在威胁日趋复杂和多种安全设备并存的网络环境,基于XDR构建统一安全运营中心,整合已有的安全产品/安全能力、SIEM/SOC、威胁情报、遥测数据等分散元素,缩短从检测到响应的时间,成为最可行的方向,被视为安全的未来。
一、网络威胁日益复杂
不仅企业混合架构变得越来越复杂,攻击方法也变得越来越复杂。除了利用零日漏洞之外,网络攻击者现在还转向高级攻击方法,例如,利用无文件恶意软件可以逃避检测并且不留下任何痕迹;多阶段攻击允许黑客在网络内长时间横向移动以执行侦察,从而提高攻击目标的成功率;利用供应链攻击下游企业和消费者;利用加密和数据泄露的双重勒索攻击;以及利用人工智能工具开展攻击。
日趋复杂高级的网络攻击给目前各种针对单一防护目的的工具,带来严峻的安全挑战,告警疲劳成为行业普遍现象。
美国工业安全先驱H.W.海因里希(Herbert William Heinrich)在1930年代提出的安全管理理论“海因里希安全法则(Heinrich's Law)”发现,每一起严重的工伤事故(伤残或死亡),背后大约有29起轻伤事故和300起无伤事故(或安全隐患)。
海因里希的安全法则强调,绝大多数事故都是可以预防的,且它们往往是由于人为失误、不安全行为或条件引起的。根据这个理论,通过积极地识别和减少小的事故和隐患,可以有效地防止严重事故的发生。
从20世纪60年代末的ARPAnet到80年代的“莫里斯蠕虫”,网络安全概念起源准确来讲其实很难考究,以网络安全现况来看,安全领域每年都会推出众多新的产品、热词、技术术语。然而,这些众多的解决方案可能只能解决部分问题,也是网络安全领域竞争激烈和内卷的一个主要原因。可以确定的是随着计算机技术、IT架构和网络模式的发展,网络安全讨论的话题和需要解决的问题始终是变化的。
图1 网络安全领域模型与概念层出不穷(冰山一角)
到底如何构建安全防御体系? 为了解决这一问题,Palo Alto Network于2018年首次提出了XDR产品。XDR整合了多个安全产品和技术,提供多维度且更全面的威胁检测、分析及快速响应能力。
二、为什么是XDR
两点之间的最短距离是直线。快速检测和响应对于减轻攻击造成的损害至关重要。网络防护的重点是如何缩短从检测到响应行动的时间。此外,网络防护,不仅跟上攻击者的步伐,还要预测和先发制人。
仅靠一群全明星运动员并不能保证胜利一样,靠聚集一系列最好的安全工具也不能确保防止攻击发生。XDR 平台可以!
XDR 平台可以充分利用每个可用的数据遥测源,有效减少网络噪音并发现潜在入侵或攻击的信号,从而可以实时检测和响应潜在的入侵和攻击行动。
XDR具备三大关键能力:
可见性、响应和检测
1、XDR实现安全可见,提升威胁感知能力
XDR 利用数据和传感器的力量来提供全面且丰富的检测和响应能力。通过利用日志源、威胁情报、端点数据和其他传感器数据,XDR 可以将这些遥测数据创建为一致的安全警报。
正如“海因里希安全法则对于每一起严重的工伤事故(伤残或死亡),背后大约有29起轻伤事故和300起无伤事故(或安全隐患)”。有效的网络安全防御与安全运营体系需要全局的安全可见。
XDR的安全可见能力也称之为XDR的遥测能力,是XDR的最核心最关键的基础能力,做为网络安全防御体系XDR安全可见能力最为核心可以分为看见资产、看见应用环境、看见行为/活动、看见风险/攻击面、看见入侵行为等。
# 看见资产能力
谈到XDR的安全可见能力,"看见资产"的能力无疑是最应该被优先考虑的。这是因为企业的安全防御体系建立在对其资产的全面了解之上,特别是对高价值资产和与核心业务密切相关的资产的保护。这些资产通常是企业运营的关键,一旦受到威胁或攻击,可能会对企业的业务运行造成严重影响。因此,确保对这些资产有清晰的可见性,是实现有效安全防护的前提。
