伴隨著對云計(jì)算的擁抱,、新的DevOps流程的普及,、物聯(lián)網(wǎng)設(shè)備的蔓延、供應(yīng)鏈的復(fù)雜交織以及更多數(shù)字基建的涌現(xiàn)，新一代網(wǎng)絡(luò)攻擊手段也在持續(xù)演進(jìn),，有效的威脅檢測與響應(yīng)能力作為重要的攻防手段,，是提升實(shí)戰(zhàn)化對抗能力的關(guān)鍵因素,。

　　安全419推出《高級威脅檢測與響應(yīng)解決方案》系列訪談選題,，邀請相關(guān)安全廠商分享主動(dòng)感知、分析,、防御,、溯源高級威脅的成功經(jīng)驗(yàn)，及其方案服務(wù)的能力和特色,，為企業(yè)用戶提升安全建設(shè)水平提供一定參考,。

　　本期,，我們走進(jìn)北京未來智安科技有限公司（以下簡稱為“未來智安”），邀請到未來智安創(chuàng)始人兼CEO唐伽佳講解他們在該領(lǐng)域的觀察思考和能力輸出,。

　　未來智安（XDR SEC）成立于2020年10月,，專注于XDR擴(kuò)展威脅檢測響應(yīng)，為客戶提供精準(zhǔn)全面的網(wǎng)絡(luò)安全檢測,、高效自動(dòng)化的威脅運(yùn)營能力和產(chǎn)品方案,。自2021年1月推出國內(nèi)首個(gè)XDR擴(kuò)展威脅檢測響應(yīng)系統(tǒng)以來，現(xiàn)已迭代至3.0版本,，目前核心產(chǎn)品已在金融,、能源、運(yùn)營商等行業(yè)頭部客戶落地應(yīng)用,。

　　高級威脅沒有固定套路 難以識別抗衡

　　面對不斷爆發(fā)的APT攻擊,、勒索攻擊、超大規(guī)模數(shù)據(jù)泄露,、波及范圍極廣的重大安全漏洞等類型眾多的安全事件,，網(wǎng)絡(luò)空間的安全形勢變得岌岌可危,。唐伽佳告訴我們,，高級威脅之所以令人不安，在于其并沒有固定的攻擊手段或進(jìn)攻路徑,，它或者形式多變,、或者對抗性強(qiáng)、或者善于潛伏隱蔽,、或者非常持久化,。高級威脅是一個(gè)相對的概念，可能由于攻擊者手握0day不走尋常路,，也可能在于目標(biāo)的防護(hù)基礎(chǔ)非常薄弱,、存在明顯短板，當(dāng)防御一方無法識別檢測出威脅,，攻擊一方最終繞過了防線,，神不知鬼不覺地達(dá)到了破壞或竊取的目的，徒留受害者面面相覷,。

　　兵無常勢,，水無常形，攻防雙方一直是在對抗博弈中向前發(fā)展進(jìn)化的,，唐伽佳根據(jù)未來智安的專業(yè)觀察和市場實(shí)踐總結(jié)了幾點(diǎn)趨勢：

　　//  攻擊呈現(xiàn)碎片化,、復(fù)雜化。如今的攻擊者已經(jīng)具備比較全面的情報(bào)收集能力和分析能力,，會使用更系統(tǒng)化的攻擊工具和更具針對性的攻擊手法,，角度刁鉆,、手段疊加、樣本多變,，反映在安全事件層面則呈現(xiàn)出碎片化和復(fù)雜化的特點(diǎn),，攻擊行為不易被發(fā)現(xiàn)，在內(nèi)部橫向移動(dòng)提權(quán)感染多個(gè)點(diǎn)位,，卻很難有效溯源分析出攻擊的全貌,。

　　//  IT架構(gòu)演化導(dǎo)致攻擊入口增多。傳統(tǒng)的IT架構(gòu)逐漸向云端遷移,，云計(jì)算環(huán)境涉及IT基礎(chǔ)硬件,、操作系統(tǒng)以及業(yè)務(wù)系統(tǒng)等，虛擬機(jī),、微服務(wù)及容器的廣泛應(yīng)用讓傳統(tǒng)的設(shè)備邊界不再那么清晰,，企業(yè)的資產(chǎn)暴露面顯著擴(kuò)大，導(dǎo)致攻擊入口增多而且愈加復(fù)雜,。

