伴隨著對(duì)云計(jì)算的擁抱、新的DevOps流程的普及、物聯(lián)網(wǎng)設(shè)備的蔓延、供應(yīng)鏈的復(fù)雜交織以及更多數(shù)字基建的涌現(xiàn)，新一代網(wǎng)絡(luò)攻擊手段也在持續(xù)演進(jìn)，有效的威脅檢測(cè)與響應(yīng)能力作為重要的攻防手段，是提升實(shí)戰(zhàn)化對(duì)抗能力的關(guān)鍵因素。

　　安全419推出《高級(jí)威脅檢測(cè)與響應(yīng)解決方案》系列訪談選題，邀請(qǐng)相關(guān)安全廠商分享主動(dòng)感知、分析、防御、溯源高級(jí)威脅的成功經(jīng)驗(yàn)，及其方案服務(wù)的能力和特色，為企業(yè)用戶提升安全建設(shè)水平提供一定參考。

　　本期，我們走進(jìn)北京未來智安科技有限公司（以下簡(jiǎn)稱為“未來智安”），邀請(qǐng)到未來智安創(chuàng)始人兼CEO唐伽佳講解他們?cè)谠擃I(lǐng)域的觀察思考和能力輸出。

　　未來智安（XDR SEC）成立于2020年10月，專注于XDR擴(kuò)展威脅檢測(cè)響應(yīng)，為客戶提供精準(zhǔn)全面的網(wǎng)絡(luò)安全檢測(cè)、高效自動(dòng)化的威脅運(yùn)營(yíng)能力和產(chǎn)品方案。自2021年1月推出國(guó)內(nèi)首個(gè)XDR擴(kuò)展威脅檢測(cè)響應(yīng)系統(tǒng)以來，現(xiàn)已迭代至3.0版本，目前核心產(chǎn)品已在金融、能源、運(yùn)營(yíng)商等行業(yè)頭部客戶落地應(yīng)用。

　　高級(jí)威脅沒有固定套路 難以識(shí)別抗衡

　　面對(duì)不斷爆發(fā)的APT攻擊、勒索攻擊、超大規(guī)模數(shù)據(jù)泄露、波及范圍極廣的重大安全漏洞等類型眾多的安全事件，網(wǎng)絡(luò)空間的安全形勢(shì)變得岌岌可危。唐伽佳告訴我們，高級(jí)威脅之所以令人不安，在于其并沒有固定的攻擊手段或進(jìn)攻路徑，它或者形式多變、或者對(duì)抗性強(qiáng)、或者善于潛伏隱蔽、或者非常持久化。高級(jí)威脅是一個(gè)相對(duì)的概念，可能由于攻擊者手握0day不走尋常路，也可能在于目標(biāo)的防護(hù)基礎(chǔ)非常薄弱、存在明顯短板，當(dāng)防御一方無法識(shí)別檢測(cè)出威脅，攻擊一方最終繞過了防線，神不知鬼不覺地達(dá)到了破壞或竊取的目的，徒留受害者面面相覷。

　　兵無常勢(shì)，水無常形，攻防雙方一直是在對(duì)抗博弈中向前發(fā)展進(jìn)化的，唐伽佳根據(jù)未來智安的專業(yè)觀察和市場(chǎng)實(shí)踐總結(jié)了幾點(diǎn)趨勢(shì)：

　　//  攻擊呈現(xiàn)碎片化、復(fù)雜化。如今的攻擊者已經(jīng)具備比較全面的情報(bào)收集能力和分析能力，會(huì)使用更系統(tǒng)化的攻擊工具和更具針對(duì)性的攻擊手法，角度刁鉆、手段疊加、樣本多變，反映在安全事件層面則呈現(xiàn)出碎片化和復(fù)雜化的特點(diǎn)，攻擊行為不易被發(fā)現(xiàn)，在內(nèi)部橫向移動(dòng)提權(quán)感染多個(gè)點(diǎn)位，卻很難有效溯源分析出攻擊的全貌。

　　//  IT架構(gòu)演化導(dǎo)致攻擊入口增多。傳統(tǒng)的IT架構(gòu)逐漸向云端遷移，云計(jì)算環(huán)境涉及IT基礎(chǔ)硬件、操作系統(tǒng)以及業(yè)務(wù)系統(tǒng)等，虛擬機(jī)、微服務(wù)及容器的廣泛應(yīng)用讓傳統(tǒng)的設(shè)備邊界不再那么清晰，企業(yè)的資產(chǎn)暴露面顯著擴(kuò)大，導(dǎo)致攻擊入口增多而且愈加復(fù)雜。

