數(shù)字化技術(shù)的不斷發(fā)展，讓網(wǎng)絡(luò)攻擊變得更加隱蔽和復(fù)雜。

　　面對內(nèi)在脆弱性與外部威脅升級的雙重挑戰(zhàn)，企業(yè)試圖買辦一個機械化兵團，期待有一招制敵的能力。而現(xiàn)實是“多兵種配置”帶來的問題往往多到超出想象，更何況想要指揮運轉(zhuǎn)這個兵團更不容易。

　　于是越來越多的企業(yè)開始思考，在高級威脅隨時“空降”的高壓之下，應(yīng)該如何在解決現(xiàn)有矛盾的基礎(chǔ)上提升關(guān)乎生命線的“應(yīng)考”能力？

　　日前，在第十屆互聯(lián)網(wǎng)安全大會（ISC 2022）上，360數(shù)字安全集團副總裁余凱在演講時談到，XDR是實現(xiàn)企業(yè)安全運營“落一子而全盤活”的核心技術(shù)。

　　會后，安全419采訪到了余凱，邀請他就當前業(yè)內(nèi)XDR發(fā)展現(xiàn)狀、360 XDR自身的技術(shù)優(yōu)勢，圍繞威脅檢測技術(shù)的過去、現(xiàn)在和未來分享了他自身的理解和洞察。

　　安全運營三大挑戰(zhàn)

　　人員缺口大、產(chǎn)品碎片化、效果難度量

　　余凱首先拋出了他的觀點：當前安全運營面臨的挑戰(zhàn)實際上也是整個安全行業(yè)面臨的三大挑戰(zhàn)，人、技術(shù)和流程，人、技術(shù)和流程。

　　在人才方面，攻防經(jīng)驗難以沉淀和安全人才培養(yǎng)難度大導(dǎo)致甲方長期缺乏安全運營專家，在重大活動保障期間只能臨時召集大量人員。但臨時拼湊的散裝戰(zhàn)隊水平參差不齊，難以持續(xù)維持安全運營質(zhì)量。

　　在技術(shù)方面，購買大量安全產(chǎn)品的眾多客戶也面對著此起彼伏的告警風(fēng)暴，真正面對攻擊卻還是后知后覺。試想，近期暴露的思科遭遇勒索事件，如果換成自己能及時看見并快速止損嗎？

　　在流程和管理方面，很多企業(yè)經(jīng)過多年安全建設(shè)，依然難以回答哪些產(chǎn)品真的有用？自身缺乏哪方面的能力？同行發(fā)生的事故發(fā)生在自己身上能抵御嗎？未來應(yīng)該將預(yù)算優(yōu)先投資到哪個品類上？舊的方案很難量化、顯性地回答這些問題。

　　余凱指出，事實上無論是安全人員的短缺還是安全產(chǎn)品的碎片化，其背后的出發(fā)點仍然是想要解決“看不見高級威脅”和“告警風(fēng)暴”這兩大核心矛盾。

　　“在我看來，安全運營既是一個管理問題也是一個技術(shù)問題，技術(shù)層面解決得不好，就會持續(xù)地加重管理負擔和管理成本。想要真正提升安全運營的效率，應(yīng)該嘗試從根源上著手解決痛點?！?/p>

　　將上述三個挑戰(zhàn)拆解后可以發(fā)現(xiàn)，它們之間彼此影響，環(huán)環(huán)相扣。人的挑戰(zhàn)根因是：

　　01 安全建設(shè)較好的企業(yè)建立了安全運營團隊，但是小團隊的攻防認知上限決定了運營能力的天花板，個人最高水平成為團隊的峰值。

　　02 一方面安全建設(shè)碎片化堆砌了大量單品，為了對告警做出響應(yīng)甲方需要大量的人來進行分段研判、處置這些碎片化的線索，重保期間更甚。

　　03 安全專家本來就難以招募，經(jīng)過培養(yǎng)后流動性大，成為企業(yè)難以提升運營能力的攔路虎。

　　而產(chǎn)品和技術(shù)挑戰(zhàn)背后是攻防對抗不可能止于邊界。沒有攻不破的網(wǎng)絡(luò)，假定失陷（assume breach），敵已在我是不得不接受的現(xiàn)實。堆盒子的傳統(tǒng)模式其實是事件驅(qū)動的思路，當出現(xiàn)某個隱患或熱點時就增加一種設(shè)備來應(yīng)對。從效果看收效已不及預(yù)期。

