攻防兩端 看安全挑戰(zhàn)

在網(wǎng)絡(luò)安全行業(yè)，技術(shù)要解決的實(shí)際問(wèn)題里，我們面臨著兩端的挑戰(zhàn)。從攻方的視角來(lái)看，第一個(gè)階段要確定目標(biāo)，攻擊者需要收集各種攻擊的目標(biāo)、攻擊的資產(chǎn)，這是確定目標(biāo)的階段。第二個(gè)階段是要漏洞探測(cè)，找到可利用的攻擊點(diǎn)，構(gòu)建所謂的攻擊武器。第三個(gè)階段是要做載荷的投遞，有了風(fēng)險(xiǎn)點(diǎn)和攻擊利用點(diǎn)之后，把攻擊武器做攻擊利用。第四個(gè)階段是突防利用。第五個(gè)階段是安裝植入，安全工具植入、偽裝，修改系統(tǒng)的服務(wù)，甚至是躲避防御體系。第六個(gè)階段是通信控制，拿下了目標(biāo)機(jī)器需要回連，接收更上一級(jí)的攻擊命令，最后會(huì)做一些潛伏策略。目標(biāo)達(dá)成以后要傳輸數(shù)據(jù)、竊密、加密數(shù)據(jù)等。第七個(gè)階段是目標(biāo)達(dá)成。

基于攻方視角，XDR要站在企業(yè)的IT架構(gòu)、業(yè)務(wù)架構(gòu)、安全架構(gòu)，甚至是和企業(yè)的安全風(fēng)險(xiǎn)策略做綁定。

如果把網(wǎng)絡(luò)安全看成一場(chǎng)戰(zhàn)爭(zhēng)，可分為三個(gè)階段：戰(zhàn)前、戰(zhàn)時(shí)、戰(zhàn)后。站在守方視角，我們要在戰(zhàn)前做各種梳理，包括內(nèi)外網(wǎng)資產(chǎn)、漏洞、風(fēng)險(xiǎn)梳理等，這是要在戰(zhàn)前做的。戰(zhàn)時(shí)是考驗(yàn)安全場(chǎng)景的核心能力，是否能發(fā)現(xiàn)告警、發(fā)現(xiàn)攻擊，能不能發(fā)現(xiàn)還沒(méi)有被傳統(tǒng)殺毒軟件命中的可疑行為，這是XDR要解決的問(wèn)題。傳統(tǒng)的單點(diǎn)防御體系不能解決這些問(wèn)題，所以需要擴(kuò)展，需要更多的數(shù)據(jù)。戰(zhàn)后總結(jié)復(fù)盤發(fā)現(xiàn)攻擊之后有沒(méi)有攔截、有沒(méi)有防御、安全策略是否有效等問(wèn)題。

基于攻防兩方的視角，XDR到底解決什么問(wèn)題，這就是回答XDR的“是”與“非”。

8月31日，由網(wǎng)絡(luò)安全卓越驗(yàn)證示范中心（以下簡(jiǎn)稱“卓越示范中心”）主辦，北京未來(lái)智安科技有限公司（以下簡(jiǎn)稱“未來(lái)智安”）承辦的“先進(jìn)網(wǎng)絡(luò)安全能力評(píng)估系列活動(dòng)——擴(kuò)展威脅檢測(cè)響應(yīng)（XDR）技術(shù)專題沙龍”在北京成功舉辦。未來(lái)智安聯(lián)合創(chuàng)始人兼CTO陳毓端出席活動(dòng)并發(fā)表主題演講《穿過(guò)亂象 看XDR的是與非》。

XDR技術(shù)本質(zhì)

國(guó)內(nèi)很多用戶和安全從業(yè)者在XDR的定義層面有一些歧義和模糊空間。作為國(guó)內(nèi)第一家發(fā)布XDR產(chǎn)品的廠商，經(jīng)過(guò)幾年的實(shí)踐，我們認(rèn)為XDR的“X”是指擴(kuò)展，具備多維度擴(kuò)展屬性，強(qiáng)調(diào)由孤立單點(diǎn)式威脅檢測(cè)到基于更多上下文數(shù)據(jù)進(jìn)行全面威脅檢測(cè)的整體安全思路轉(zhuǎn)變。XDR不再單純立足端點(diǎn)、網(wǎng)絡(luò)或者其他安全設(shè)備進(jìn)行安全事件發(fā)現(xiàn)和標(biāo)記，重視感知底層數(shù)據(jù)變化，從而研判企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，為企業(yè)安全運(yùn)營(yíng)帶來(lái)完整的上下文和可見(jiàn)性。