　　// 單點(diǎn)防御能效低下,。企業(yè)多年來跟隨其信息化發(fā)展而逐步建立的安全防護(hù)體系已呈堆疊之勢，網(wǎng)絡(luò)側(cè),、主機(jī)側(cè),、應(yīng)用側(cè)都部署了不同的檢測、防御,、監(jiān)控,、誘捕等功能的產(chǎn)品，大量異構(gòu)產(chǎn)品各自聚焦于單點(diǎn)的檢測,，缺乏統(tǒng)一的安全策略,，上下文缺失，給運(yùn)營人員帶來大量告警,，效率低,，準(zhǔn)確率低，而云化環(huán)境中故障域的耦合更加緊密,，針對問題根源的判斷十分困難,。

　　// 突發(fā)安全事件波及廣、影響深,。類似log4j漏洞,、SolarWinds攻擊等影響范圍巨大的安全事件如今發(fā)生得越來越頻繁，開源軟件的廣泛使用,、各行業(yè)供應(yīng)鏈的成熟導(dǎo)致基礎(chǔ)框架,、組件爆發(fā)漏洞極易引起漣漪效應(yīng)。這類事件往往讓企業(yè)猝不及防,，沒有有效的手段發(fā)現(xiàn)并處置風(fēng)險(xiǎn),。

　　單點(diǎn)安全檢測及防御能力面臨瓶頸

　　IT環(huán)境,、技術(shù)的發(fā)展讓攻擊手段不斷進(jìn)化、安全形勢日益嚴(yán)峻,，相應(yīng)的,，威脅檢測與響應(yīng)技術(shù)也在不停更迭。

　　最初的IDS（Intrusion Detection System,，入侵檢測系統(tǒng)）用于檢測網(wǎng)絡(luò)流量上的行為,、數(shù)據(jù)特征等，如果防火墻是一幢大樓的門鎖,，那么IDS就是這幢大樓的監(jiān)視系統(tǒng),。由于IDS只是被動(dòng)地收集報(bào)文，并利用內(nèi)置的入侵知識庫與這些流量特征進(jìn)行分析比對,，很難定位真正的威脅或?qū)崿F(xiàn)閉環(huán)處置,，IPS（Intrusion Prevention Systems，入侵防御系統(tǒng)）應(yīng)運(yùn)而生,，傾向于提供主動(dòng)防護(hù),，預(yù)先對入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，而不是簡單地在惡意流量傳送時(shí)發(fā)出警報(bào),。

　　在基于規(guī)則庫匹配之余,，NTA（Network Traffic Analysis，網(wǎng)絡(luò)流量分析）通過監(jiān)控網(wǎng)絡(luò)流量,、連接和對象來識別惡意的行為跡象,，彌補(bǔ)傳統(tǒng)檢測設(shè)備重檢測,、輕分析的缺陷,。隨后出現(xiàn)的NDR（Network Detection and Response，網(wǎng)絡(luò)威脅檢測與響應(yīng)）進(jìn)一步升級,，檢測能力融合機(jī)器學(xué)習(xí),、威脅情報(bào)等多維度的能力，并增加了響應(yīng)與防御功能,。

　　威脅不僅出現(xiàn)在網(wǎng)絡(luò)流量側(cè),，硬件、服務(wù)器,、中間件等主機(jī)終端同樣需要重視,。傳統(tǒng)的殺毒軟件以及HIDS（Host-based Intrusion Detection System，主機(jī)型入侵檢測系統(tǒng)）主要采用特征庫比對的檢測模式,，很難應(yīng)對病毒軟件的變種和繞過,。EDR（Endpoint Detection & Response，端點(diǎn)檢測與響應(yīng)）作為主機(jī)側(cè)的安全利器,，多通過人工智能引擎和威脅情報(bào)賦予終端更為精準(zhǔn),、持續(xù)的檢測,，同時(shí)增強(qiáng)防護(hù)屬性，發(fā)出告警的同時(shí)也會自動(dòng)智能響應(yīng)處理掉惡意行為,。

　　“而問題在于”,，唐伽佳說道，“攻擊本身不是割裂的,，這些單點(diǎn)性的安全產(chǎn)品形成了孤島式的安全能力,，海量告警無法全面看清終端側(cè)和網(wǎng)絡(luò)側(cè)的威脅狀況，難以溯源到真正的攻擊全貌,?！?/p>