## 第一步,构建资产台账
不少企业虽然出台的关于员工网络安全相关行政要求或员工网络准则,但是监管措施依然滞后甚至无效,因而带来如影子资产问题,大量散落在角落未被纳入资产管理范围的影子资产,往往成为黑客攻击的突破口,给企业网络安全管理带来了严重挑战。
传统意义上的资产管理多是基于手动添加、更新,或是在指定时间节点进行统一的资产更新、变更或资产审计操作,很明显其缺点是既费时又费力,更糟糕的是各自原因总是导致资产更新延迟、遗漏等问题。
对于企业安全团队而言,需要使用保持即时更新的资产库,才能保证安全运营过程的准确性。从攻防对抗角度,防守方将面临进行有效防御范围界定问题,未知资产意味着可能存在更多未发现的风险和攻击暴露面。黑客攻击手法每天都在不断变化并变得越来越复杂,过时、不完整、粗旷的资产清单无法有效应对高对抗的安全挑战。
持续跟踪资产并保持即时更新是一个看似简单实际复杂命题也是一项复杂而艰巨的任务,要做到持续的资产监控并保持更新除了周期性的资产发现和采集外,更多需要关注触发类的资产变更行为,并需要具备对接企业ITAM或CMDB系统,从企业整体资产管理角度进行统一资产管理或持续增强。
XDR看见资产能力,除了基于XDR厂商内置的EDR Agent实现资产采集或是通过内置的NDR,通过流量层面采集资产,更重要的是需要具备基与数据驱动的自动化资产数据提取能力及对接企业现有资产管理系统如CMDB,减少对数据接入过程的人工干预,降低实施和运营成本,构建跨安全平台的资产可见能力。
## 第二步, 定位和看见真实资产
当发生安全事件时,比如安全团队从NDR监测到可疑流量,这些流量似乎正在尝试利用某个已知漏洞。在没有NAT/PAT的情况下,NDR类设备可以直接定位到对应的内部IP地址,安全团队可以迅速定位并检查该设备,以确定是否真的遭受了攻击。然而,在NAT/PAT等场景下因为IP地址映射,安全团队需要访问NAT/PAT设备的日志文件,以确定真实受害者IP地址对应于警报中的应受害IP。
看见和快速定位资产做为XDR安全运营的基本能力,XDR具备去IP化(不完全依赖单一IP视角)的资产归一化治理体系,是一种不完全依赖单一IP地址来识别和管理网络资产的方法。通过将资产与其它标识符关联,实现对资产的精准识别和管理,即使在复杂的NAT/PAT环境中也能有效工作,保障安全运营快速。
正所谓,安全网络从资产管理开始,XDR看见资产为“摸清家底、认清风险、找出漏洞、通报结果、督促整改”构建基本前提。
# 看见应用环境
看见应用环境意味着企业拥有对运行的所有软件\服务等支撑体系的深入洞察。这包括了诸如应用软件、运行的进程、内核模块、系统账号、开放的端口、计划任务、系统环境变量、系统服务、数据库、WEB服务、WEB站点、移动存储、Windows根证书、Windows补丁、系统启动项、共享目录和jar包等等。每一个维度都构成了企业应用环境安全的一部分,对于看见和维护整体的网络安全至关重要。
如Apache Log4j 在爆出 CVE-2021-44228漏洞时,所有安全厂商都热火朝天的发应急响应软文,让企业去排查和梳理涉及的相关jar包,以确定可能存在的安全影响面。
图2 某厂商软文截图
企业用什么高效的手段去快速梳理存在的jar包,利用安装的Agent还是利用各类扫描器如漏扫工具? 或是各类安全产品或工具梳理出来的数据各种割裂,能快速看到吗?能全局看到吗?还是让IT系统或安全产品的厂商各自梳理下是否用到了相关的jar包?
XDR“看见应用环境能力”可以帮助企业提前梳理梳理应用环境台账,并持续监测企业业务环境下的应用环境变更,做到看的见、可审计、可追溯。
# 看见行为看见活动
恐惧往往来自对未知的焦虑,网络安领域也是如此,购买大量的安全防护产品,您是否感觉到安全了?
