深信服干货解读!XDR落地实战,这两点需要满分理解
7月19日,在工业和信息化部网络安全管理局指导下,中国信息通信研究院(以下简称“中国信通院”)召开网络安全卓越验证示范中心(以下简称“卓越中心”)2022年卓越合作伙伴大会。深信服作为卓越中心合作伙伴受邀参会,并就“XDR落地实战关键技术”做全面解读与分享。
此次大会聚焦卓越中心与合作伙伴的多项成果发布,卓越示范中心名誉主任/中国信息通信研究院副院长魏亮、卓越示范中心主任/中国信息通信研究院安全所所长谢玮、卓越示范中心执行主任/中国信息通信研究院安全所副所长孟楠等领导出席了会议并发表讲话。 目前,深信服已经就创新技术研究、安全能力标准与验证等方面与卓越中心开展了多项合作。未来,希望在安全创新产品的标准化、规范化、智能化方面发挥双方优势,共同推进网络安全产业的发展。 干货满满!XDR落地实战,这两点需要满分理解 深信服安全技术专家顾立明受邀参加大会,并发表了“XDR落地实战关键技术解析”的主题分享。
自2021年起,我国先后制定颁布多项政策法规用于规范企业网络安全建设,包括《关键信息基础设施安全保护条例》《网络产品安全漏洞管理规定》等,从多个维度制定网络产品规范,为国家和企业信息安全建设提供了规范和指引。 同时在数字化转型日益深入的驱动下,用户大量的关键业务资产分布在越来越多的网络中。高级的、潜伏的、产业化的新型攻击伺机野蛮生长,而传统的、分散的安全设备难以招架。用户购买了一堆安全设备,却无法协同工作,安全事件依然频发。 顾立明指出,这势必对安全厂商和用户的安全建设提出新的要求,需要学习新的安全理念、升级新的安全技术,以解决威胁检测响应难题——XDR由此诞生。 基于多年在威胁检测响应领域的技术钻研与积累,深信服对XDR关键技术与核心价值形成一套完整解读: 满分理解XDR关键技术,构筑实力壁垒 1.全面遥测数据采集 XDR将网端云采集的遥测数据进行聚合与分析,可以深度了解所保护或监控的对象中是否存在的安全风险与攻击,甚至可以回溯之前已经发生过的安全事件,让网络安全具备高度可见性。全面遥测数据采集是安全大数据分析上的巨大进步,通过节省带宽与数据成本,为规模化和SaaS化部署奠定了基础。
2.AI驱动的自动化威胁狩猎 XDR需要发现各种具备高度绕过、逃避技巧的攻击,需要发现针对性极强的定向攻击,这就意味着XDR必须提供基于攻击技战术的行为检测能力——威胁狩猎。同时,考虑到狩猎专家的稀缺性,XDR不可能依赖以人为主的狩猎,而需要基于AI或者机器学习的方式,以多维检测形成合力,应对各种复杂场景下的攻击威胁。
3.自动化响应 对于已经渗透到内部的攻击,XDR需要尽快阻止攻击行为,同时识别出关键风险,进行危害根除,并对被利用的薄弱点加固处理。整个过程非常注重时效性,需要抢先在攻击者之前完成,因此依赖自动化的机制,才能有效减少MTTR(Mean Time To Response, 平均响应时间)。
满分理解XDR核心价值,直击落地实战痛点
价值一:主动应对潜伏威胁 如何有效对抗潜伏威胁,业界已形成共识:通过检测攻击者的技战术(TTPs)来规避其易于变化的部分。因此,尽可能多覆盖ATT&CK中的技战术,是XDR探索与建设过程的的重要目标。 深信服SaaS XDR可覆盖ATT&CK 264项技战术,无论是低成本、破坏性小的自动化攻击,还是到高级潜伏、破坏性大的0day漏洞攻击,都无所遁形。
价值二:网端遥测构建多维安全视野 全面的多维度安全视野,意味着可以从终端、网络、服务器、云环境等不同的安全组件中获取数据,做到360度无死角的监控。因此,XDR需要考虑对云、网、端、身份等信息全面覆盖。 特别是网和端,两者各有特点,互为补充,深信服SaaS XDR通过整合EDR、NDR能力,能够构建多维的安全视野,让安全运营人员在一个工作界面中,完成检测、分析、响应的绝大部分工作,以显著提升工作效率,保证工作所需数据可以在这个平台上便捷获得。
价值三:攻击可视化还原事件全貌 黑客的攻击行为往往不是一蹴而就的,会在各个路径上留下痕迹,通常以网络(N:Network)、终端(E:Endpoint)为主。随着用户业务环境的不断变化,云环境、容器的大量使用,这些节点也会成为黑客的攻击路径之一。 XDR需要从终端失陷溯源、攻击影响面、多主机事件关联和攻击者画像的视角,提供每个威胁攻击过程的高度可视化,使安全运营更高效、安全态势把握更准确。 深信服SaaS XDR正是通过采集关联网络侧和终端侧的遥测数据,如网络连接信息、数据包关键内容、终端进程调用、计划任务等,将端、网、云等遥测数据进行故事线关联,构建完整、高质量的可视化进程链,实现分钟级入侵识别。
价值四:深度溯源根除攻击影响 在事件响应过程中,以往安全设备容易出现的错误就是“头痛医头,脚痛医脚”。针对安全事件未能彻底清除攻击影响,以及攻击者使用相同的攻击面进行重复攻击的情况,XDR提供了专门的“根因分析”机制,为分析人员提供对安全事件的全局把控,从而彻底清除事件影响、复盘企业信息系统弱点,构建更完善的防御体系。 深信服Saas XDR通过攻击链还原、端网关联分析技术,基于后向和前向溯源分析,提供了自动化根因分析和攻击影响范围分析的能力。 根因分析:基于后向追踪分析,XDR在发现攻击的蛛丝马迹时,立即对历史数据进行回溯,发现攻击的可能入口点,帮助分析人员定位攻击根因,提供加固建议。 攻击影响面分析:基于前向追踪分析,XDR在定位入口点后,快速发现此次攻击的所有路径,确认受影响资产,提供精准全面的根除建议。
深信服可扩展检测响应平台XDR 一种基于SaaS的安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将关键数据聚合,通过网端聚合分析引擎、上下文关联分析,实现攻击链深度溯源,结合托管式安全检测与响应服务MDR,释放人员精力;同时具备可扩展的接口开放性,协同SOAR等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验。