　　最后，也是最核心問題是：在具備人和技術(shù)的條件后，如何通過流程方式來驅(qū)動和串聯(lián)二者，使的真正提高安全運營能力？對于CSO來說，運營工作并不陌生但一直沒有很好地解決如何量化落地的問題。事實上面向合規(guī)建設(shè)能夠回答有或者沒有，卻無法明確運營有效性的問題，最終導(dǎo)致企業(yè)無法看到自身的短板，陷入了不知道如何持續(xù)改進的痛苦境地。

　　這三個問題其實相互糾纏的，不能孤立地解決。將人、技術(shù)和流程的問題進行整體看待進而尋求系統(tǒng)化設(shè)計才能抓住根本?！傲?xí)慣上大家有個說法”3分技術(shù)7分管理“，我們很贊同安全運營并不是技術(shù)與管理的割裂，但是非?？粗毓芾硎且驗橐酝狈玫淖ナ?，缺乏緩解人才匱乏問題的技術(shù)，只能通過加強管理來補位。新的技術(shù)加持下，通過技術(shù)來引導(dǎo)管理體系的建設(shè)，管理保障技術(shù)的落地才是一個良性關(guān)系?！?/p>

　　“大家都說現(xiàn)在安全廠商不賺錢，我認為不賺錢的本質(zhì)原因在于大家還沒有解決‘看見’的問題，如果能夠幫助企業(yè)看見威脅的話，那么一系列安全問題就可以通過流程、預(yù)案、組織、自動化甚至是強制解決的。正因為大家看不見或看不清威脅，安全就形成了一個黑洞，企業(yè)不知道還要在看見威脅這件事情上花費多少資源。很多時候就是因為不知道如何看見威脅，就只能盲目投入，只好不停地買設(shè)備，不停地投入安全專家去看無效的告警。但事實上，專家應(yīng)該做的是跟和黑客對抗的事情，而不是去處理告警?！?/p>

　　他表示，每一次科技革命本質(zhì)上都是通過一個技術(shù)創(chuàng)新高效地解決過去一個很費錢或者是投入資源太大的問題，而360正是想通過自身的探索和實踐，更高效地解決「看見」的問題，讓整個安全的投入變得更加可控?！拔磥戆踩度氩灰欢〞苄?，但它一定不是無底洞?！?/p>

　　XDR是數(shù)據(jù)質(zhì)量與規(guī)模質(zhì)變

　　而激發(fā)的能力質(zhì)變

　　為了解決「看見」的難題，XDR（Extended Detection And Response：擴展檢測響應(yīng)）作為一個新興的威脅檢測技術(shù)闖入了產(chǎn)業(yè)界的視野，受到行業(yè)普遍關(guān)注。

　　根據(jù) Gartner 的定義，XDR是一個安全平臺，將特定供應(yīng)商的多個安全產(chǎn)品，原生地集成到一個統(tǒng)一的安全運行系統(tǒng)中。在 Gartner 新發(fā)布的《擴展檢測和響應(yīng)的市場指南》中，已經(jīng)將 XDR 技術(shù)擴展至 EDR、NDR、SWG、UTM等能力的綜合體。

　　因此，XDR 中的“X”代表著以終端為起點的安全視野的持續(xù)擴展，結(jié)合數(shù)據(jù)湖技術(shù)、自動化編排技術(shù)及安全分析技術(shù)，形成面向多種甚至未知安全場景的綜合性安全解決方案。

