近年来,随着数字产业化和产业数字化进程加快,网络安全的基础性、关键性作用更加突出。加之百年变局和世纪疫情交织叠加,国际环境日趋复杂,网络霸权主义对世界和平与发展构成威胁,国家产业链、供应链及关键基础设施频繁遭受冲击,网络空间安全的形势复杂多变,针对关键基础设施行业和新技术、新场景的网络安全威胁事件频发。针对企事业单位的网络攻击正在变得更加隐蔽和复杂,攻防对抗从原来的技术之争演变为速度之争。虽然此前已配备了防火墙、IDS、 IPS、WAF、SIEM、SOAR等安全设备,但这些设备每天产生海量告警,且来自不同厂商的设备各自为战、检测割裂,难以将多个节点的痕迹自动关联成一个完整的攻击案件,安全团队及时跟进告警分析与事件响应的难度大。
报告显示,当前威胁检测和响应工作和两年前相比更加困难,一是威胁数量大幅增加,运营层面没有将攻击痕迹自动关联成攻击案件;二是有效攻击识别及处置不够智能化,安全人员在无效事件处理上耗费大量时间;三是响应手段不够实战化,当安全事件发生时,响应时间按天计算;四是业务安全能力无法做到精细化和场景化,处在宏观可视层面,难落地。用户迫切需要一个更加实战、精细、智能的安全运营平台,解决威胁事件的检测、溯源、取证、响应与处置问题。
9月5日,在国家网络安全宣传周开幕首日,专注「网络攻击溯源」的安全厂商中睿天下正式发布XDR整体解决方案,这是一套站在“攻击者视角”,基于“攻击对抗”思想融合EDR、NDR、MDR、情报云能力,具备安全能力组件化持续扩展与集成特质,面向威胁事件的实战化对抗安全运营平台,该平台包含监测、溯源、防护、响应、对抗、运营六大逻辑板块,实战化运营从攻击前认清风险、整改加固、定期演练,攻击中拦截、监控、溯源、应急,攻击后修改整改、常态运营共计三个方向九个动作展开,对客户云、网、端进行威胁检测与响应,有效提升客户的安全运营效率,提高威胁检测精度,节省人员成本,缩短应急响应时间,实现安全运营的降本增效。
日前,安全419独家采访了中睿天下总经理刘庆林,邀请他就刚刚发布的XDR解决方案,围绕自身对XDR的理解、中睿天下的安全运营理念以及XDR解决方案演变之路,进行深入的剖析和解读。
2018年,Gartner 提出了XDR(Extended Detection And Response:扩展威胁检测与响应)的概念。XDR作为一项新兴的威胁检测与响应技术,结合数据中台技术、自动化编排技术及安全分析技术,形成面向已知和未知安全场景的综合性安全解决方案。其中,“X”代表着安全能力的持续扩展。
2022年,在Gartner发布的安全运营技术成熟度曲线(Hype Cycle)中,XDR更是站上Peak of Inflated Expectations的顶端,成为安全运营体系中最炙手可热的技术之一。
刘庆林谈到,在Gartner提出XDR概念后,国内部分安全厂商开始了相应的产品研发,但由于各家安全厂商对XDR概念的理解不同,产品也存在较大差异,这种差异性为用户带来巨大困扰。
“针对新的安全概念,用户的感知不像安全厂商那么敏感,他们的关注点会聚焦于如何解决面临的实际需求上。安全的概念层出不穷,但是用户的痛点变化不大,他们刚刚理解了什么是EDR、NDR,XDR又马不停蹄地出炉了。甚至有用户开玩笑说,什么是XDR?X就像是一个需要不停投资的无底洞。”
刘庆林表示,从技术视角看,XDR并非新鲜事物。在更复杂的安全形势下,用户更加聚焦实战攻防并以结果为导向,XDR能够将原有的安全技术和手段进行有机地排列组合,通过系统的更新和升级,更有效的解决检测与响应的难题。从严格意义上来说,XDR并不是一项创新的安全技术或产品,而是面向高级威胁提出了更有效的安全运营解决方案。