在攻防技战术各种绕过和对抗场景下,企业安全团队需持续的监控被保护对象的各类细粒度操作行为或活动,通过细粒度的行为变更实现第一时间的变化感知、风险感知、攻击感知。需要细粒度看见和审计防护对象的各类行为活动如进程启停事件、模块加载行为、文件操作行为、网络访问行为、注册表变更行为、浏览器访问行为、提权行为等。XDR提供了一种全新的视角来理解和应对网络安全威胁。通过深入观察和分析系统内部的各类行为变化,企业安全专家可以从中发现异常模式,及时识别出潜在的威胁, 以便能够发现并采取措施进行阻断。
# 看见风险看见攻击面
随着企业IT环境的复杂化和多样化,攻击者利用的手段也越来越多样化,特别是企业数字化转型下企业IT及业务系统变得越来越复杂,各种中间件、开源软件、Web应用、数据库、容器、云服务等,加大了企业网络安全风险。从内部网络到云基础设施,再到移动设备和IoT设备,构成了一个错综复杂的IT架构。每一个组成部分都可能成为攻击者潜在的目标,每一个软件更新、配置更改或新服务部署都可能引入新的安全漏洞,给攻击者留下可利用的空间。
虽然企业IT建设也不断加大了企业安全投入,然而受限与安全产品间的数据割裂,更多的企业始终无法持续的监测和收敛攻击面。
XDR可通过集成和分析来自网络、终端、漏扫等多个数据源的风险信息,提供了一个全局视角来观察和分析安全风险点。这种全面的监控能力使得XDR能够跨越传统的安全边界,实时监控整个IT环境的变化,动态发现新的漏洞和安全风险。结合资产属性特别是业务重要性等属性定义,XDR能够识别出异常行为和潜在的安全风险及背后可能存在的业务风险,给企业呈现全域的安全风险感知与洞察视角。
举例,近期公安部在面对越演愈烈的勒索攻击,一剑封喉地指出了问题的本质,大部分的勒索攻击是利用了高危漏洞、高危端口、弱口令渗透到企业并进行勒索攻击结果的达成。为了减少勒索攻击带来的社会危害,公安部针对企业“两高一弱”的问题,会持续的展开监管检查活动,目前已经有一些企业因为“两高一弱”的问题而导致攻击事件发生被处罚。
XDR可利用其自身风险及攻击面监测能力及整合第三方安全设备风险数据,可有效应对“两高一弱”(高危漏洞、高危端口、弱口令)的问题,以下我们将通过未来智安XDR看看如何应对“两高一弱”。
图3 未来智安XDR 安全工作台: 直观监测“两高一弱”
XDR平台内置了端点保护和响应(EDR)、网络流量检测和响应(NDR)、自动化编排(SOAR)等功能,同时能够协助企业监管第三方安全产品的数据进行统一分析,从全局的视角覆盖应用程序、网络、端点、云、邮件等多个通道的数据,以便全面地发现网络中存在的高危端口、高危漏洞、弱口令等风险场景。
综上所叙,XDR全面的“安全可见能力”有助于实现快速的安全威胁响应。一旦发现异常活动或安全威胁,拥有全面的“安全可见能力”可以迅速定位问题所在,并采取相应的措施加以应对,从而最大程度地减少安全事件对业务的影响,保障网络及业务的持续运行。
2、XDR 实现主动威胁检测
XDR中的“X”具备多维度的扩展属性,强调由孤立单点式威胁检测过渡到基于更多上下文数据的可见,进行全面威胁检测的整体安全思路的转变。XDR不再单纯依赖于端点、网络或其他安全设备进行告警发现和安全事件的标记,重视底层的数据变化,比如主机上的权限变更、文件变更、账号体系变更、系统负载的变化等,从而研判企业网络的安全风险,为企业安全运营带来完整的上下文和可见性。
在XDR的框架下,"X"代表的扩展性不仅仅局限于将不同数据源融合到一个视图中,更重要的是XDR利用这些数据来实现主动风险发现到主动威胁检测的转变。这一过程体现了XDR对于安全事件的深入理解和快速响应能力。