　　// 單點(diǎn)防御能效低下。企業(yè)多年來跟隨其信息化發(fā)展而逐步建立的安全防護(hù)體系已呈堆疊之勢(shì)，網(wǎng)絡(luò)側(cè)、主機(jī)側(cè)、應(yīng)用側(cè)都部署了不同的檢測(cè)、防御、監(jiān)控、誘捕等功能的產(chǎn)品，大量異構(gòu)產(chǎn)品各自聚焦于單點(diǎn)的檢測(cè)，缺乏統(tǒng)一的安全策略，上下文缺失，給運(yùn)營(yíng)人員帶來大量告警，效率低，準(zhǔn)確率低，而云化環(huán)境中故障域的耦合更加緊密，針對(duì)問題根源的判斷十分困難。

　　// 突發(fā)安全事件波及廣、影響深。類似log4j漏洞、SolarWinds攻擊等影響范圍巨大的安全事件如今發(fā)生得越來越頻繁，開源軟件的廣泛使用、各行業(yè)供應(yīng)鏈的成熟導(dǎo)致基礎(chǔ)框架、組件爆發(fā)漏洞極易引起漣漪效應(yīng)。這類事件往往讓企業(yè)猝不及防，沒有有效的手段發(fā)現(xiàn)并處置風(fēng)險(xiǎn)。

　　單點(diǎn)安全檢測(cè)及防御能力面臨瓶頸

　　IT環(huán)境、技術(shù)的發(fā)展讓攻擊手段不斷進(jìn)化、安全形勢(shì)日益嚴(yán)峻，相應(yīng)的，威脅檢測(cè)與響應(yīng)技術(shù)也在不停更迭。

　　最初的IDS（Intrusion Detection System，入侵檢測(cè)系統(tǒng)）用于檢測(cè)網(wǎng)絡(luò)流量上的行為、數(shù)據(jù)特征等，如果防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓的監(jiān)視系統(tǒng)。由于IDS只是被動(dòng)地收集報(bào)文，并利用內(nèi)置的入侵知識(shí)庫(kù)與這些流量特征進(jìn)行分析比對(duì)，很難定位真正的威脅或?qū)崿F(xiàn)閉環(huán)處置，IPS（Intrusion Prevention Systems，入侵防御系統(tǒng)）應(yīng)運(yùn)而生，傾向于提供主動(dòng)防護(hù)，預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，而不是簡(jiǎn)單地在惡意流量傳送時(shí)發(fā)出警報(bào)。

　　在基于規(guī)則庫(kù)匹配之余，NTA（Network Traffic Analysis，網(wǎng)絡(luò)流量分析）通過監(jiān)控網(wǎng)絡(luò)流量、連接和對(duì)象來識(shí)別惡意的行為跡象，彌補(bǔ)傳統(tǒng)檢測(cè)設(shè)備重檢測(cè)、輕分析的缺陷。隨后出現(xiàn)的NDR（Network Detection and Response，網(wǎng)絡(luò)威脅檢測(cè)與響應(yīng)）進(jìn)一步升級(jí)，檢測(cè)能力融合機(jī)器學(xué)習(xí)、威脅情報(bào)等多維度的能力，并增加了響應(yīng)與防御功能。

　　威脅不僅出現(xiàn)在網(wǎng)絡(luò)流量側(cè)，硬件、服務(wù)器、中間件等主機(jī)終端同樣需要重視。傳統(tǒng)的殺毒軟件以及HIDS（Host-based Intrusion Detection System，主機(jī)型入侵檢測(cè)系統(tǒng)）主要采用特征庫(kù)比對(duì)的檢測(cè)模式，很難應(yīng)對(duì)病毒軟件的變種和繞過。EDR（Endpoint Detection & Response，端點(diǎn)檢測(cè)與響應(yīng)）作為主機(jī)側(cè)的安全利器，多通過人工智能引擎和威脅情報(bào)賦予終端更為精準(zhǔn)、持續(xù)的檢測(cè)，同時(shí)增強(qiáng)防護(hù)屬性，發(fā)出告警的同時(shí)也會(huì)自動(dòng)智能響應(yīng)處理掉惡意行為。

　　“而問題在于”，唐伽佳說道，“攻擊本身不是割裂的，這些單點(diǎn)性的安全產(chǎn)品形成了孤島式的安全能力，海量告警無法全面看清終端側(cè)和網(wǎng)絡(luò)側(cè)的威脅狀況，難以溯源到真正的攻擊全貌?！?/p>

