随着數字化轉型的深入,互聯網成為新的企業網絡,雲成為新的數據中心,傳統安全防禦的空域、對象、攻擊方式等均發生了根本性變化。因此,企業迫切需要新型的數字安全防禦思路和手段來應對數字安全新威脅。
日前,360 數字安全集團聯合 Gartner 發布了《新一代 XDR — 面向未來的數字安全防禦架構》白皮書,同時,憑借 XDR 創新技術入選嘶吼《中國網絡安全細分賽道發展與技術創新趨勢洞察報告》。
如何快速精準地感知風險、看見威脅、抵禦攻擊,是安全運營的核心難題。安全運營引入面向攻擊攻擊鍊的高質量多維數據關聯分析技術,即 XDR 技術,成為行業共識。
為此,嘶吼對 360 數字安全集團副總裁餘凱進行了采訪,就安全運營面臨的挑戰、XDR 的特點以及未來演進、360 XDR 技術優勢等話題進行了深度探讨。
落一子而全盤活
數字化轉型新形态下,企業業務應用呈現數字化、服務化、線上化的發展趨勢和特點,數字資産密集聯網,網絡邊界更加模糊,内外部威脅更加高級未知,保護核心數據資産面臨巨大挑戰。
《新一代 XDR — 面向未來的數字安全防禦架構》白皮書裡指出,現在數字時代面臨着外部和内部雙重安全壓力:外部威脅持續升級,造成告警風暴無法應對、高級威脅無法看見、安全事件難以處置等三大困境;内在固有脆弱性難以解決,存在安全人才奇缺、安全技術碎片化、運營流程無法量化改進等三大瓶頸。
在餘凱看來,安全運營需求有很多層次,對于大型組織而言," 假設失陷 " ( Assume-breach ) ," 敵已在我 " 是一個必須面對的高頻常态。客戶需要能力開放和可成長的一體化平台全面整合并激活既有縱深防禦體系上的衆多孤島産品。而無論是缺人還是告警風暴,還是碎片化、煙囪化的産品難以運營,它的本質和源頭是檢測黑洞的問題,通俗來講就是無法精準 " 看見 " 攻擊的問題;對于中小企業而言,面對勒索、黑産等現實壓力,急迫需要已被頭部驗證過的一體化開箱即用,簡單有效合規的高性價比安全運營産品和服務。
XDR 是破局上述安全運營挑戰," 落一子而全盤活 " 的關鍵技術。
為了解決 " 看見 " 的難題, XDR(Extended Detection And Response:擴展檢測響應)作為新興威脅檢測與響應架構一經提出便受到行業普遍關注,有望大幅提升安全運營效率和效能。XDR 的核心是攻擊鍊檢測,"X" 代表着以終端為起點的安全視野持續擴展。XDR 将特定供應商的多類安全産品,原生地集成到一個統一的安全運行系統中,共享安全大數據,提供一體化威脅檢測、告警管理和事件研判響應處置能力。360 XDR 産品以 " 打破安全孤島,實現有效的檢測與響應 " 的理念為驅動力,來解決數字時代新威脅格局下 " 看見 " 威脅的難題。
以 " 酸狐狸事件 " 為例,終端探針設備,采集終端上的進程、文件、注冊表以及敏感 API 調用等遙測數據,識别惡意軟件的植入、劫持、上傳數據等行為;流量探針設備,通過采集網絡會話的元數據,識别異常流量,發現諸如中間人攻擊、下載惡意軟件以及外連命令控制服務器等行為;360 XDR 可進一步關聯終端和流量數據,分析還原整個攻擊鍊路,方便安全團隊研判。
同時,能自動化提取威脅攻擊 IOC 和标記受害資産,預置的自動化預案自動調度防火牆對 C2 地址進行封禁,調度終端防護系統掃描受害主機隔離惡意文件。通過部署 360 XDR,企業能有效提高威脅檢測精度,大幅提升安全運營的效率,縮短 MTTD 和 MTTR。
未來的 XDR 的演進
傳統的單點安全技術工具正在形成新的安全孤島,如傳統 VPN 等甚至成為攻擊者的攻擊目标。傳統安全工具産生的越來越多的報警使得安全運維團隊筋疲力盡,海量的報警淹沒了真正重要的安全風險,為對手創造了更多的攻擊機會,導緻防與攻的差距不斷拉大。
未來的 XDR 将更加開放,通過對所有安全操作中的事件進行管理,并提供持續監控和分析,為零信任計劃的實施提供原生的決策支持。
360 多年以來在雲端發力成功實踐了基于海量大數據、威脅情報以及機器學習能力和雲計算框架支持的原生 XDR 技術,同時為企業提供基于 SaaS 的雲原生 XDR 服務。相信随着數字化轉型深入,國内大多數企業會逐漸擁抱雲原生的 XDR 技術和服務。