　　未來智安XDR：告訴客戶一個(gè)完整的攻擊故事，并快速響應(yīng)和處置

　　在這樣的背景下,，安全研究人員開始嘗試把端和網(wǎng),，以及包括郵件、云端,、沙箱等的數(shù)據(jù)結(jié)合在一起進(jìn)行系統(tǒng)化,、全局化的威脅檢測，于是XDR（Extended Detection And Response,，擴(kuò)展檢測與響應(yīng)）技術(shù)理念應(yīng)運(yùn)而生,。

　　在唐伽佳看來，“X”所代表的擴(kuò)展屬性,，強(qiáng)調(diào)由孤立單點(diǎn)式威脅檢測過渡到基于更多上下文數(shù)據(jù),，進(jìn)行全面威脅檢測的整體安全思路的轉(zhuǎn)變。XDR不再單純依賴于端點(diǎn),、網(wǎng)絡(luò)或其他安全設(shè)備進(jìn)行告警發(fā)現(xiàn)和安全事件的標(biāo)記,，重視底層的數(shù)據(jù)變化，比如主機(jī)上的權(quán)限變更,、文件變更,、賬號體系變更、系統(tǒng)負(fù)載的變化等,，從而研判企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn),，為企業(yè)安全運(yùn)營帶來完整的上下文和可見性。最終,，通過XDR告訴客戶一個(gè)完整的攻擊故事,，并快速響應(yīng)和處置。

　　圖：未來智安XDR具有完備的流程機(jī)制,，實(shí)現(xiàn)威脅追蹤溯源

　　打破威脅檢測盲點(diǎn)

　　對于企業(yè)客戶來說,，能全面發(fā)現(xiàn)威脅依然是最核心的訴求，單點(diǎn)的攻擊路徑或者攻擊模式并不能展示完整的結(jié)果。唐伽佳表示,，強(qiáng)大的數(shù)據(jù)采集和遙測,、以及針對大數(shù)據(jù)的關(guān)聯(lián)索引能力成為保障XDR威脅檢測能力的基礎(chǔ)，未來智安XDR針對資產(chǎn)提供細(xì)粒度監(jiān)控和全局安全感知,，并從外部入口到內(nèi)部資產(chǎn),、再到應(yīng)用環(huán)境進(jìn)行風(fēng)險(xiǎn)發(fā)現(xiàn)與研判。

　　在檢測能力上,，未來智安XDR平臺內(nèi)置基于主機(jī)的EDR檢測能力與基于流量的NDR威脅檢測能力,，基于豐富的遙測數(shù)據(jù)更細(xì)粒度的感知底層數(shù)據(jù)變化從而研判用戶側(cè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，實(shí)現(xiàn)跨端跨流量的立體化威脅檢測,，為安全運(yùn)營帶來完整的上下文和威脅的可見性,。通過XDR平臺的前置CEP流式實(shí)時(shí)檢測引擎和基于離線的場景化檢測能力，同時(shí)利用端點(diǎn)告警,、端點(diǎn)行為日志,、流量告警、流量日志,、資產(chǎn)等數(shù)據(jù),，并采用專利性的基于大數(shù)據(jù)挖掘的智能化事件分析引擎（AiE），自動(dòng)將每天千萬級零散告警生成跨終端跨網(wǎng)絡(luò)的幾十條完整攻擊事件（Incident）,，攻擊檢測有效性提升百倍以上,，實(shí)現(xiàn)全面的攻擊鏈檢測，讓威脅不存在檢測盲點(diǎn),。

　　持續(xù)感知精確溯源

　　識別與檢測是第一步,，能持續(xù)地感知風(fēng)險(xiǎn)變化并精確地溯源攻擊是XDR防護(hù)有效的保障。未來智安XDR圍繞ATT&CK覆蓋了近萬條威脅檢測規(guī)則,，這些檢測規(guī)則在傳統(tǒng)的基于靜態(tài)檢測,、基于特征檢測的安全防護(hù)能力的產(chǎn)品中是不具備的。