經(jīng)過(guò)幾年的發(fā)展，業(yè)內(nèi)XDR的技術(shù)體系主要有三類。第一種是原生XDR。原生XDR只能接自己的終端和流量，好處是實(shí)施起來(lái)相對(duì)方便，但缺乏更多上下文關(guān)聯(lián)能力。第二種是生態(tài)XDR。生態(tài)XDR沒(méi)有自己的終端和流量，優(yōu)點(diǎn)是產(chǎn)品包容度高，缺點(diǎn)是它完全依賴于第三方數(shù)據(jù)，例如數(shù)據(jù)的標(biāo)準(zhǔn)、維度、背后的告警檢測(cè)邏輯等，會(huì)有一些數(shù)據(jù)層面的盲點(diǎn)或認(rèn)知上的差異。第三種是混合XDR?；旌蟈DR具備原生的優(yōu)點(diǎn)和異構(gòu)增強(qiáng)的能力，同時(shí)擁有終端和流量，并且還可以接第三方的數(shù)據(jù)和安全設(shè)備，做整體的安全解決方案。未來(lái)智安XDR是混合技術(shù)形態(tài)，我們包含了原生XDR和生態(tài)XDR，技術(shù)方向是整合的技術(shù)體系。

XDR可擴(kuò)展威脅檢測(cè)&防御體系

我們認(rèn)為XDR是以威脅為核，關(guān)注威脅檢測(cè)和發(fā)現(xiàn)，關(guān)注對(duì)異常行為、未知威脅的發(fā)現(xiàn)，圍繞威脅構(gòu)建不同階段的威脅檢測(cè)與防御體系。從攻方視角，我們將擴(kuò)展威脅檢測(cè)防御體系分為7個(gè)階段，黑客在7個(gè)階段里有不同的技術(shù)戰(zhàn)略。XDR利用更多的上下文和更多的安全感知，盡可能在每個(gè)階段發(fā)現(xiàn)威脅和可疑行為。

XDR的擴(kuò)展威脅檢測(cè)與防御體系，第一個(gè)階段，構(gòu)建網(wǎng)絡(luò)空間防御地圖，先知道有什么才能知道怎樣做防御，從資產(chǎn)管理開(kāi)始，從攻擊視角看資產(chǎn)，梳理和定義資產(chǎn)對(duì)業(yè)務(wù)的重要性。第二個(gè)階段，構(gòu)建網(wǎng)絡(luò)空間風(fēng)險(xiǎn)情報(bào)地圖，有了網(wǎng)絡(luò)空間防御地圖之后，基于視覺(jué)的平面看有哪些風(fēng)險(xiǎn)、異常、薄弱環(huán)節(jié)，不單是內(nèi)網(wǎng)，還要看外網(wǎng)、看邊界、看互聯(lián)網(wǎng)等。第三個(gè)階段，構(gòu)建網(wǎng)絡(luò)空間攻擊監(jiān)測(cè)中心，要看到誰(shuí)在攻擊。XDR關(guān)注底層數(shù)據(jù)的變化，網(wǎng)絡(luò)空間的攻擊監(jiān)測(cè)需要重點(diǎn)看到異常行為，盡可能感知到可疑行為。第四個(gè)階段，構(gòu)建網(wǎng)絡(luò)空間威脅復(fù)盤中心，需要知道黑客如何攻擊，怎么橫向移動(dòng)，產(chǎn)生了哪些關(guān)鍵線索，有沒(méi)有數(shù)據(jù)被加密、被竊取等。第五個(gè)階段是網(wǎng)絡(luò)空間應(yīng)急調(diào)度中心。當(dāng)威脅發(fā)生時(shí)，企業(yè)的應(yīng)急預(yù)案是什么？能不能聯(lián)動(dòng)？能不能快速研判？需要提升自動(dòng)化運(yùn)營(yíng)程度。第六個(gè)階段是網(wǎng)絡(luò)空間近地防御。假設(shè)網(wǎng)絡(luò)空間一定會(huì)被拿下，資產(chǎn)一定會(huì)被侵入，那么被攻進(jìn)來(lái)以后的底層防御邏輯是什么？資產(chǎn)被拿下之后要如何保護(hù)企業(yè)的核心數(shù)據(jù)？要做好防勒索，鎖住入口，盡量避免基于被攻擊機(jī)器發(fā)生大范圍的橫向移動(dòng)和擴(kuò)散，這些也是未來(lái)智安與騰訊安全玄武實(shí)驗(yàn)室要重點(diǎn)合作的方向。第七個(gè)階段是建立網(wǎng)絡(luò)空間聯(lián)合作戰(zhàn)中心，XDR將前面所有的能力融合到一個(gè)平臺(tái)上，做一體化的運(yùn)營(yíng)，把企業(yè)的各種安全設(shè)備和能力基于企業(yè)關(guān)注的業(yè)務(wù)場(chǎng)景，做安全運(yùn)營(yíng)效果的整體提升。

