2021年,中國網絡安全行業迎來了新的發展,以更加蓬勃的力量快速生長,呈現出欣欣向榮的景象。在此之際,WitAwards 2021中國網絡安全行業年度評活動也迎來了全新高度,誕生了一大批富有影響力的網絡安全代表,引領着網安行業快速前行。
WitAwards 2021年度評選入圍項目接近200個,競争激烈程度也是曆屆WitAwards年度評選之最,觀衆投票數量突破10萬。如今,WitAwards 2021中國網絡安全行業年度評活動已落下帷幕,八大獎項已有歸屬。
其中,極盾析策XDR平台斬獲“WitAwards 2021中國網絡安全行業年度創新産品(初創企業)獎”。
作為近年來異常火熱的安全技術概念,XDR平台吸引了行業内的目光。在2020年釋出的《Top Security and Risk Management Trends》報告中,XDR被Gartner列為第一項技術和解決方案。在Gartner Hype Cycle(技術成熟曲線)中,端點安全和安全運維兩個Hype Cycle也都提及了XDR這項技術,其重視程度不言而喻。
另外,随着攻擊者使用更複雜的戰術、技術和步驟(TTP)來繞過傳統的安全防禦措施,組織機構越來越需要一個統一的、主動的安全措施來保護整體技術資産,但也面臨一個新的問題:過多安全裝置産生的大量警報讓他們産生了警報疲勞;安全裝置之間資料內建太少,無法進行關聯分析,進而導緻無法對安全事件做出及時響應。
在這樣的情況下,人們對XDR安全技術的呼聲越來越高。那麼,XDR安全技術的魅力究竟在哪裡,被衆人寄予厚望的XDR技術能否解決上述難題?帶着這些疑問,FreeBuf特邀極盾科技技術總監鄭冬東進行專訪。
△ 極盾科技技術總監鄭冬東
根據Gartner 的說法,XDR的目标是“提高企業威脅的檢測準确性,并提高安全營運效率和生産率”。但XDR究竟是什麼,大多數人依舊一頭霧水。
采訪中,極盾科技技術總監鄭冬東則給出了一個通俗易懂的解釋:X代表的是“拓展”,通過對網絡端、主機端、終端、雲端等各個端點上的資料進行采集和關聯分析,拓展了企業中這些孤立的端點的能力;D代表的是“檢測”,也就是我們常說的各種網絡安全風險檢測,其中析策更側重于利用機器學習、算法模型來提高檢測的準确率;R代表的是針對風險和威脅事件的響應,強調的是一種自動化的能力。
被告警淹沒的安全
日前,國務院釋出了《“十四五”數字經濟發展規劃》,并指出數字經濟是繼農業經濟、工業經濟之後的主要經濟形态,且已經成為重組全球要素資源、重塑全球經濟結構、改變全球競争格局的關鍵力量。
數字化時代的加速到來既給企業帶來了新的發展機遇,也帶了新的安全風險挑戰。随着人工智能和大資料技術的更新,網絡攻擊正在向自動化、複雜化轉變,企業面臨的網絡安全形勢日益嚴峻。
其中,高頻率、全方位的自動化攻擊問題突出。随着自動化工具的大量使用,漏洞利用攻擊的機率越來越高,且攻擊門檻也越來越低,效率越來越高。網絡罪犯可以在短時間内,以更高效、更隐蔽的方式對大量不同網站進行漏洞掃描和探測,尤其對于0day/Nday漏洞的全網探測,将會更為頻繁和高效。
與之相應的是,企業安全和運維人員難以維持如此高的反應頻率。随着安全邊界的逐漸消散,傳統安全防護體系更顯得捉襟見肘,隐蔽且快速的網絡攻擊頻頻繞過防護體系,入侵系統内部,安全人員被迫疲于奔命。
近年來,網絡安全的重視程度不斷提升,企業也在逐漸加大對安全的資源投入,購買了大量的安全裝置和工具。調查顯示,企業安全營運中心平均使用的工具高達40多種,安全團隊将大量時間都浪費在維護和管理安全工具上,且由于網絡安全裝置之間未能有效關聯,互相之間的資料無法打通,是以隻能長期處于各自為戰的狀态。
這就給安全人員帶來了一個十分嚴重的負擔:大量、無效的裝置告警幾乎要将安全運維淹沒,而這些告警又不能不處理,是以消耗了大量的網絡安全人力資源和寶貴的時間,這就直接導緻了企業發現、處理安全問題的時間不斷被拉長。
例如某權威報告資料顯示,2018年網絡犯罪攻擊造成的損失達到1300億美元,平均攻擊識别時間增加至197天,平均攻擊修複時間增加至69天。這意味着,在被企業安全人員發現之前,攻擊者有充足的時間發起網絡攻擊,竊取敏感資料等。