XDR平台首先通过对网络和终端等多个维度的安全数据进行实时监控,识别出潜在的风险点。这些风险点可能是一个异常登录尝试、不寻常的网络流量模式,或是系统配置的未授权更改。XDR利用基于多源数据的主动分析技术如基于ATT&CK技战术的异常行为检测,来识别出这些行为背后可能隐藏的风险。这种风险发现机制能够捕捉到从传统安全工具可能遗漏的细微风险信号,为下一步的威胁检测打下基础。
在风险被发现后,XDR进一步分析这些风险点,将它们与已知的威胁模式和情报库进行匹配,以判断是否存在实际的威胁。XDR不仅关注单一事件,而是将相关事件串联起来,形成一个完整的攻击链。例如,一个不寻常的文件下载行为,本身可能不会引起警报,但如果与之前的异常登录尝试相关联,则可能表明一个更复杂的攻击正在进行中。
XDR的核心优势在于其对安全事件上下文的深入理解。通过整合来自不同数据源的信息,XDR能够提供详尽的上下文信息,帮助安全分析师快速准确地判断威胁的性质和严重性。这包括攻击者的可能目标、使用的攻击手法、受影响资产的重要性等。这种全面的视角使得XDR能够在复杂的安全环境中,实现精准的威胁检测。
3、XDR 实现安全自动化,提高响应速度
XDR 的核心优势和承诺之一在于能够实现流程自动化、有效分类警报并实现主动事件响应,特别是对于重大警报。如何实现?
企业日常安全运营工作往往会陷入海量告警的运营困局,数量庞大且包含大量的误报,使得安全运营团队难以有效地识别真正的威胁,进而无法展开有效的安全运营工作。XDR为多安全设备多告警的安全运营困局提供的有效的解决路径:
传统的调查和分析过程通常需要大量的人力和时间投入。安全分析师需要手动收集、整理和分析大量的安全事件数据,进行威胁排查和取证工作。这不仅效率低下,还容易导致遗漏或延误关键事件的响应。
提高效率是安全运营一个永恒的话题,追求效率或利用利用自动化提升效率的前提一定是充分考虑和兼容企业安全运营及关注点差异,在满足前者基础上构建的。
XDR自动化分析能力体现在构建完善的数据标准化及安全能力原子化基础上,XDR通过整合来自网络、终端和其他安全工具的告警和日志信息,提供了一个统一的管理平台。这种集中式的数据管理不仅减少了信息孤岛的问题,还使得安全分析师能够在一个平台上查看和分析所有相关数据,从而更快地识别和响应威胁。
基于上下文丰富和关联分析,实现威胁的有效过滤和优先级排序,让安全团队聚焦真正的威胁
(1)基于多维权重入侵警报分流
通过不同维度如入侵警报的优先级(包括高中低等)、资产的价值/重要程度等多维度定义,有效的对海量告警进行分类、圈定优先级。
场景假定:在纵深防御阶段的NDR/全流量设备产生大量入侵警报,其中涉及一般资产、核心资产、资产对业务的影响程度、资产与数据/隐私/机密的重要程度、告警类型的多维度,赛选/分流出需要重点分析的入侵警报。
备注: 需对威胁等级、告警类型等维度进行归一化处理
(2)基于攻击技战术
通过透视攻击路径和常见攻击方式方法,依据当下常见的攻击技战术生产阶段性的安全事件,通过攻击技战术收敛和归类告警,实现某类攻击技战术的有效防御如针对owasp top10,owasp top10是最新入侵风险的风向标,对如何解决网络安全问题有着重要且积极的影响。持续跟进owasp top10的变更,基于owasp top10对网络安全进行整体上重新评估与风险量化并生成对应的安全事件。
(3)基于攻击时序
在面对海量零散告警背后黑客攻击技战术看似变幻莫测,但纵观其整个入侵/攻击过程,往往还是有一定规律可循的,如攻击前信息收集而触发的扫描探测类入侵警报,信息收集之后的漏洞利用如web网页扫描后发生组件漏洞扫描,漏洞扫描后发起缓冲区溢出攻击之后发现后门木马。基于攻击时序不断覆盖攻击场景,并提供可运营和建模能力,不断增强、收敛和挖掘高价值入侵警报形成安全事件。
举例:
