基于XDR的网络安全体系思考与实践

　　1。实战化安全运营的困境
　　近年来，安全威胁态势日趋严峻，网络攻击呈现常态化。2021年12月爆出Log4j2漏洞，利用手段极简单，却影响了全球一大半的互联网企业，包括部分国际知名企业都被爆出存在该漏洞。网络安全局势愈演愈烈。
　　面对不确定的安全威胁以及业务的复杂性，企业往往结合自身特点部署多种安全产品，以期能够有效防护、及时止损，实现实战化安全防护效果。然而，这些防护手段仍呈现单兵作战状态，没有发挥112的效果。同时，这些手段也在海量数据处理、多设备联动、多部门协作等方面带来了新的问题，为安全设备运维、安全运营等带来了很大困难。
　　为了解决这些问题，安全运营解决方案从传统的SIEM平台建设逐步演进到运营平台类工具SOC建设。SOC的建设，虽然解决了设备集中运维问题，以及安全告警信息的采集、存储、检索，甚至自动化响应的问题，提升了一定的运营效率，但仍然不满足复杂业务环境的现代化运营需求。其问题在于：
　　没能有效整合海量数据，便于下游业务挖掘其价值；
　　针对不同的使用场景需求，其能力缺乏有效的按需适配；
　　对于入侵的威胁，没有综合全网数据，溯源整个故事；
　　对于多设备协同、跨部门协作问题，没有高效的推进手段。
　　这些问题给安全运营等带来了很大困难。在这种背景下，XDR（ExtendedDetectionandResponse，扩展的检测与响应）应运而生，助力解决安全运营问题，保障企业安全。
　　2。XDR破局与优势
　　在实战化对抗背景下，攻防是不对称的。所谓的安全不是花重金打造金刚不坏之身，而是将风险控制在相对可接受的范围内：在系统遭遇入侵时，能够及时发现、及时处置、及时止损、及时溯源。解决这个问题的根本策略是降低MTTD（MeanTimeToDetect，平均检测时间）和MTTR（MeanTimetoRespond，平均响应时间），以实现更快的威胁检测和响应，控制风险在可接受范围内，保证安全运营水平。
　　XDR的提出，为降低MTTD和MTTR，实现现代化安全运营，提供了一条新的解决思路。Gartner认为：XDR是一个统一的安全威胁检测与事件响应平台，无缝集成大量安全能力到一个安全运营系统，将来自云、网、端等多源异构数据统一整合形成数据湖；精准检测高级威胁，并对入侵事件进行分诊，对入侵过程进行追根溯源；同时实现跨人员、跨设备间的交叉联动与多点处置，实现安全闭环，适配不断演进的业务需求和客户诉求。其核心价值在于：
　　提高安全运营的效率。通过集成多种安全产品，融合端点、网络、云端等数据，增强检测和响应的能力；
　　降低安全运营复杂度。统一多种安全设备控制与人员协同操作，实现一站式安全闭环，降低运营成本。
　　下文就向大家介绍XDR理念如何破局当前困境，实现安全可控的四个及时。
　　3。XDR架构
　　XDR是一种理念，通过统一不同的安全技术设备，全流程编排数据接入、检测分析手段、响应剧本、处置设备等，简化运营操作，以降低MTTD和MTTR，改善总体安全解决方案的有效性。
　　XDR解决方案的本质是检测与响应，覆盖云、网、端等各种数据，进行集中分析和事件分诊，通过人机协同，在全网范围进行威胁溯源，制定合适的响应策略，并及时响应，以保障系统风险可控。
　　3。1分析之根面向云网端边的网络安全数据湖建立
　　作为XDR分析的数据聚集地，数据湖需对数据进行有效管理，避免成为数据沼泽。支持存储和加工各类安全产品产生的原始数据，以供下游安全业务按需使用。
　　面对大量安全设备，数据湖要求支持多种类型的接入通道，支持不同协议下异构数据的接入，实现原始数据存储和扁平化标准化数据处理，并支持持续可扩展。
　　为便于业务计算需要，需将数据隐性价值进行显性化，一般通过富化和关系构建的方式进行数据处理。富化是通过内置的富化接口做特定场景下的字段增强，支持衍生出多个新字段。例如，情报增强、payload抽取。另一方面，挖掘数据对象之间的隐性关联也是数据深度融合关键步骤。通过挖掘数据对象间的关联，可将来自不同数据源、不同类型的数据融合成关系图谱，实现跨设备间的数据关联分析。比如，对终端日志进行IP、端口增强，建立终端数据与网络数据间的关联桥梁。构建的数据集需要满足因不断演进的业务需要而快速扩展的新分析方法，例如支持实时流分析的kafka队列、支持数据调查的Elasticsearch持久化存储、支持关系调查的图数据存储等。通过组装式扩展，快速实现数据接入的可编排。