“从Gartner的定义来看,XDR被称为可扩展的威胁检测与响应技术,它仍然是以威胁为对象,解决当前检测与响应技术方面的不足。早在XDR提出之前,国内就已经在强调‘云管边端’的防护理念,如果在这个基础上增加‘人’的维度,就已经符合了XDR在各个维度做扩展的思路。”
所以中睿天下对XDR的定义是:XDR是一个新一代安全运营解决方案,它采用平台+组件+服务的组合方式,通过对终端、网络进行数据的采集、处理和分析,能够将不同时点产生的攻击片段自动化整合成攻击事件,并结合安全专家能力,进行自动化的攻击研判、标准化的响应处理、更高效的攻击事件处置,最终有效支撑用户常态化的安全运营,为用户的网络安全赋能。
过去二十年里,多数用户已采购了防火墙、IDS、IPS、WAF、防病毒软件等大量的安全设备和安全软件,如何让网络中各自为战的安全设备和软件更加有效的协同运营,并以联防联控的方式使其各司其职并发挥应有的作用,这是摆在安全运营者面前的第一道难题。
此外,这种传统的、碎片化的安全建设方案还催生出了告警风暴,用户内部屈指可数的安全运维人员被淹没在海量安全告警中。“所有的检测设备都会提醒你疑似发现异常,但告警是否准确?攻击是否真实发生?这个判定的过程本身就是一件很有挑战的工作。”
在海量的告警信息中鉴别出真正有效的攻击后,如何快速处置并将一个个独立的攻击片段聚类还原成一次系统的攻击事件,继而将多起攻击事件串联形成一个攻击案例,并在下一次攻击到来前实现精准防护,这是摆在用户安全运营中的第二道难题。
最终,安全运营的种种问题还要回归到“人”。安全产品的品类过于繁杂,这就对安全运营人员的能力要求极为苛刻,加之能够精通多品类安全产品的安全运营专家具有一定的稀缺性,如何通过一套标准化、更友好的安全运营平台,让不同水平的安全运营人员都能及时、有效地进行标准化、流程化的安全威胁处置工作,降低对安全运维人员个人能力的依赖,成为摆在用户面前的第三道难题。
刘庆林指出,随着攻防对抗的日趋激烈,攻击者也在向着更智能和更隐蔽的方向进化。“攻击者的手段和技术已经有了大幅的进化,一个攻击手法从诞生的那一刻起,就已经将如何绕过市面上的安全防护设备作为出发点。以秒拨攻击为例,攻击者会在一次攻击事件中,利用秒拨的手段伪造10万个以上的IP地址同时发起攻击,而真正的攻击则以加密数据包的形式隐藏其中,所以如何发现有效攻击则成为防护的难点。”
刘庆林认为,以静态检测能力来对抗动态攻击是当前安全运营头号挑战。“过去大家面临的问题是怎样发现自己被攻击了,但现在面临的问题已经变成了如何在独立的攻击碎片中发现更深层次的未知威胁,所以整个安全行业迎来了更大的挑战,我们必须向下一个阶段进化。”
图:中睿天下XDR解决方案架构
计算机网络由终端和网络构成,不同的终端设备之间要通过网络进行对话,这个过程中产生了大量的流量。因此,对终端和网络流量数据的分析检测是网络安全最核心的环节。
刘庆林谈到,在长期服务关键行业用户的过程中,中睿天下深入了解用户业务场景和真实痛点,多年来中睿人秉承实战对抗的基因,面对真实威胁态势,帮助用户消除了一个又一个安全隐患。目前,中睿天下通过自主研发已经形成了系列产品布局:从网络威胁检测与响应系统(NDR)到终端威胁检测与响应系统(EDR),再到托管检测与响应服务(MDR),并构建了一整套具备核心竞争力的中睿天下XDR解决方案体系。
刘庆林介绍,中睿天下围绕网络层面打造了网络攻击溯源、Web攻击溯源、邮件攻击溯源、全流量回溯、资产风险监测、账号安全监测、链接及文件沙箱、SSL解密网关、邮件网关在内的加密和非加密网络流量检测溯源系统,形成了中睿NDR产品矩阵;围绕终端层面开发了基线检查、调查取证、监测响应系列产品,安全分析对象涵盖了操作系统(Windows、Linux等)、底层固件、内存、文件、日志、网络及IOT设备等,形成了中睿EDR产品系列布局;围绕实战化对抗层面研发了攻击决策辅助系统、钓鱼演练系统、蜜网等产品矩阵,形成了中睿对抗产品矩阵;围绕服务层面开展了溯源、应急响应、托管运营、专家值守、安全巡检、风险评估等服务矩阵,形成了中睿服务产品矩阵;围绕运营层面构建了微应用态势感知平台、睿云管控平台、一键封禁等产品系列,形成了中睿运营产品矩阵。