做XDR一定要有全局思維、威脅視角和底線思維。要構(gòu)建一個(gè)網(wǎng)絡(luò)空間防御地圖，要有統(tǒng)一的資產(chǎn)臺(tái)賬。在給客戶服務(wù)和實(shí)踐過(guò)程中，客戶認(rèn)為資產(chǎn)很重要，但是廠商更多是基于IP視角看資產(chǎn)，缺乏業(yè)務(wù)視角。要以業(yè)務(wù)視角做資產(chǎn)管理，而不是以IP或單一資產(chǎn)視角做資產(chǎn)管理。

隨著數(shù)字化深入推進(jìn)，資產(chǎn)邊界的定義進(jìn)一步擴(kuò)大，傳統(tǒng)安全視角不足以繪制出完整的攻擊或者防御視圖。我們認(rèn)為XDR的資產(chǎn)視圖一定有4個(gè)維度，最底層是系統(tǒng)層面，第二是應(yīng)用層面，第三是業(yè)務(wù)層面，第四還要貼合國(guó)家對(duì)基礎(chǔ)設(shè)施的重點(diǎn)防護(hù)體系。根據(jù)這幾個(gè)維度構(gòu)建數(shù)字資產(chǎn)地圖，可以看到哪里有薄弱環(huán)節(jié)?；诘貓D做整體防御，而不是單點(diǎn)做防御，更重要的是感知底層的數(shù)據(jù)維度和數(shù)據(jù)資產(chǎn)。

XDR強(qiáng)調(diào)開(kāi)箱即用，整個(gè)交付體系要輕，無(wú)論是終端還是流量方向，都要通過(guò)內(nèi)置的API開(kāi)箱即用，構(gòu)建資產(chǎn)視圖。我們?cè)賹?duì)數(shù)據(jù)進(jìn)一步暢想，將整個(gè)數(shù)據(jù)基于領(lǐng)域建模，構(gòu)建標(biāo)準(zhǔn)化資產(chǎn)數(shù)據(jù)臺(tái)賬，包括資產(chǎn)類、行為類、風(fēng)險(xiǎn)類、入侵警報(bào)類，通過(guò)各種維度縮減數(shù)據(jù)接入的復(fù)雜程度，通過(guò)技術(shù)手段構(gòu)建有效的防御地圖。

幾年的積累，我們認(rèn)為客戶對(duì)于風(fēng)險(xiǎn)核心關(guān)注三點(diǎn)，第一，業(yè)務(wù)連續(xù)性問(wèn)題，第二，風(fēng)險(xiǎn)對(duì)品牌或者聲譽(yù)產(chǎn)生破壞的影響問(wèn)題，第三，合規(guī)問(wèn)題。安全產(chǎn)品不是社交產(chǎn)品，我們要給出風(fēng)險(xiǎn)度量指標(biāo)。

XDR從攻方視角做可疑行為發(fā)現(xiàn)，它的“擴(kuò)展”是結(jié)合更多的上下文數(shù)據(jù)，同時(shí)結(jié)合ATT&CK作為威脅檢測(cè)的核心思路，最終呈現(xiàn)給客戶的模型是知道攻擊者通過(guò)什么進(jìn)程、時(shí)間、地點(diǎn)、載體，以何種方式，做了什么事。整個(gè)防御體系要先把入口鎖住，比如外部訪問(wèn)、遠(yuǎn)程登錄，攻擊進(jìn)來(lái)之后落到哪些資產(chǎn)，以資產(chǎn)為核心、以服務(wù)為中心看資產(chǎn)和服務(wù)的變更，XDR的出現(xiàn)是結(jié)合上下文發(fā)現(xiàn)未知的威脅。

從遙測(cè)能力驅(qū)動(dòng)檢測(cè)覆蓋的視角，XDR要采集更多細(xì)粒度的數(shù)據(jù)，這些數(shù)據(jù)存在安全價(jià)值，比如一個(gè)文件被修改是很小的攻擊指示點(diǎn)。未來(lái)智安XDR從遙測(cè)能力的角度看到更細(xì)的風(fēng)險(xiǎn)或異常行為。目前未來(lái)智安XDR大概有3000+的數(shù)據(jù)維度，是目前在數(shù)據(jù)遙測(cè)方面比較好的沉淀。