　　3。2分析之本基于AISecOps的分诊与处置
　　面对不同客户及其在不同场景下的差异化需求，以及安全运营人员的海量告警运营压力，AISecOps分诊与处置是及时发现威胁与及时止损的保障。其核心是快速定位客户和运营人员关注的事件，以便能够及时做出最佳的响应策略。
　　事件分诊
　　事件分诊的目的在于快速定位用户关注的焦点，在有限的时间内，充分诊断最具价值的事件。它利用多种手段分析、关联数据湖中的数据，生成安全事件；结合多种分诊模型，定位用户关注的事件，供运营人员研判分析。
　　面对丰富的攻击手段，在传统基于特征匹配、情报关联等分析手段的基础上引入新的检测手段显得尤为必要。例如，通过行为分析识别异常行为，辅助识别APT攻击；通过智能推荐机器学习等模型学习用户偏好，自动推荐用户关注的事件。
　　对于单点告警，在研判时往往缺少上下文。通过自动关联相关告警和遥测数据，塑造事件的5W1H业务描述：即谁（攻击者）在什么时间（什么时刻）用什么载体（利用什么载荷）以何种方式（利用什么缺陷）在什么地点（受害者）做了什么恶意操作（执行什么危险动作）。提供事件发生的上下文，提升其可解释性，助力安全运营人员一眼定位攻击风险。
　　在实际攻防过程中，一次成功的突破往往需要多次尝试。防御者则需要多次关注相同攻击者、攻击事件等。此时，通过归并手段，从不同的视角例如同质攻击、攻击者、攻击意图等融合来源相同或不同的攻击事件，能有效的降低事件量，提高运营效率。
　　不同场景下不同用户的关注焦点往往不相同，并且也存在优先级之分。基于用户需求，可进行分诊策略制定，快速圈定客户最为关注的焦点。例如，攻防演练期间，经常爆出0day漏洞，各安全厂商发布应急规则。通过分诊技术，快速筛选高危事件，以防遗漏。对于一些复杂的场景，可以建立风险评分机制，推荐风险评分最高的TopN进行分诊，以确保及时处理了最危险的事件。这种基于不同的需求，灵活组装不同的分诊模型，进行推荐和按需适配的方式，可实现最具价值的分诊策略，满足用户差异化需求。
　　威胁处置
　　识别到威胁之后，需要进行快速处置。XDR集成多产品，可在整个攻击生命周期内，协调联动不同设备，进行最佳处置。
　　XDR分析过程中从多点采集的数据，可在相应点位分析识别到异常威胁。通过SOAR（SecurityOrchestration，AutomationandResponse，安全编排和自动化响应）技术，编排响应剧本，在多点进行自动化处置。其关键在于剧本的积累和响应设备的适配。
　　针对入侵攻击不同的检测点或攻击后果，其响应剧本是不同的。例如，入侵早期的关键漏洞嗅探，可采用封堵等预防型剧本。对于客户重点关注的威胁行为，可采用即时提醒等预警型剧本。典型的响应剧本可分为如下几类：调查型剧本，如主动上下文调查；预警型剧本，如短信通知；预防型剧本，如IP封堵；缓解型剧本，如失陷主机隔离；恢复型剧本，如失陷资产还原。
　　面对众多响应设备联动问题，采用插件式适配方式，能够进行快速迭代。当需要联动三方设备响应时，只需快速定制响应插件，即可完成扩展。另一种方式是响应设备统一遵循OpenC2协议，也可简化适配过程。目前，这种方式还处于早期阶段，支持的厂商相对较少。
　　通过不同响应设备与不同响应策略的交叉配合，形成灵活有效的响应剧本，实现XDR及时、多点的自动化响应处置。
　　3。3分析之重面向攻击者及攻击路径的全网威胁溯源
　　数据湖中存储了丰富的信息。从中调查挖掘、自动拼接来自多个数据源的威胁信息，加速调查取证，关联各类入侵痕迹，重建攻击全貌，找到入侵威胁的源头，从而实施有效的处置策略。对于入侵攻击故事的完整溯源，至少包括三个方面：
　　攻击者身份信息：溯源攻击者的社会身份属性，对攻击者进行画像；
　　攻击渗透路径：溯源攻击者的入侵路径，包括边界突破、内网横移；