(4)基于攻击实际影响/结果
部署了越来越多的网络安全防护产品,每天数万甚至上百万的告警都给安全运营带来严重的告警研判和安全运营负担,据相关数据统计部分企业的入侵误报率可高达90%,严重降低安全运营效率,更大范围的增加了真实告警多带来的攻击影响面。利用各类安全设备的数据和安全能力要素,综合研判入侵警报的实际影响并基于实际影响研判入侵有效性同时生成针对性的高价值安全事件。
举例:
1、全流量NDR发现文件上传漏洞利用同时发现上传webshell; 2终端EDR发现webshell文件落地、执行蚁剑连接、执行了whoami和ipconfig,然后上传并执行恶意程序artifact.exe,执行了whoami和ipconfig,然后进程注入到notepad.exe中,执行了whomai、ipconfig。
图4 攻击实际影响评估
XDR可以实时监控和分析大量的安全事件数据,自动识别和定位潜在威胁,并提供关键的上下文信息和响应建议。这样,安全团队可以更快速地做出响应,减少事件的持续时间和影响范围。
图5 未来智安XDR攻击路径完整呈现
XDR从安全运营的视角自动化分析和呈现攻击者是谁?攻击者是怎么打进来的?用什么漏洞打进来?用什么武器打进来的?攻击者拿下一台服务器之后,在服务器上做了什么事儿?有没有发生横向移动?有没有下载攻击载荷或者相关的攻击载荷?攻击过程中都产生了哪些关键的线索,如IP、域名、攻击样本,同时这些样本涉及到哪些进程、服务、端口和网络?哪些服务器受到影响、哪些数据被篡改了?那攻击背后都产生了哪些告警?有没有应急响应的处置方式?能不能和其他安全设备进行快速的联动和处置?最后一点就是攻击背后黑客所使用的攻击技术,比如说在ATT&CK上的攻击矩阵的分布,企业如何基于ATT&CK的战术、技术持续的提升安全防护能力?
三、XDR是网络安全的未来
Broadcom、Cisco、CrowdStrike、Fortinet、Microsoft、Palo Alto Networks、SentinelOne、Sophos、TEHTRIS、Trend Micro和VMWare。都将XDR作为未来发展的重点,各有有不同的侧重与方向。
2022年全球XDR扩展威胁检测和响应市场规模为7.548亿美元,2023年预计将达到9.118亿美元, 2023年至2030年将以20.7%的复合年增长率(CAGR)增长。
图6 美国XDR市场增长预测
北美在2022年主导了XDR市场,占全球收入份额近 47%。由于为改进现有网络安全解决方案而增加的研发活动投资,美国和加拿大是该地区 XDR 解决方案的领先市场。由于英国、德国和法国等国家对威胁检测和响应解决方案的高需求,欧洲市场的需求也显着增加。
图7 北美XDR市场增长预测
亚太地区XDR市场因不断增长的IT支出和越来越多的数据泄露是推动区域市场增长的关键因素。根据GSM协会的数据,就连接数量而言,亚太地区是最大的物联网市场。因此,为了保护跨组织的数据(无论是物联网设备、电子邮件、云还是本地服务器上的数据),对 XDR 解决方案的需求预计会增加。
预计2023年至2030年,全球扩展检测和响应市场将以20.7%的复合年增长率增长,到2030年将达到34.098 亿美元。
2022-2023年主导全球XDR市场的主要参与者包括思科、趋势科技、微软、Palo Alto Networks、CrowdStrike、Fortinet、Trellix和SentinelOne等。这些安全厂商专注于通过实施新产品开发、合作和并购等增长战略来提高其市场占有率。这些战略进一步帮助市场参与者扩大地域并进入未开发的市场。
四、XDR的本地化与落地