　　未來智安XDR：告訴客戶一個(gè)完整的攻擊故事，并快速響應(yīng)和處置

　　在這樣的背景下，安全研究人員開始嘗試把端和網(wǎng)，以及包括郵件、云端、沙箱等的數(shù)據(jù)結(jié)合在一起進(jìn)行系統(tǒng)化、全局化的威脅檢測(cè)，于是XDR（Extended Detection And Response，擴(kuò)展檢測(cè)與響應(yīng)）技術(shù)理念應(yīng)運(yùn)而生。

　　在唐伽佳看來，“X”所代表的擴(kuò)展屬性，強(qiáng)調(diào)由孤立單點(diǎn)式威脅檢測(cè)過渡到基于更多上下文數(shù)據(jù)，進(jìn)行全面威脅檢測(cè)的整體安全思路的轉(zhuǎn)變。XDR不再單純依賴于端點(diǎn)、網(wǎng)絡(luò)或其他安全設(shè)備進(jìn)行告警發(fā)現(xiàn)和安全事件的標(biāo)記，重視底層的數(shù)據(jù)變化，比如主機(jī)上的權(quán)限變更、文件變更、賬號(hào)體系變更、系統(tǒng)負(fù)載的變化等，從而研判企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，為企業(yè)安全運(yùn)營(yíng)帶來完整的上下文和可見性。最終，通過XDR告訴客戶一個(gè)完整的攻擊故事，并快速響應(yīng)和處置。

　　圖：未來智安XDR具有完備的流程機(jī)制，實(shí)現(xiàn)威脅追蹤溯源

　　打破威脅檢測(cè)盲點(diǎn)

　　對(duì)于企業(yè)客戶來說，能全面發(fā)現(xiàn)威脅依然是最核心的訴求，單點(diǎn)的攻擊路徑或者攻擊模式并不能展示完整的結(jié)果。唐伽佳表示，強(qiáng)大的數(shù)據(jù)采集和遙測(cè)、以及針對(duì)大數(shù)據(jù)的關(guān)聯(lián)索引能力成為保障XDR威脅檢測(cè)能力的基礎(chǔ)，未來智安XDR針對(duì)資產(chǎn)提供細(xì)粒度監(jiān)控和全局安全感知，并從外部入口到內(nèi)部資產(chǎn)、再到應(yīng)用環(huán)境進(jìn)行風(fēng)險(xiǎn)發(fā)現(xiàn)與研判。

　　在檢測(cè)能力上，未來智安XDR平臺(tái)內(nèi)置基于主機(jī)的EDR檢測(cè)能力與基于流量的NDR威脅檢測(cè)能力，基于豐富的遙測(cè)數(shù)據(jù)更細(xì)粒度的感知底層數(shù)據(jù)變化從而研判用戶側(cè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，實(shí)現(xiàn)跨端跨流量的立體化威脅檢測(cè)，為安全運(yùn)營(yíng)帶來完整的上下文和威脅的可見性。通過XDR平臺(tái)的前置CEP流式實(shí)時(shí)檢測(cè)引擎和基于離線的場(chǎng)景化檢測(cè)能力，同時(shí)利用端點(diǎn)告警、端點(diǎn)行為日志、流量告警、流量日志、資產(chǎn)等數(shù)據(jù)，并采用專利性的基于大數(shù)據(jù)挖掘的智能化事件分析引擎（AiE），自動(dòng)將每天千萬(wàn)級(jí)零散告警生成跨終端跨網(wǎng)絡(luò)的幾十條完整攻擊事件（Incident），攻擊檢測(cè)有效性提升百倍以上，實(shí)現(xiàn)全面的攻擊鏈檢測(cè)，讓威脅不存在檢測(cè)盲點(diǎn)。

　　持續(xù)感知精確溯源

　　識(shí)別與檢測(cè)是第一步，能持續(xù)地感知風(fēng)險(xiǎn)變化并精確地溯源攻擊是XDR防護(hù)有效的保障。未來智安XDR圍繞ATT&CK覆蓋了近萬(wàn)條威脅檢測(cè)規(guī)則，這些檢測(cè)規(guī)則在傳統(tǒng)的基于靜態(tài)檢測(cè)、基于特征檢測(cè)的安全防護(hù)能力的產(chǎn)品中是不具備的。

