强、成本高的特点,这让许多(duō)企业难以构建应对现状的安(ān)全體(tǐ)系与技(jì )术能(néng)力,用(yòng)户需要更加智能(néng)化、平台化、威胁发现与处置方便的突破性产(chǎn)品或技(jì )术。而XDR产(chǎn)品是端点检测和响应(EDR)平台自然演进的结果,可(kě)以让没有(yǒu)资源来定制更多(duō)单点解决方案的安(ān)全团队更容易获得这些能(néng)力。
其次, XDR平台弥补了其他(tā)安(ān)全工(gōng)具(jù)的短板,它可(kě)以更集中(zhōng)且规范地关联多(duō)源数据。通过多(duō)源数据的收集和分(fēn)析,打破企业安(ān)全数据孤岛,以此能(néng)够更有(yǒu)效的验证警报、减少误报并提升可(kě)靠性,有(yǒu)助于减少安(ān)全团队浪费过多(duō)的时间在不准确的警报上,让应急响应真正意义上的“飞起来”。
此外,XDR与安(ān)全信息和事件管理(lǐ) (SIEM) 以及EDR等工(gōng)具(jù)在功能(néng)上有(yǒu)类似的地方,但是许多(duō)部署XDR的用(yòng)户主要还是為(wèi)了解决 SIEM 产(chǎn)品弊端,以此获得比EDR更快、更深入、更有(yǒu)效地威胁检测和响应能(néng)力,以及更强大的数据收集和整理(lǐ)能(néng)力。
由此可(kě)以看到,检测与响应技(jì )术能(néng)力是XDR解决方案得以实施的必要基础。所以说,没有(yǒu)“真”EDR,何谈XDR的“实”力?
02
EDR的“四大金刚”
根据Gartner对EDR的定义,EDR是一种记录和存储端点系统等级行為(wèi)的解决方案,并且通过多(duō)种数据分(fēn)析技(jì )术检测可(kě)疑的系统行為(wèi),提供关联信息,从而阻断恶意行為(wèi)并為(wèi)受影响系统提供修复建议。Gartner认為(wèi),EDR解决方案需要有(yǒu)以下四个关键能(néng)力:检测安(ān)全事件、遏制威胁、调查安(ān)全事件、提供修复指导。
Gartner提出的EDR的定义是从EDR对EPP能(néng)力的补充延展而来,概念也较為(wèi)抽象,而问题恰恰就出现在这里。
03
XDR乱象如何辨别真伪?
一流的EDR系统不仅可(kě)以检测、分(fēn)析和验证常见威胁,还需要对无文(wén)件攻击、零日威胁和APT攻击提供有(yǒu)效的溯源。比如,通过分(fēn)析黑客进攻的时间、路径、工(gōng)具(jù)等所有(yǒu)细节,溯源出可(kě)疑文(wén)件后自动上传到“沙箱”的隔离测试區(qū)域“引爆”、“验伤”,然后再进行遏制、清除、恢复和优化等。
那么,当今天面对XDR的火热,这些产(chǎn)品真的发生质(zhì)变了吗?
答(dá)案是否定的。有(yǒu)一些EDR产(chǎn)品其实还只是算是防毒产(chǎn)品的“改造”,缺乏Gartner定义的EDR四大基本功能(néng),并且一些产(chǎn)品还是无法根据行為(wèi)规则IOA和外部特征库IOC,来对漏洞攻击和无文(wén)件攻击等高级威胁进行关联分(fēn)级及检测,也无法通过绘制进程事件树来实现攻击可(kě)视化等等。例如:
缺少基于IOA的行為(wèi)检测(通常是超过100条以上的规则条目);
缺少基于操作(zuò)系统行為(wèi)高清记录的调查功能(néng),可(kě)视化的进程事件树关联分(fēn)析能(néng)力;
缺少遠(yuǎn)程遏制能(néng)力;
缺少遠(yuǎn)程修复能(néng)力。
事实上,要看清“李逵”与“李鬼”之间的區(qū)别,首先要清楚这两类产(chǎn)品的用(yòng)途。防毒软件专注于预防,被设计用(yòng)来在“坏东西”进入你的网络之前捕捉它们,但是它对攻击期间发生的情况一无所知。所以,即使防毒软件可(kě)以准确地抓住了恶意代码,也无法得知它(他(tā))们来自哪里,以及攻击是如何在系统中(zhōng)传播的。而EDR描述的是整个攻击过程,当一个攻击行為(wèi)被防毒软件阻止,或者针对无文(wén)件型的恶意软件、零日漏洞、APT高级持续性威胁防控失败的时候,EDR会為(wèi)你提供真正的答(dá)案和修复的能(néng)力。
04
XDR的特色之路
亚信安(ān)全早在2018年底就发布了基于XDR理(lǐ)念的解决方案,产(chǎn)品的重点方向是将能(néng)力型产(chǎn)品联动起来,可(kě)以实现各类API的对接,进而在发现威胁事件告警检出率的同时能(néng)够有(yǒu)效降噪,降低误报率、漏报率,快速反应处置。其次,亚信安(ān)全XDR利用(yòng)强大的数据分(fēn)析能(néng)力和响应处置的能(néng)力,将AI与安(ān)全专家团队、预案和流程打通,再将产(chǎn)品联动,进而向用(yòng)户提供一个整體(tǐ)性的防御能(néng)力。
亚信安(ān)全认為(wèi):XDR的价值就是有(yǒu)效对抗杀伤链。如今,不论是亚信安(ān)全端点防护层面的信端终端检测与响应系统(EDR),还是集成在信舱云主机安(ān)全(DeepSecurity)的EDR模块,皆能(néng)基于云端威胁情报库的IOC引擎和ATT&CK攻击框架检测的IOA引擎,在攻击(威胁)事件发生之初,便能(néng)进行记录和告警,将风险扼杀在摇篮中(zhōng)。
图:亚信安(ān)全基于ATT&CK框架形成高级威胁治理(lǐ)
小(xiǎo)结
XDR结合了SIEM、SOAR、EDR、NTA、威胁狩猎以及集中(zhōng)安(ān)全数据和事件响应,正是这些技(jì )术的复杂性让许多(duō)用(yòng)户觉得很(hěn)“神秘”。但是,在疫情影响之下,安(ān)全的边界已经发生改变,新(xīn)一代网络攻击技(jì )术将变得更加隐蔽、狡猾和复杂。对于用(yòng)户而言,XDR的发展不仅会是一次对传统安(ān)全方案的 “降维打击”,也一定会為(wèi)“无限可(kě)能(néng)”的数字化业務(wù)提供“无处不在”的护航能(néng)力。
分(fēn)享到微信
X