这是一个全新的世界,它不仅需要新的商业模式和数字物种,还需要新的秩序和存在法则。当传统的网络安全防护理念不能适应当前的网络安全形势时,是时候创新网络安全理念了。“思想决定行动”。
2017年,Gartner推出了高度编排、自动化就绪的SOAR模型。(安全调度、自动化和响应)建议将安全产品与安全流程联系起来并集成在一起,以建立预定义的工作流程。我们建议通过(工作流)和工作簿(Playbook),使事件调查和处理流程标准化,以提高威胁响应的自动化和执行效率。当SOAR模型出现时,它被信息安全供应商和大多数用户所接受。缩短安全事件的应急响应时间减少和优化传统SOC中不必要和冗余的工作安全产品集成API加速了丰富安全数据服务的自动化。提高威胁情报平台TIP警报分析的质量和检测能力提高工作准确性,记录安全运营流程和管理证据降低培训新安全运营分析师的成本提高衡量和管理安全运营的整体能力2018年完整性检测与响应在市场(检测与响应)爆发的早期阶段,SOAR、EDR、NDR、NTA、MDR、UEBA等概念和技术相继出现,而市场仍在消化吸收各种声音,Asian Security全面升级先进的威胁治理,引入EDR和NDR作为技术支持,MDR作为服务支持,SOAR自动化精密编排。它支持XDR系统作为工作流支持。XDR可以解决哪些问题?XDR系统解决了安全操作能力与不断发展的高级威胁之间的不匹配问题。1.无论是以高级持续威胁(APT)为代表的针对性攻击,还是以勒索、挖矿、网络钓鱼和广告欺诈为代表的大规模攻击,攻击者都在不断地使用新的攻击技术,试图绕过传统的检测机制来达到特定的目的。为了统一对威胁的描述,避免盲目的人谈论威胁,我们将威胁分为四个级别。威胁描述层次模型也被称为威胁描述的“点、线、面和体”。
高级威胁制造者一直在寻找方法来渗透企业的IT环境。最简单的方法之一是利用端点中的漏洞。因此,许多企业在“修敌墙”理论的支持下做了大量的工作,无论是部署防火墙、防病毒、IPS等基于政策和规则的安全设备,甚至采购行为和大数据分析等安全软件,但严格来说,这是一个问题。严格的防御方法显然不能满足当前的安全需求。这类似于在网络世界中复制马其诺线。虽然企业正在建立强大的安全性,但网络攻击者正在采取迂回的策略,渗透到防御的背后,并使网络安全保护系统失效。2.安全操作成熟度和能力
从上图可以看出,90%以上的用户在“封锁”阶段完成了安全运营建设,60%左右的用户在“发现”阶段开始了安全运营建设,但在“响应”阶段,安全运营能力有限的用户不到5%。从“发现”阶段到“响应”阶段,很容易看出安全操作存在着巨大的“能力差距”。正是这种能力差距,使得先进威胁治理的落地面临着真正的瓶颈。XDR的关键是解决这个现实问题,填补“空白”。首先,让我们来看看从“发现”到“反应”所需的能力是什么。哪些关键功能会影响用户的安全运行?
图表:许多成功的案例表明,从“发现”到“响应”包括以下四个步骤:第一步,“接收警报”:来自各种检测工具的威胁警报通常被汇总到用户状态/SIEM/SOC平台中,并作为票据分发。报警的分类和优先排序,即报警的预处理;步骤2:“定性分析”:确定威胁的真实性,确认威胁的性质和攻击者的意图。第三步:“定量分析”:跟踪攻击场景并评估威胁的严重性、影响和范围。第四步,“响应”:按照响应脚本,制定响应策略并运行,完成修复修复。上述流程应采用EDR、NDR、威胁情报、沙盒、ATT&CK等相关工具,以及MDR检测和响应安全专家服务,实施自动报警预处理、损伤检测和取证,以及制定和实施响应策略等具体工作内容。整个过程还需要案例管理、响应计划、自动精确编排等流程作为保证,将这些内容放在一起,就构成了SOAR。但是,由于用户在安全领域缺乏专业知识,流程自动化程度低,配套工具支撑不完善,上述每个环节的问题都将无限放大,最终难以战略落地。3.市场上的许多人认为,只要威胁被检测到,他们就能及时做出反应。对于早期市场用户来说,很容易接受从“检测”到“响应”的最直观的解决方案。该解决方案与绝大多数企业非常契合,尤其符合目前中小企业安全运营和维护能力。为了满足这一早期需求,许多制造商推出了简单的产品组合解决方案,试图在“检测”和“响应”这两个过程之间自然过渡。然而,多年来先进的威胁治理实践已经一次又一次地打破了这个简单的想法。每个项目都需要大量的实践。当用户接受并部署高级威胁检测类型的产品和解决方案时,不仅会暴露网络中隐藏的各种污染物,还会产生大量可疑威胁警报,当操作人员收到警报处理调度时,噩梦也会发生。“82%的人只活跃一小时,70%的人只出现一次”如何捕获恶意软件并分析恶意软件的活动。由于通过网络检测到的可疑威胁对象在终端上往往没有保留或活动的迹象,运维人员如何确定警报的真实性?如何创建有价值的警报分析报告?你将如何制定和执行你的处置战略?在采用这些检测技术之前,用户几乎不关心先进的威胁,但采用了这些检测技术之后,由于技术实力、知识储备、专业知识和现有的流程无法应对如此大量的警报,因此会有用户逐渐后悔。