从防御到应急响应 XDR如何应对数字威胁

　　这是个全新的世界，不但会出现新的商业模式和数字物种，更能需要新的秩序和生存法则。当传统的网络安全防护理念已经无法适应当前的网络安全形势，人们的网络安全观已经到了必须革新的时候了。正所谓“思维决定行动”。

D-Link Covr-C1203

[经销商] 京东商城

[产品售价] 1199元

进入购买

　　2017年，Gartner提出了精密编排的自动化响应SOAR模型（Security Orchestration，Automation and Response），并且提出将安全产品以及安全流程链接和整合起来，通过预定义的工作流（Work flow）和工作脚本（Playbook）来标准化事故的调查处置流程，提升威胁响应的自动化程度和执行效率。在亚信安全高级威胁治理专家白日看来，SOAR模型一经问世，便得到了信息安全厂商和大部分用户的认可，其原因如下：

　　·缩短应急处置安全事故的时间

　　·减少和优化传统SOC中不必要和冗余的工作

　　·安全产品整合的API加速了自动化

　　·丰富的安全数据服务：威胁情报平台TIP

　　·提高告警分析的质量和侦测发现能力

　　·提高工作精准度，安全运维流程的文档化以及证据的管理

　　·减少培训新安全运维分析人员的代价

　　·整体提高衡量和管理安全运维的能力

　　而据白日介绍，2018年，正直检测和响应市场（Detection & Response）爆发的前期，SOAR、EDR、NDR、NTA、MDR、UEBA等概念和技术此起彼伏，在市场还在消化和吸收各种声音的时候，亚信安全已对高级威胁治理进行了全面升级，并推出了以EDR和NDR为技术支撑、以MDR为服务支撑，以SOAR自动化精密编排为工作流支撑的XDR体系。

　　XDR可以解决什么问题？

　　应该说，XDR体系解决了持续演化的高级威胁和安全运营能力不匹配的矛盾。

　　1.持续演化的高级威胁

　　无论是以APT（高级持续性威胁）为代表的定向攻击，还是以勒索、挖矿、钓鱼、广告诈骗为代表的大规模攻击，攻击者不断尝试使用新型攻击技术，企图绕过传统检测机制对目标发起攻击以达到某种目的，这种威胁我们统称之为“高级威胁”。

　　为了统一威胁的描述，避免盲人摸象一般去谈论威胁，可将威胁依次划分为四个层面的内容，即威胁描述分层模型，也称威胁描述“点、线、面、体”四层次模型。

　　高级威胁的发动者无时无刻不在找寻渗透企业IT环境的途径，其中一个最容易的通道，就是利用终端上的漏洞。因此，白日表示很多企业在 “修墙御敌”理论支撑下做了大量工作，无论是部署防火墙、防病毒、IPS等基于策略和规则的安全设备，甚至是基于行为和大数据分析等安全软件的采购，然而百密一疏，严防死守的方式显然已经无法满足当前的安全需求。

　　这更像是“马奇诺防线”在网络世界的再现：虽然企业在正面已经构建起坚固的安全防线，但是网络攻击者正在采用迂回的策略，渗透到防线背后，让网络安全防护系统丧失作用。

　　2.安全运营成熟度及能力

安全运营四阶段成熟度及能力鸿沟

　　从上图中看到，超过90%的用户完成了“阻断”阶段的安全运营建设，大约60%的用户着手“发现”阶段的安全运营建设，但只有不足5%的用户具备有限的“响应”阶段的安全运营能力。不难发现，从“发现”阶段到“响应”阶段，事实上存在着一条巨大的安全运营“能力鸿沟”。正是这条能力鸿沟，致使高级威胁治理的落地遭遇了现实的瓶颈，而XDR的关键，就是解决这个现实问题，把“空”口补上。

　　那么，不妨先研究一下，从“发现”到“响应”到底需要怎样的能力构成？到底是哪些关键能力的缺失影响了用户的安全运营？

　　白日随后指出，大量成功实践告诉人们，从“发现”到“响应”包括以下四个步骤的能力构成：

　　第一步，“告警受理”：来自各类检测工具的威胁告警通常会汇集到用户的态势/SIEM/SOC平台，然后以工单的方式派发出来，接下来就是“告警受理”这个步骤，这个步骤包括两部分内容：告警分类和优先级划分，也就是告警的预处理；

　　第二步，“定性分析”：判断威胁的真实性，确认威胁的本质和攻击者的意图；

　　第三步，“定量分析”：回溯攻击场景、评估威胁的严重性、影响和范围；

　　第四步，“响应”：根据响应脚本，制定并执行响应策略，完成修复补救。

　　以上过程需借助EDR、NDR、威胁情报、沙箱、ATT&CK等相关工具，以及MDR检测和响应安全专家服务，执行自动化告警预处理、验伤和取证、以及制定和执行响应策略等具体工作内容，整个过程还需要案件管理、响应预案、自动化精密编排等流程作为保障，把这些内容放在一起，就构成了SOAR。

　　但是，受限于用户安全领域专业技能的缺乏，流程自动化程度不高，以及配套的工具支撑不够完善，以上每个环节的问题都可能被无限放大，最终导致战略落地困难重重。

　　3.错误的思维方式，导致错误的行动

　　比如：市场上不少人会认为只要检测到了威胁就可以及时作出响应，对于早期市场用户来说，很容易就接受了从“检测”到“响应”的最直观的解决方案，而且这种解决方案确实很符合广大企业，尤其符合中小企业的安全运维能力现状。很多厂商也迎合这种早期需求推出了简单的产品组合方案，试图将“检测”和“响应”这两个过程顺理成章地过渡起来。

（编辑：宁德站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!