XDR的技术路线发展演进是一个不断进化的过程。最初,XDR主要集中在终端检测与响应(EDR)技术的扩展,但随着时间的推移,它已经演化为一个更广泛的解决方案,包括网络检测与响应(NDR)、云安全、身份和访问管理等。XDR的演进路径包括:
整体来说XDR产品的实现模式可以分为三种不同模式,分别是“原生XDR”、“生态XDR”,以及“混合模式XDR”。
“原生XDR”依赖厂商自身的安全防护和数据采集能力来实现XDR,具有实施方便、集成成本低、数据和响应能力可控的优点。然而,缺点在于安全防护产品可能存在数据和遥测能力不足的问题,可能影响XDR的整体效果。
“生态XDR”具有较高的包容性,可以复用甲方前期的安全投入和安全建设,但它严重依赖第三方安全设备,整体集成成本较高,数据质量、遥测能力和响应处置能力相对不可控,因为它依赖第三方设备,存在一定不可控的风险。
“混合模式XDR”融合了“原生”和“生态”XDR的优势,可以接入原生的自有安全组件和第三方安全防护产品,实现了更灵活的集成。不论是数据还是安全能力,都可以通过混合模式XDR实现集成,兼顾了自有能力和第三方设备的优势。
五、未来挑战与应对
强大的安全覆盖需要最好的网络解决方案之间的集成和协作。同时,用户希望整合安全供应商和产品,发挥现有产品的价值,同时降低复杂度。实现安全设备实现无缝集成,对XDR至关重要,但目前市场上没有一家安全公司可以做到。
随着数字化转型的加速,企业的业务和数据不断向数字化平台迁移。虽然数字化带来了效率和便捷性,但也增加了网络攻击的风险。这使企业更容易受到各种网络威胁的威胁,包括恶意软件、网络钓鱼、勒索软件等。XDR作为一种综合性的威胁检测和响应解决方案,可以帮助组织更好地适应数字化转型,确保其数字化环境的安全性。
从长远来看,XDR扩展威胁检测和响应的效果保障之一是具备安全生态化与开放性。这一趋势反映了XDR解决方案的未来发展方向,旨在提供更全面、协同、互操作的安全体验,以更好地保护组织免受网络威胁的侵害。
安全生态化趋势
安全生态化是指建立一个综合、多层次的安全体系,其中各种安全解决方案、设备、应用和服务能够协同工作,共同应对威胁。这种生态系统能够更好地捕获威胁情报、分享威胁信息,同时提供综合性的威胁检测和响应。通过构建安全生态系统,XDR可以更好地应对威胁的多样性和复杂性。
XDR供应商将积极与其他安全生态系统的参与者建立合作伙伴关系,包括安全技术提供商、威胁情报供应商、合规性解决方案提供商等。这些合作关系将有助于构建更综合的安全生态系统,为企业/组织提供更强大的安全保护。
开放性趋势
XDR的开放性意味着它具有与其他安全解决方案和服务进行集成的能力。这种集成可以跨越不同供应商、不同领域的安全工具,使它们能够共同工作,共享威胁情报,提高整体的安全效能。这种开放性对于保护组织免受威胁至关重要,因为威胁的复杂性要求不同的安全工具之间能够有效合作。
XDR的开放性还涉及到支持开放标准和API(应用程序接口)。这意味着XDR解决方案应该提供易于与其他安全工具进行集成的接口,使不同厂商的安全工具能够协同工作。通过支持开放标准和API,XDR可以更好地实现多样化的集成,提高整体的安全性。
关于作者
陈毓端
虎符智库专家,未来智安联合创始人兼CTO,拥有十余年网络安全行业经验。他深耕网络攻防技术和安全架构设计多年,深入探索终端研发与终端安全,具备基于GoLang、PHP、Python、Openresty等语言的Web服务端开发能力,在大数据分析和企业级高性能技术架构等业务领域有丰富的落地实践经验。目前,他还担任PHP官方PECL开发组成员、安徽工业互联网产业联盟专家职务。由其主导研发的未来智安XDR平台已完成多个版本迭代,平台的扩展威胁检测与响应能力处于行业领先地位。作者还获评2023网络安全金帽子“年度技术突破者”。