即使是绝大多数用户也没有准备好应对这些警报,用户开始怀疑这些检测产品或解决方案的价值,并选择搁置这些产品或解决方案,或者忽略这些警报。很多人会说,造成上述现实尴尬的原因是由于先进威胁检测技术不成熟导致误报率高,无法为用户提供高质量的警报。然而,即使是最熟练的医生,如果没有专业的分析工具和技术以及过去的经验,也不能完全诊断出可疑的症状。事实上,这种现状是由于大多数人在市场初期从“检测”到“响应”过于简单化造成的。从“检测”到“反应”,我们无法避免“分析”这一关键阶段。然而,Gartner和大多数第三方分析师报告都没有对“分析”的各个方面进行太多讨论,也没有将“分析”纳入自适应模型的关键阶段。但是,无论如何,“分析”阶段将承载“检测和响应”的核心业务逻辑。XDR系统的核心配置强调了从“检测”、“分析”到“响应”的整个过程的核心功能,并将由EDR、NDR、MDR和SOAR组成的高度协调的自动检测和响应系统定义为XDR,即亚洲安全高级威胁管理战略3.0的核心。
如前所述,威胁描述模型包括“点、线、面、体”四个层次,威胁治理模型包括“检测、分析、响应、预测”四个层次,将这两个模型叠加在一起形成螺旋矩阵,并在每个矩阵空间标注相应关键技术时,将其作为一个矩阵空间。形成了亚洲安全XDR“技术螺旋矩阵模型”。如下图所示:
XDR技术螺旋矩阵模型2. XDR核心业务逻辑和工作流产品螺旋矩阵模型结构化地描述了与高级威胁管理策略相关的所有产品的位置和静态关系。下图展示了XDR的核心业务逻辑和工作流程。
XDR解决方案包含三个核心要素:标准规划、专业调查工具和安全响应专家。(1)标准规划从近期亚洲信用安全为金融用户提供的大量应急响应规划来看,针对每一种黑客攻击的规划都采用了XDR的七个步骤,包括“准备、检测、分析、威慑、消除、恢复、优化”策略,以确定用户遇到不同类型的威胁时如何应对。例如,许多企业在终端主机和网络流量方面遇到了异常,但在普通用户层面却没有明显的网络攻击现象。目前,XDR的方法是获取威胁数据,并将数据集中在本地威胁情报和云威胁情报上进行分析,分析黑客攻击的时间、路径、工具等所有细节,提取其特征,并对其进行遏制、移除、恢复和优化。高效准确的应急响应需要专业的工具和设备支持,能够在网络级别、服务器和终端核心级别检测异常情况。这是确保黑客知道他们做了什么,他们的目的是什么,以及他们是如何做到的关键。这些专业工具包括以下几个方面:先进的威胁终端和主机检测系统OSCE/DS;终端和主机存储取证系统CTDI;先进的威胁网络检测系统TDA;先进的威胁网络接入系统TRA;先进的威胁情报系统TIP;先进的威胁分析仪DDAN;先进的威胁综合取证检查和损坏分析系统UAP;而本地和云端威胁情报“双环”机制是该计划中非常重要的工具,它们在高度协调的计划下运作,并允许每个安全节点以APT为目标。像赎金软件这样的高级攻击的特征是检测、收集、分析和响应。其中,亚洲安全的EDR通过云和本地威胁情报“双环”、沙盒分析、网络取证、终端取证、大数据相关分析等技术手段,分析基于网络和终端的黑客攻击。我们采用动态调查审计和审计技术DIA(Dynamic Investigation & Audit),以确保取证内容的司法有效性和公司不当行为内部审计的准确性。专业的高级安全专家服务对于XDR应用程序的成功至关重要。与传统MSSP主要为客户提供安全操作和一般安全事件响应不同,Asian Security MDR的本质是以防御和防御为核心的高级安全专家服务,该服务主要支持重点行业的关键客户。为了保护核心资产,以应对目标型攻击(Targeted Attack)为目的。ASCI安全MDR是XDR圣诞树系统的顶星,是从“检测”到“响应”的所有技术和能力支持中要求最高的环节,是制造商能力的基石,是客户的最后一道防线。对于重大威胁事件,ASCI Security MDR提供一系列安全服务,包括事前、中、事后的威胁检测、分析、反制、伤害检测、证据收集和补救,包括阻止入侵、确定影响范围、协助恢复生产、调查、收集证据和提出补救建议。在准备阶段,安全专业人员使用取证产品和工具来了解黑客程序和攻击路径,并找到关键攻击线索。在实施阶段,通过确定影响范围,服务团队在现场收集数据,并使用取证产品获取关键信息,并找到完整的证据链。在最后阶段,服务团队将提供完整的黑客报告并存储原始和法医数据,客户可以使用后续的纠正程序来防止类似的攻击。2019年5月7日至8日,C3安全峰会--全球网络安全从业者关注的网络安全盛会将在成都举行。本次峰会以“预先构建未来”(Plan UP)为主题,与国家网络安全战略紧密一致,结合5G、人工智能、物联网、大数据等尖端技术和创新技术,应对当今世界正在经历的科技革命和产业变化,分享世界最先进的安全技术战略展望。我们将深入探讨5G商业应用中的各种威胁风险,帮助用户打造智能、可靠、安全的网络新场景。共同应对数字时代的网络安全风险,共同建设未来。