　　想要打造出一款真正有效的XDR產(chǎn)品，更高效地解決「看見」的問題，數(shù)據(jù)無疑是一切的前提。當前，數(shù)據(jù)已經(jīng)成為了數(shù)字經(jīng)濟的關(guān)鍵生產(chǎn)要素，在安全的語境下，數(shù)據(jù)驅(qū)動安全在安全行業(yè)中也已成為共識。但在數(shù)據(jù)驅(qū)動安全的背后，？？數(shù)據(jù)的質(zhì)量顯然成為了關(guān)鍵成功因素。

　　換而言之，當采集數(shù)據(jù)這件事情變成？？共識的時候，采集什么數(shù)據(jù)就變得至關(guān)重要。高質(zhì)量的數(shù)據(jù)采集，是讓數(shù)據(jù)分析行為更加高效的必要條件。如果對于對到底要采集什么樣的數(shù)據(jù)沒有清晰的洞察和認知的話，就會陷入一個誤區(qū)，讓一堆的無效的垃圾數(shù)據(jù)占據(jù)大量的計算資源，幾乎無法從中發(fā)現(xiàn)有效的信息。

　　因此余凱提出，采集何種數(shù)據(jù)應(yīng)該由實戰(zhàn)定義。

　　他表示，“實戰(zhàn)定義數(shù)據(jù)的本質(zhì)是明確我們要去做什么樣的分析，？？我們到底要去檢測什么樣的攻擊。這背后的？？核心在于，在過去的這么多年里，我們到底有沒有看過足量的攻擊，有沒有看過？？歷史上一路走來攻擊方式的演變路徑。？正所謂”實踐是檢驗真理的唯一標準“，只有看過了足夠多的攻擊實例，同時以一種相對系統(tǒng)化的方式，把這些攻擊實例以知識化的方式把它沉淀記錄下來，我們才有可能？？針對每一個攻擊的手法、技戰(zhàn)術(shù)，去判斷如果我要去識別這個攻擊手法，我應(yīng)該如何有效地去采集數(shù)據(jù)。？”

　　利用大數(shù)據(jù)技術(shù)是當下解決安全運營的主要方法之一，無論采集多少數(shù)據(jù)一個企業(yè)僅可以形成具備自我視角的“小數(shù)據(jù)”，但具備全行業(yè)乃至全國視角的真“大數(shù)據(jù)”是企業(yè)難以實現(xiàn)的。只有“小數(shù)據(jù)”+真“大數(shù)據(jù)”相結(jié)合才是未來的解決思路。

　　在360的視角看來，在全網(wǎng)全球超大規(guī)模海量數(shù)據(jù)中看到每一次攻擊活動都是一條“攻擊殺傷鏈”，當前多數(shù)組織部署的安全產(chǎn)品及其構(gòu)建的縱深防御體系之所以檢測與響應(yīng)能力不足，其根源在于大數(shù)安全產(chǎn)品都是在基于某一個技術(shù)點去做檢測和防御，沒有形成對攻擊殺傷鏈全景的視角。

　　余凱將這種防守方式比喻為“盲人摸象”，單個的安全產(chǎn)品只能在某個點上去做檢測，導(dǎo)致無法看到事件的全貌，自然難以對抗高級威脅的入侵。因此他再次強調(diào)這一觀點，只有系統(tǒng)性地將過去的攻擊實例以知識化的方式沉淀記錄下來，再基于技戰(zhàn)術(shù)去做推演，才能夠真正明確一條攻擊殺傷鏈涉及哪些資產(chǎn)、哪些漏洞，需要采集哪些數(shù)據(jù)來做檢測，而哪些安全設(shè)備能夠提供這樣的數(shù)據(jù)等等，做出一系列推演。