他表示,中睿天下能够解决的安全问题一直都十分明确,网络层面帮用户解决针对网络威胁的检测、发现、拦截、防护问题,终端层面帮用户解决来自威胁发现、溯源、取证和防护问题;随后依托可扩展威胁检测和响应安全运营平台,将来自不同安全厂商的不同类型、不同位置的安全设备连接起来,以精准防护的思路,从海量告警数据中将不同位置的攻击片段抽离出来,组合成攻击事件,事件组合成攻击案件,最终以友好可视化的形式进行呈现,降低对于安全运营人员水平的依赖,帮助运营人员实现更加快速、高效的流程化处置。中睿天下XDR通过NDR/EDR/MDR全方位的数据采集和多源异构数据接入处理,采用大数据分析、机器学习、行为监测、安全建模、自动化编排、加密流量分析、狩猎诱捕、攻击取证、追踪溯源、攻击画像、云托管等技术,结合攻击者视角、运营视角、业务视角,帮助用户实现了对安全事件的检测、溯源、取证、跟踪、处置全流程闭环。
谈及中睿天下这一套XDR解决方案的技术优势,刘庆林分享到,中睿天下是一家将「网络攻击溯源」刻在基因里的公司,在公司成立至今的8年时间里,围绕网络威胁来进行持续对抗是中睿天下专注和聚焦的事情,足够的专注也让中睿积累下了独具特色的技术壁垒。XDR同样不应该是一个大而全的大杂烩式解决方案,而是要精细地深入到每一个威胁检测单元去做精准的检测和响应。因此,中睿天下实际上是把这道大杂烩中的食材全部拆分出来,对每一道菜品进行精加工,给用户呈现出一桌满汉全席。
什么样的XDR解决方案才会得到甲方用户的认可?
刘庆林认为,作为一个以解决安全运营痛点为目标的综合解决方案,除了检测与响应能力外,用户体验也是一个核心因素。安全人员短缺、能力参差不齐是每家甲方企业当前都要面对的现实问题,在有限的人力条件下,将来自不同设备的关联性告警信息聚类成为一个安全事件,引入完全自动化、流程化、制度化的工作模式,实现提效减负。
例如,在国家电网的安全运营平台中,中睿天下提出了5秒响应的理念,首次引入开关量模型并进行可视化展示,从而将安全运营工作简化为两种结果:安全OR不安全。绿灯亮表示安全;红灯亮则表示检测到有效攻击,提醒运营人员迅速一键处置;若黄灯闪烁表示检测到正在进行中的攻击行为,需要予以关注。开关量模型让不同安全水平的运营人员能够最大程度提高运营效率,发挥自己的价值。
采访最后,我们请刘庆林就当前XDR未来发展方向的问题分享了他的洞察和思考。刘庆林认为,精细化、智能化、个性化和场景化将是未来XDR的重要方向。
首先,实现精准防护的唯一路径,就是要从云、管、边、端、人五个维度出发,不断进行精细化拓展,最终以更细粒度的方式实现威胁检测、发现、溯源和防护。
其次,要进一步实现更智能的安全运营,在XDR中规模化引入AI技术是一个必然趋势。通过对威胁数据进行大数据的关联挖掘和识别攻击者,利用机器学习技术进一步快速判别攻击手法,反向定位黑客,并进行攻击溯源分析,促进XDR解决方案向智能化升级。
第三,为更高效的应对动态变化的安全威胁,防御侧或将走向个性化,即依据不同终端的特性,自动化形成检测与防护模型,实现更高效和准确的安全防护,这也是未来XDR进化的重要方向。
最后一个趋势是场景化,过去安全行业做的事情更像是通用型解决方案,不管什么网络都可以套用流量检测系统。但是在不久的未来,无论是办公网、生产网还是专网,都会更加的场景化。因此安全厂商需要更加深层次地了解用户真实的诉求,甚至去补充用户安全的角色,只有场景化才有可能打造出契合用户需求的安全解决方案。