　　并且基于其自研的告警治理引擎，利用主機(jī)側(cè)EDR、流量側(cè)NDR及相關(guān)資產(chǎn)數(shù)據(jù)圍繞攻擊鏈進(jìn)行攻擊事件回溯?？苫诠羰录蘒ncident出發(fā)進(jìn)行攻擊事件的調(diào)查分析，可圍繞多維度的攻擊線索展開攻擊行為上下文、進(jìn)程鏈等內(nèi)容分析，有效解決溯源難問題，且大大提高攻擊溯源效率。

　　提高安全運(yùn)營(yíng)效率

　　無論是看見威脅還是處置風(fēng)險(xiǎn)，重要的是讓安全團(tuán)隊(duì)可以常態(tài)化地運(yùn)營(yíng)起來，發(fā)現(xiàn)高價(jià)值的告警，看清攻擊的本質(zhì)，以提升整體的安全防護(hù)能力。除原生的未來智安EDR、NDR之外，未來智安XDR支持接入其他異構(gòu)安全設(shè)備的數(shù)據(jù)并進(jìn)行統(tǒng)一管理。告警治理引擎利用資產(chǎn)關(guān)聯(lián)、不同安全設(shè)備間的數(shù)據(jù)進(jìn)行告警的數(shù)據(jù)互補(bǔ)、互糾來完成告警核實(shí)、告警Alert到攻擊事件Incident的提升，從而降低告警數(shù)量。同時(shí)利用SOAR技術(shù)針對(duì)不同類型的威脅告警進(jìn)行告警的自動(dòng)化分析核實(shí)及告警的歸并，有效降低告警量及告警誤報(bào)率。

　　基于SOAR的安全編排與自動(dòng)化響應(yīng)處置能力，還可完成不同攻擊類型、不同攻擊場(chǎng)景的告警及攻擊事件的應(yīng)急預(yù)案，通過任務(wù)編排的方式以自動(dòng)化或半自動(dòng)化運(yùn)行，提高攻擊事件的處置效率。另外還提供作戰(zhàn)指揮室，通過統(tǒng)一的協(xié)同工作界面高效進(jìn)行攻擊事件調(diào)查任務(wù)的派發(fā)、多人協(xié)同調(diào)查，大大降低人工運(yùn)維壓力。

　　據(jù)唐伽佳介紹，經(jīng)市場(chǎng)落地驗(yàn)證，未來智安XDR將威脅事件運(yùn)營(yíng)效率從小時(shí)級(jí)提高到分鐘級(jí)，運(yùn)營(yíng)效率提升8倍以上；開放靈活的集成能力可保證客戶在已有安全平臺(tái)架構(gòu)之上落地可行的方案，降低成本44%，顯著提升投資回報(bào)率。

　　XDR引領(lǐng)未來安全發(fā)展方向

　　從國(guó)際前沿的應(yīng)用經(jīng)驗(yàn)來看，檢測(cè)響應(yīng)類產(chǎn)品已經(jīng)成為企業(yè)標(biāo)配，海量誤報(bào)以及檢測(cè)盲點(diǎn)問題突出，而XDR是威脅檢測(cè)與響應(yīng)技術(shù)的一次進(jìn)化，為當(dāng)下組織的安全運(yùn)營(yíng)提供最直接、最核心的安全價(jià)值，并能全面綜合性地解決用戶在威脅檢測(cè)和安全運(yùn)營(yíng)兩大層面面臨的挑戰(zhàn)，惠及組織未來的安全體系建設(shè)。

　　唐伽佳表示，XDR理念和技術(shù)的出現(xiàn)及當(dāng)前的熱潮，正是為了更好地解決愈加頻繁且復(fù)雜的高級(jí)威脅所引發(fā)的安全挑戰(zhàn)，但價(jià)值需要通過更多實(shí)際的應(yīng)用去驗(yàn)證和展現(xiàn)。作為安全廠商，需要始終站在用戶的角度去思考并解決問題，XDR能力的核心，也正是目前企業(yè)安全建設(shè)體系中的痛點(diǎn)的良藥——用統(tǒng)一的解決方案更快、更全面、更精準(zhǔn)地檢測(cè)威脅和自動(dòng)化響應(yīng)處理威脅事件；實(shí)現(xiàn)對(duì)整個(gè)資產(chǎn)、攻擊面、威脅態(tài)勢(shì)的全面可視化，及時(shí)發(fā)現(xiàn)高級(jí)復(fù)雜威脅及攻擊；降低安全運(yùn)營(yíng)的使用門檻和使用成本，保護(hù)企業(yè)現(xiàn)有的安全投資，實(shí)現(xiàn)可持續(xù)的安全運(yùn)營(yíng)。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<