　　危害性行为：溯源攻击者在主机上执行的动作，定位根因。
　　攻击者身份信息溯源，除了XDR数据湖提供的数据之外，需要依赖一些社工手段或者指纹库等信息，识别攻击者网络ID、团伙信息等身份信息。攻击渗透路径溯源，是从网络层面进行溯源，以主机为粒度，分析威胁入侵的路径，包括边界突破、内网横移等，确定影响的资产范围。危害性行为溯源，是从终端层面进行溯源，聚焦于主机内部的行为，定位导致危害发生的核心原因，例如落盘了恶意文件、启动了恶意进程、创建持久化定时任务等等。
　　通过三个方面的溯源，识别攻击者信息，并快速圈定影响范围、安全事件，以精准处置。
　　3。4分析之效云地人机体系化协同
　　在威胁调查时，经常碰见的一个问题是：安全运营人员对威胁进行调查取证时，涉及多个部门的人员协作。流程繁琐并存在重复性工作，极大影响了调查效率。尽管目前，很多SOC类产品提供了工单系统，但也仅是解决了单一事件处理过程中的状态流转问题，对于多人协作问题并未有效的支持。
　　XDR产品应该具备虚拟战情室功能，围绕安全运营展开工作，能够提供安全运营人员统筹各设备、各资产、各人员总动员的能力通道。通过标准化流程和统一的调查取证控制台，共享信息和协同操作，实现跨部门的协作。XDR虚拟战情室至少应包含：
　　工单流转控制台：作为战情室流程与权限控制核心，指挥适当的人员在适当的时候做适当的事情，比如授权某失陷资产拥有人员接入战情室，协同调查。
　　战情交流控制台：允许多人协作，比如不同角色的专家，进行威胁研讨；不同的资产人员进行信息同步与线索共享；
　　调查取证控制台：提供安全运营人员远程取证的能力。当被授权后，可在战情室进行远程调查取证，进行威胁狩猎和溯源；同时，联动云端进行情报分析；
　　策略响应控制台：当运营专家完成威胁定位后，可直接通过响应控制台，分发各种响应策略，及时在不同的处置点进行处置。
　　通过虚拟战情室协同工作，提高调查质量和效率，加快事件响应，实现事件调查处置的真闭环一站式操作。
　　4。XDR落地实践
　　XDR丰富的优势，使其备受关注。绿盟智能安全运营平台（ISOP）就具备XDR智能安全运营能力。
　　4。1多源数据接入及数据湖建立
　　绿盟智能安全运营平台（ISOP）通过将框架、解析插件、存储分类设计，支持kafka、syslog、ftp等多种通道接入数据，覆盖终端、网络、云端、设备告警等多源数据。支持多达上千种安全产品的日志接入。接入过程中，按照统一的基准，进行标准化处理，实现数据的资产信息、威胁情报、地理位置等富化增强，最终建立覆盖各分析层级的安全数据湖。
　　4。2事件分诊与自动化处置
　　事件分诊与处置可帮助用户快速分析其最关注、最具价值的事件，通过多种关联分析、行为分析、人工智能等手段检测威胁事件，并予以处置。例如，利用人工智能算法学习用户偏好，识别并推荐安全事件。通过平台分诊功能，定义用户分诊策略，如用户最关注的重点漏洞利用场景等，快速提炼用户关注的事件。
　　对于一些日常积累的安全运营经验，通过ISOP界面配置自动化响应剧本进行固化，实现全自动检测响应，提升安全运营效率。
　　4。3威胁狩猎与攻击者画像
　　面对XDR中丰富的数据，ISOP支持从多个角度开展威胁狩猎工作，重建攻击路径图，还原攻击轨迹，定位威胁发生的根本原因，加速响应。在网络层面，识别主机之间的网络活动，识别攻击者的入侵渗透过程。在终端层面，从主机行为的角度，识别入侵过程中，在主机上发生的异常行为及其关系链，从而定位威胁事件发生的根本原因。
　　4。4可管理的检测与响应服务（MDR）
　　MDR作为XDR中重要的一环，可以盘活整个安全运营体系。绿盟科技智能安全运营平台（ISOP）也发布了可管理的检测与响应服务，可灵活选择云端、本地化的安全运营服务，协助客户实现全方位的安全运营，持续提升客户安全防御能力。
　　5。结束语
　　XDR解决方案，由于其众多的优势，有望解决当下网络安全所面临的安全运营困境。绿盟智能安全运营平台（ISOP）作为XDR的核心平台，整合建立数据湖，构建面向动态分析的跨设备检测分诊能力，跨设备的自动化检测与分诊能力，人机协同的高效处置能力，为客户构建全面安全运营能力提供有力支撑。