看到攻擊之后要把整個(gè)攻擊過(guò)程回溯出來(lái)。我們?cè)跀U(kuò)展威脅檢測(cè)響應(yīng)（XDR）能力評(píng)價(jià)標(biāo)準(zhǔn)里講到了“關(guān)聯(lián)分析”的能力。黑客通過(guò)邊界打進(jìn)來(lái)以后，NDR看到告警，如果攻擊成功落到一臺(tái)機(jī)器上，可能會(huì)有外聯(lián)，下載攻擊載荷，橫向移動(dòng)，或者大范圍的跨網(wǎng)段的擴(kuò)散，這是完整的攻擊過(guò)程。XDR能把整個(gè)過(guò)程看清楚，除了遙測(cè)能力之外還有數(shù)據(jù)關(guān)聯(lián)分析，以及基于AI引擎的支撐，這是對(duì)整個(gè)攻擊溯源的能力。

針對(duì)攻擊溯源未來(lái)智安提出了12個(gè)維度，包括攻擊者是誰(shuí)、要結(jié)合情報(bào)分析攻擊者是怎么攻進(jìn)來(lái)的、利用了什么漏洞、使用什么攻擊武器打進(jìn)來(lái)的、在服務(wù)器上做了什么、有沒(méi)有發(fā)生橫向移動(dòng)，對(duì)企業(yè)整體的攻擊影響面有多大等等。威脅檢測(cè)不能只告訴客戶有一個(gè)攻擊發(fā)生，還要告訴它對(duì)企業(yè)經(jīng)營(yíng)、對(duì)企業(yè)業(yè)務(wù)有什么影響。我們也是業(yè)內(nèi)第一個(gè)提出了對(duì)攻擊溯源分析的12個(gè)維度。

攻擊發(fā)生后要做應(yīng)急調(diào)度、編排、響應(yīng)。企業(yè)日常的安全運(yùn)營(yíng)流程可以通過(guò)安全編排的方式做自動(dòng)化的執(zhí)行和調(diào)度。SOAR應(yīng)該被集成還是單獨(dú)存在？我們的觀點(diǎn)是SOAR一定是跟整個(gè)產(chǎn)品體系深度綁定，它需要知道告警和資產(chǎn)，感知企業(yè)的產(chǎn)品融合，而不是單獨(dú)存在。通過(guò)SOAR可以將資產(chǎn)、風(fēng)險(xiǎn)、攻擊指示全部串在一起，形成自動(dòng)化的運(yùn)營(yíng)體系。這一系列的編排在未來(lái)智安XDR體系中已經(jīng)做到開(kāi)箱即用。

未來(lái)智安對(duì)XDR的編排（SOAR）有一些不同維度的看法，首先SOAR一定要支持多維度的協(xié)議通道，無(wú)論是KAFKA、GRPC、DB或是API，這些是基礎(chǔ)通道。在基礎(chǔ)通道上做三個(gè)維度的抽象。一是查詢類，無(wú)論SOAR查A廠商或B廠商的資產(chǎn)，查詢的對(duì)象和指令是標(biāo)準(zhǔn)的，不會(huì)因?yàn)闃?biāo)準(zhǔn)變化給企業(yè)帶來(lái)很大負(fù)擔(dān)，所以叫查詢類標(biāo)準(zhǔn)。二是監(jiān)聽(tīng)類，通過(guò)SOAR去監(jiān)聽(tīng)有沒(méi)有外聯(lián)或異常行為。三是控制類，有三本賬：數(shù)據(jù)臺(tái)賬、動(dòng)作臺(tái)賬、控制臺(tái)賬，通過(guò)三本賬對(duì)各種安全設(shè)備的能力差異做消除。最后通過(guò)可視化、在線Coding的方式實(shí)現(xiàn)業(yè)務(wù)需求。這是我們對(duì)XDR的編排的認(rèn)知和理解。

在網(wǎng)絡(luò)、資產(chǎn)被拿下之后需要近地防御體系。未來(lái)智安和騰訊安全玄武實(shí)驗(yàn)室已經(jīng)正式啟動(dòng)了對(duì)XDR新版本的聯(lián)合開(kāi)發(fā)，重點(diǎn)針對(duì)勒索、釣魚(yú)、橫向移動(dòng)等高級(jí)威脅提升檢測(cè)防護(hù)能力。對(duì)于終端的防御體系來(lái)講，威脅檢測(cè)思路重點(diǎn)是發(fā)現(xiàn)未知行為，通過(guò)很敏感、很弱小的攻擊指示找到還未被定性成某一個(gè)具體攻擊行為的發(fā)現(xiàn)，以此來(lái)發(fā)現(xiàn)可疑行為。