　　“安全行業(yè)常常講以攻促防或者未知攻焉知防，它其實不是一個自然而然的邏輯，不是說你懂了攻，？？你就一定能懂防，而是說你懂了攻，你能不能夠系統(tǒng)性地整理攻擊的知識。？？因為你有一套將攻擊的知識轉(zhuǎn)換成為防御策略的？？方法論和產(chǎn)品驗證的方式，最終才能夠真正地做到以攻促防?！?/p>

　　因此，360基于過去17年專注網(wǎng)絡(luò)安全技術(shù)產(chǎn)品和服務(wù)，以及在安全大數(shù)據(jù)、知識庫、安全專家方面的積累，將過往看到的APT攻擊、黑客滲透、惡意軟件等多種威脅事件分門別類地進行了梳理和沉淀，圍繞每一條攻擊殺傷鏈的全過程，包括入侵，橫移、逃逸、竊取數(shù)據(jù)每一個過程記錄和整理出來，形成了360核心的攻防知識圖譜，而這套知識圖譜也是驅(qū)動360 XDR不斷成長和進化的核心資源。？？

　　“根據(jù)360記錄的這些技戰(zhàn)術(shù)，我們就可以去明確，針對這些技戰(zhàn)術(shù)我需要怎樣的數(shù)據(jù)源，？？如何去做檢測分析，如何準備應(yīng)急預(yù)案。同時因為我們看過這些攻擊，便可以將這些攻擊通過一種？？滅活重放的方式去做覆蓋性的評測，通過一套系統(tǒng)性的方式？？去度量企業(yè)的縱深防御體系下面的每個安全產(chǎn)品，在對應(yīng)的那個點上面有沒有成功抵擋到攻擊？？殺傷鏈上本應(yīng)該擋住的那一環(huán)，這個時候就形成了一個度量標準，以這樣的方式去幫助企業(yè)在根因上面去看見差距，持續(xù)改進?！?/p>

　　余凱將這個度量和驗證能力稱為“抗攻擊能力評估”，當前國際上一線的安全廠商，都已經(jīng)具備了類似的能力，而微軟正是其中的佼佼者。

　　作為當前全球隱形的網(wǎng)絡(luò)安全巨頭，雖然微軟并未對外界過多宣講自家XDR產(chǎn)品，但事實上微軟看到的這些攻擊實例要遠遠超過常人所想，通過它的操作系統(tǒng)和云服務(wù)，微軟能夠拿到的？？數(shù)據(jù)量級也超乎所想。海量的威脅數(shù)據(jù)決定了微軟能夠站在更高的山巔上，以更高維度的視野俯瞰全貌，進而更全面的構(gòu)建自身XDR的完整體系，這一優(yōu)勢是其他中小規(guī)模廠商所無法比擬的，而這也與360一路走來20年實踐殊途同歸。

　　XDR能為我們做什么？

　　360 XDR如何做到落一子而全盤活？

　　在過往的威脅檢測與響應(yīng)技術(shù)中，NDR（網(wǎng)絡(luò)威脅檢測與響應(yīng)）的出現(xiàn)彌補了傳統(tǒng)IDS/IPS安全解決方案留下的網(wǎng)絡(luò)側(cè)安全盲點，用更先進的分析技術(shù)來檢測網(wǎng)絡(luò)可疑流量，極大的提升了檢測和阻止網(wǎng)絡(luò)威脅的能力。

　　EDR（端點安全檢測與響應(yīng)）的出現(xiàn)，因為終端能獲得高質(zhì)量數(shù)據(jù)，并壓倒性覆蓋攻擊殺傷鏈的關(guān)鍵技戰(zhàn)術(shù)，則更直接有效增強了企業(yè)「看見」威脅的能力。

　　而XDR的誕生，則實現(xiàn)了對NDR、EDR、SIEM、SOAR等安全產(chǎn)品的有機整合，在各臺設(shè)備傳輸過來的安全大數(shù)據(jù)賦能下，XDR能夠比任何一個安全設(shè)備都更快、更深入、更有效的實現(xiàn)檢測與響應(yīng)威脅，從更廣泛的來源收集和整理數(shù)據(jù)，以更高的全局視角看清每一次攻擊殺傷鏈的全貌。