" 現在有些企業組織非常擔心,比如隔離問題,如何把數據開放出來去接受 SaaS,但這個趨勢是不會改變的。所謂是否支持 SaaS 化,本質上,在于是否能夠真正看到 SaaS 化帶來的收益改變。我們首先會通過原生 XDR 産品,讓中小客戶真正感受到 XDR 降本增效的價值。同時,在這個過程中,慢慢地将客戶引導到雲原生的 SaaS XDR 上面來,這也是國際上獲得廣泛共識并行之有效的選項 " 餘凱說到。
同時 XDR 開放框架将鼓勵社區力量進行聯防,鼓勵提供開放式 XDR 和大數據分析、威脅檢測、攻擊面管理、調查和響應等标準框架支持;該框架也将更廣泛的與托管安全服務提供商(MSSP)、托管檢測和響應服務(MDR)以及系統集成商(SI)等進行合作。
長遠看,XDR 将超越技術本身,成為數字安全通用架構,成為一種思想和哲學:即從對手視角出發,以結果為導向,以運營為中心,打破對手藏匿的筒倉和傳統安全工具的孤島,針對威脅而不是報警不斷優化快速 " 看見 " 和極速響應能力的方向不斷演進。
選擇一條 " 難而正确 " 的道路
"和國内大多數廠商相比,360 選擇了一條難而正确的道路,堅定地将 XDR 構建在 EDR 和大數據分析上。在 XDR 的探索上,360 本身擁有一個非常龐大的安全運營系統,再結合最佳實踐,在頭部行業最難的場景下先去落地。在技術路線上,360 和國際上行業的主流選擇是一緻的、趨同的。" 餘凱對嘶吼說道。
Gartner 最新發布的安全運營熱度曲線報告《Hype Cycle for Security Operations,2022》中指出,XDR 技術正處于 " 期望膨脹頂峰期 "(Peak of Inflated Expectation),市場關注熱度極高,相關的各項技術在行業中,均處于快速發展期。
餘凱強調,XDR 的起點是過硬的終端安全技術和大數據分析技術。可以看到,國際上優秀的 XDR 廠商,不管是 CrowdStrike 由 EDR 起家,再通過和 Humio 技術結合,或是 IBM 由 QRadar 收購新興終端安全廠商 ReaQta,或是 Elastic 收購 Endgame,還是微軟通過 Defender 和他的大數據系統整合,背後都反複地在證明一件事情,XDR 最原始的胚胎是由終端與大數據産生化學反應。
而在這個過程中,逐步豐富的 AI、攻防知識百科以及 BAS 安全評估等技術可以敏捷地叠代,将整個 XDR 技術變成紮實的系統性創新。XDR 是一項整合型、複合型技術,是硬核技術發展到高峰的自然成果。
在近 20 年的實戰中,360 進化獲得了行業内最強的終端安全技術和大數據分析技術基因,并逐步叠代形成七大核心優勢:EDR 上高質量事件的捕獲能力、全網安全大數據、運營商級大數據處理及靈活低代碼分析技術、AI 人工智能技術、創新智能安全評估 BAS 技術、360 APT 基因庫和攻防知識百科、世界頂級安全運營和對抗專家服務。
餘凱認為,其中,BAS 技術的本質和難處不在于功能,而是能不能夠持續地将知識化的攻擊技戰術和攻擊鍊重放出來,去針對安全縱深防禦系統做高效自動化的評估驗證。中間需要有兩個非常核心的技術:
一是有沒有全量的、足夠看到的攻擊的技戰術和攻擊鍊的知識庫積累,這是非常難于在短時間内一蹴而就的事情;二是能不能夠開放地接入和識别市面上衆多廠商的設備,類似于 SIEM 做安全管理的能力,是浮在水面之下 BAS 技術的挑戰。而在這點上,360 已經實踐了很長的時間,BAS 技術能真正地形成 XDR 的伴生技術,去驅動它的有效性。
" 未知攻,焉知防?現在國内大多數廠商事實上是由人直接在做引擎和産品的優化,中間是有斷檔的。安全人員往往沒有辦法直接參與到産品開發上,他們之間存在認知壁壘。國際上雖然公布了 ATT&CK 的标準,但内容并沒有公開。所以,我們的原則是模型兼容、内容自建、領域創新,慢慢地積累自己的一套攻防知識圖譜,這也是 360 XDR 得以領先背後不一樣的黑科技所在。" 餘凱說到。