XDR一體化安全運(yùn)營(yíng)系統(tǒng) 安全運(yùn)營(yíng)最佳實(shí)踐

結(jié)合這幾年在客戶側(cè)的實(shí)際應(yīng)用場(chǎng)景，總結(jié)出做好安全運(yùn)營(yíng)要具備的核心要點(diǎn)。

1. 邊界防御體系有效性驗(yàn)證——防御體系打通，看清攻擊與安全策略有效性；

2. 告警治理能力——面對(duì)海量告警，能達(dá)到安全團(tuán)隊(duì)可運(yùn)營(yíng)狀態(tài)；

3. 高價(jià)值場(chǎng)景挖掘能力——在安全分析層面具備焦點(diǎn)，不盲目分析或海量告警而選擇性放棄；

4. 畫(huà)像能力——摸得清攻擊者攻擊意圖、看得見(jiàn)受害者及受害程度&影響面；

5. 事件化能力——看得起攻擊來(lái)龍去脈，從入侵到橫向移動(dòng)的完整攻擊鏈條；

6. 自動(dòng)化能力——具備自動(dòng)化能力，有效釋放運(yùn)營(yíng)效力，聚焦高價(jià)值攻擊場(chǎng)景。

在安全策略驗(yàn)證方面，我們和國(guó)內(nèi)的客戶做了比較多的實(shí)踐，客戶的邏輯是要通過(guò)XDR把邊界城墻越壘越高，會(huì)得出三個(gè)指標(biāo)。一是WAF阻斷了，說(shuō)明策略沒(méi)有問(wèn)題；二是WAF檢出了，但是告警沒(méi)有被阻斷，這個(gè)時(shí)候要思考策略是不是要增強(qiáng)；三是WAF沒(méi)檢出，但是縱深防御的流量、終端都檢出了告警，客戶就會(huì)做兩個(gè)動(dòng)作，第一個(gè)動(dòng)作是把攻擊IOC輸出給WAF或者防火墻，第二個(gè)動(dòng)作是要把規(guī)則或者攻擊特征提取出來(lái)，增強(qiáng)邊界防御體系。

告警治理分為三個(gè)層面。一是在原始告警層面形成標(biāo)準(zhǔn)化；二是針對(duì)告警治理做收斂和降量，無(wú)論是同源同溯、智能研判、多維關(guān)聯(lián)、場(chǎng)景化關(guān)聯(lián)，都是把告警做第一維度的收縮，形成攻擊事件，看到整個(gè)告警的攻擊脈絡(luò)、攻擊過(guò)程、影響范圍。三是行為分析，也是高質(zhì)量告警治理的核心范疇。例如后門利用之后，通過(guò)XDR將文件行為、注冊(cè)表行為、模塊加載行為、網(wǎng)絡(luò)行為、單位時(shí)間內(nèi)的上下文告警、流量告警，各種邊界告警等在同一個(gè)平面上做分析。

做攻防無(wú)非要盯住三個(gè)點(diǎn)：賬號(hào)、數(shù)據(jù)、權(quán)限。通過(guò)更多的上下文數(shù)據(jù)，有更多的場(chǎng)景化覆蓋。在告警關(guān)聯(lián)方面，我們也做了很多嘗試，比如漏洞掃描之后的漏洞利用，有前后關(guān)聯(lián)關(guān)系，這些都是高價(jià)值場(chǎng)景的挖掘方式。XDR除了以風(fēng)險(xiǎn)為核之外，要更多感知數(shù)據(jù)的變化，通過(guò)數(shù)據(jù)變化去發(fā)現(xiàn)可疑行為，把有效的告警挖掘出來(lái)。

總結(jié)：

安全體系里有很多關(guān)鍵詞和概念，我們一定要站在客戶的角度去思考。XDR一定要有全局思維、威脅視角和底線防御思維，為客戶創(chuàng)造價(jià)值，我們始終堅(jiān)信一句話“安全產(chǎn)品不是社交產(chǎn)品，我們沒(méi)有那么多時(shí)間在平臺(tái)探索，告訴我什么是高價(jià)值、要重點(diǎn)處理的告警”。

（雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))）

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。