　　并且基于其自研的告警治理引擎,，利用主機(jī)側(cè)EDR,、流量側(cè)NDR及相關(guān)資產(chǎn)數(shù)據(jù)圍繞攻擊鏈進(jìn)行攻擊事件回溯,?？苫诠羰录蘒ncident出發(fā)進(jìn)行攻擊事件的調(diào)查分析，可圍繞多維度的攻擊線索展開攻擊行為上下文,、進(jìn)程鏈等內(nèi)容分析,，有效解決溯源難問題，且大大提高攻擊溯源效率,。

　　提高安全運(yùn)營效率

　　無論是看見威脅還是處置風(fēng)險(xiǎn),，重要的是讓安全團(tuán)隊(duì)可以常態(tài)化地運(yùn)營起來，發(fā)現(xiàn)高價(jià)值的告警，看清攻擊的本質(zhì),，以提升整體的安全防護(hù)能力,。除原生的未來智安EDR、NDR之外,，未來智安XDR支持接入其他異構(gòu)安全設(shè)備的數(shù)據(jù)并進(jìn)行統(tǒng)一管理,。告警治理引擎利用資產(chǎn)關(guān)聯(lián)、不同安全設(shè)備間的數(shù)據(jù)進(jìn)行告警的數(shù)據(jù)互補(bǔ),、互糾來完成告警核實(shí),、告警Alert到攻擊事件Incident的提升，從而降低告警數(shù)量,。同時(shí)利用SOAR技術(shù)針對不同類型的威脅告警進(jìn)行告警的自動(dòng)化分析核實(shí)及告警的歸并,，有效降低告警量及告警誤報(bào)率。

　　基于SOAR的安全編排與自動(dòng)化響應(yīng)處置能力,，還可完成不同攻擊類型,、不同攻擊場景的告警及攻擊事件的應(yīng)急預(yù)案，通過任務(wù)編排的方式以自動(dòng)化或半自動(dòng)化運(yùn)行,，提高攻擊事件的處置效率,。另外還提供作戰(zhàn)指揮室，通過統(tǒng)一的協(xié)同工作界面高效進(jìn)行攻擊事件調(diào)查任務(wù)的派發(fā),、多人協(xié)同調(diào)查,，大大降低人工運(yùn)維壓力。

　　據(jù)唐伽佳介紹,，經(jīng)市場落地驗(yàn)證,，未來智安XDR將威脅事件運(yùn)營效率從小時(shí)級提高到分鐘級，運(yùn)營效率提升8倍以上,；開放靈活的集成能力可保證客戶在已有安全平臺架構(gòu)之上落地可行的方案,，降低成本44%，顯著提升投資回報(bào)率,。

　　XDR引領(lǐng)未來安全發(fā)展方向

　　從國際前沿的應(yīng)用經(jīng)驗(yàn)來看,，檢測響應(yīng)類產(chǎn)品已經(jīng)成為企業(yè)標(biāo)配，海量誤報(bào)以及檢測盲點(diǎn)問題突出,，而XDR是威脅檢測與響應(yīng)技術(shù)的一次進(jìn)化,，為當(dāng)下組織的安全運(yùn)營提供最直接、最核心的安全價(jià)值,，并能全面綜合性地解決用戶在威脅檢測和安全運(yùn)營兩大層面面臨的挑戰(zhàn),，惠及組織未來的安全體系建設(shè)。

　　唐伽佳表示,，XDR理念和技術(shù)的出現(xiàn)及當(dāng)前的熱潮,，正是為了更好地解決愈加頻繁且復(fù)雜的高級威脅所引發(fā)的安全挑戰(zhàn),，但價(jià)值需要通過更多實(shí)際的應(yīng)用去驗(yàn)證和展現(xiàn)。作為安全廠商,，需要始終站在用戶的角度去思考并解決問題,，XDR能力的核心，也正是目前企業(yè)安全建設(shè)體系中的痛點(diǎn)的良藥——用統(tǒng)一的解決方案更快,、更全面,、更精準(zhǔn)地檢測威脅和自動(dòng)化響應(yīng)處理威脅事件；實(shí)現(xiàn)對整個(gè)資產(chǎn),、攻擊面,、威脅態(tài)勢的全面可視化，及時(shí)發(fā)現(xiàn)高級復(fù)雜威脅及攻擊,；降低安全運(yùn)營的使用門檻和使用成本,，保護(hù)企業(yè)現(xiàn)有的安全投資，實(shí)現(xiàn)可持續(xù)的安全運(yùn)營,。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<