　　余凱表示，過去大家沒辦法將攻擊手法、攻擊實例一條條地梳理積累下來，就很難工程化的去做產(chǎn)品，這樣就會造成對于安全專家個人能力的依賴，需要某一個人來指出，當前哪里存在風(fēng)險需要加固、發(fā)現(xiàn)了哪幾個高危動作可能存在攻擊風(fēng)險等等。但在攻防知識圖譜的賦能下就能夠做出一款工程化的XDR產(chǎn)品，根據(jù)這套知識庫去做持續(xù)的更新，去評估和驗證整個產(chǎn)品布防體系有效性。

　　“抗攻擊能力評估帶給我們的價值是，當一次新的攻擊事件發(fā)生后，我能夠迅速地通過滅活重放的方式做覆蓋性評測，去驗證當前的防御力量到底夠不夠強大？是不是每一個安全設(shè)備都采集到了它需要的數(shù)據(jù)，檢測到了它需要檢測到的攻擊？如果沒有，我需要補充什么樣的能力到XDR體系？”

　　余凱將這個過程比喻為高考，在這場關(guān)乎企業(yè)生命線的大考真正到來之前，每一名合格的考生首先應(yīng)該做的事情是不斷地刷題，把往屆考過的每一個知識點都掌握得爛熟于心。

　　“我們可能會問，在屬于我們自己的考卷中一定會碰到之前刷過的題型嗎？不一定。但至少刷過的這些題型會讓你更有底氣。但我們行業(yè)中無論是安全的甲方還是乙方，大家都沒有認真地經(jīng)歷這個刷題的過程，換句話說，大家都在猜題?！?/p>

　　他認為，安全的甲方應(yīng)該在安全建設(shè)中做到有所為有所不為，通俗來講就是，甲方安全負責(zé)人應(yīng)該只采購“與我相關(guān)”的安全產(chǎn)品，去驗證“與我相關(guān)”的工具和攻擊，去修補“與我相關(guān)”的漏洞，去優(yōu)化“與我相關(guān)”的XDR縱深防御檢測與相應(yīng)體系。

　　如果缺乏這一套攻防知識驅(qū)動，持續(xù)迭代優(yōu)化的XDR技術(shù)，企業(yè)就會陷入到最初探討的三大挑戰(zhàn)中，需要依賴安全專家個人的能力，但有經(jīng)驗的安全專家可遇而不可求；只能去猜測自己需要哪些安全產(chǎn)品盲目采購，帶來告警風(fēng)暴的難題；而缺乏度量評估改進則又無法站在巨人的肩上看到高級威脅。

　　因此余凱認為，安全專家應(yīng)該從海量的告警工單中的得到解放，并重新回到與攻擊者高效對抗的維度上來，而這依賴當前安全運營體系可以自動化應(yīng)對龐雜的史上曾經(jīng)發(fā)生的分門別類各種攻擊行為，也就是“與我相關(guān)”的實戰(zhàn)題庫。

　　針對龐大的“實戰(zhàn)題庫”，360 XDR在落地的過程中如何打通各個廠商之間的數(shù)據(jù)壁壘，做到“落一子而全盤活”？

　　余凱介紹，為了解決用戶本地安全產(chǎn)品各自為戰(zhàn)的痛點，360目前已經(jīng)探索總結(jié)出來了一套賦能安全廠商的數(shù)據(jù)標準。簡單來說，360打造了一個安全分析工具作為中間件，通過這個中間件將用戶本地各種產(chǎn)品各種品牌的設(shè)備協(xié)同起來，幫用戶做統(tǒng)一分析，并且把360多年積累的大數(shù)據(jù)、分析研判、高級威脅情報等能力直接賦能給用戶，來自各家廠商的這些網(wǎng)絡(luò)安全設(shè)備的流量、日志、告警、樣本文件等都可以收集到這一套安全分析平臺進行分析。同時以抗攻擊能力評估做整體效能度量和優(yōu)化改進。

　　360正在向所有的生態(tài)合作伙伴免費提供這套分析平臺，通過鏈接這個分析平臺，安全廠商能夠把數(shù)據(jù)？？共享到我們的分析平臺上面，與360形成一個作戰(zhàn)體系閉環(huán)。目前該平臺已經(jīng)支持國內(nèi)外主流的二三百家安全廠商的上千種設(shè)備。

　　通過這樣的方式，360正在快速地推動形成這套數(shù)據(jù)標準化的生態(tài)，推動這個生態(tài)下的每家安全廠商在開發(fā)時有規(guī)范，保證產(chǎn)品落地后的效果。

　　XDR未來在何方？要到哪里去？

　　作為一項新興技術(shù)，盡管XDR已經(jīng)在國內(nèi)外成為行業(yè)主流選項，但仍然處于技術(shù)發(fā)展百家爭鳴探索階段，未來還存在廣闊的提升空間。在采訪最后，我們邀請余凱就XDR未來將向哪些方向拓展的話題分享了自己的看法。

　　余凱表示，一個優(yōu)秀的XDR方案是終端安全技術(shù)、大數(shù)據(jù)分析技術(shù)、？？抗攻擊能力評估技術(shù)以及攻防知識庫建設(shè)發(fā)展到高峰的一個自然成果。這四項支柱型核心技術(shù)是一個XDR廠商能夠看清攻擊殺傷鏈的先決條件。同時，也只有先將這四項技術(shù)做深做實，才能夠去討論下一步XDR發(fā)展方向的話題。

　　在他看來，下一步XDR技術(shù)將會與資產(chǎn)以及全網(wǎng)情報數(shù)據(jù)深度結(jié)合，并向云地一體化運營轉(zhuǎn)變。持續(xù)提升“看見”威脅能力和對抗效率。

　　攻擊殺傷鏈的核心是威脅、資產(chǎn)和漏洞。因此，將資產(chǎn)攻擊面管理引入到XDR中形成作戰(zhàn)地圖十分重要?！叭绻髽I(yè)能夠詳細掌握自身的資產(chǎn)情況，那么當一次攻擊事件發(fā)生時，結(jié)合資產(chǎn)的情況能判斷攻擊事件從哪里來，進行到了哪里，當前的影響面是怎樣的，接下來還有多少資產(chǎn)可能存在風(fēng)險，以及應(yīng)該迅速做出什么樣的應(yīng)對方案及時止損，確保核心資產(chǎn)的安全性得到保障。”？？

　　在全網(wǎng)情報數(shù)據(jù)的維度上，假使能夠?qū)⒚恳淮喂羰录c攻擊者畫像相結(jié)合，并通過全網(wǎng)情報數(shù)據(jù)了解到攻擊者常用的工具、技戰(zhàn)術(shù)、過往或正在實施的攻擊活動等，那么就能夠在第一時間根據(jù)相關(guān)信息調(diào)整事件等級、調(diào)配所需投入的資源，應(yīng)急響應(yīng)力度，在整個攻擊事件中搶到先機。

　　云地一體化運營的關(guān)鍵是將“看見”威脅的不確定性進一步依賴云端以更廣視野，更大資源和更強能力解決。托管檢測和響應(yīng)（MDR, managed XDR）可以最大限度提升安全運營效率效能。

　　“全網(wǎng)情報數(shù)據(jù)能夠告訴我們，與攻擊者畫像相關(guān)的一切信息，他可能是誰，他所在的地域、常用的武器和攻擊方式。而資產(chǎn)就是本次攻擊殺傷鏈所在的戰(zhàn)場。安全終究是要回到攻防上面來，而只有知己知彼方能百戰(zhàn)不殆?！?/p>

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<