對此鄭冬東表示,目前企業迫切需要更加主動的安全解決方案,能夠打破孤島效應,促進各類安全裝置關聯,全面提升威脅感覺能力,實時洞察安全風險,以自動化決策對抗自動化攻擊,把安全人員從紛繁複雜的基礎安全工作中解脫出來。
XDR安全技術的出現正是為了解決這一問題。它能提供了一種攻擊的檢測模型,橫跨各種端點、網絡、SaaS應用、雲基礎設施等各種可以處理的網絡資源,同時具備進階檢測、自動關聯和機器學習能力,不僅提高了檢測效率,還可以有效降低長期折磨安全人員的大量警告噪音,釋放企業寶貴的安全人力資源。
鄭冬東表示,人力成本是很多企業最大的成本之一,而析策恰好可以幫助企業降低安全人力成本、提升安全營運效率。
自動和智能是XDR的核心
業内普遍認為XDR源于EDR。EDR是一種安全工具,監視與網絡相連的終端使用者硬體裝置上的可疑活動與行為,并自動響應以阻斷察覺到的威脅。
但是EDR存在一個很大的問題,即無法實作不同裝置間的高效關聯,是以無法對某個威脅做出準确的判斷。
“例如企業的防火牆發現了有人在掃描,一般會被認為是一個低風險,但如果其他裝置也報告了相關聯的低風險,那麼就整體看,它實際上更加可能是一個高風險。因為每個裝置上的每個低風險都有可能是攻擊的一個小步驟,一旦入侵路線全部完成,就會對企業造成不良損失。”
對于裝置告警的高低風險之間的關系,鄭冬東進一步解釋到,“反之也是一樣,也許某個裝置報了一個高風險,但從整體來看,它可能隻是一個低風險,系統可直接進行處置、過濾,避免出現大量誤報的情況。”
這也是XDR和EDR之間最大的不同之處,也是XDR強于EDR的所在。随着XDR技術持續火熱,已有越來越多的XDR産品随之湧現。
對此,鄭冬東表示,關聯分析、響應和決策已然不是新鮮事物,市面上的傳統産品也大都會涉及,但是能夠真正解決企業面臨的安全問題,關鍵點在于自動化和智能,這也是XDR技術的核心。
總的來說,要實作自動化必須滿足兩個條件:一是建立統一标準;二是利用人工智能技術。統一标準有利于機器實作自動化,而人工智能擅長從一些非結構化标準化的資料中找出規律,兩者互相促進,互相配合,堪稱完美。
在實際操作中,自動關聯分析之前所有資料必須要按照一套統一标準進行提取、轉換和規範化,比如不同來源的資料,相同含義的字段要保持統一,機器才能自動去做關聯。
有了這兩個前提之後,自動化響應的實作就具備了可能性。但自動化響應是一個較為複雜的處理過程,需要和各類外部安全裝置進行對接。由于各裝置、産品之間标準不一,是以很難做到完全相容。為了解決這一問題,極盾創新性的提出了一個想法——“抽象”。抽象的過程,其實也是在做标準,比如抽象各類動作類、流程類的響應節點,再基于這些抽象的節點做自動化的流程編排,以此覆寫絕大部分的裝置和場景。
至于智能化決策,決策的核心在于根據客戶不同業務場景所面臨的風險,建構安全模型,再基于模型做出最終的風險決策。是以,鄭冬東認為智能化的要點在于:建構的模型能夠根據客戶不同業務場景、不斷變化的外部風險,不斷進行自适應的學習和修正。在這個過程中,人工智能技術就發揮了其重要的作用。
事實上,極盾打造的XDR産品——析策也正是這麼做的。除了自适應實時風險檢測能力、可編排的自動化響應與處置流程等優勢外,析策還擁有數十年安全行業資深專家沉澱下來的政策庫,可以讓企業立即具備海量資料的檢測、預警和場景化響應能力。
既要用好資料,更要做好安全
在鄭冬東看來,析策的出現并非是要重構企業的安全體系,相反,它可以有效融入既定的體系之中,且企業的安全體系越完善,析策給企業帶來的增幅就越明顯。
采訪中,鄭冬東進一步強調,析策在不影響業務效率的前提下,做到了資料利用和資料安全兩者間的最好平衡。
首先,析策采取的是旁路部署的方式,它更像是在對資料進行“取樣”,是以不會影響業務使用資料的效率。與此同時,通過資料增強機制,利用内外部已有資料源對現有資料進行補充增強,還可以讓資料更加充分地發揮價值。
其次,和設定權限、隔離等傳統的資料保護方法相比,析策在實際運作過程中,會對員工使用資料的行為進行旁路收集并實時分析,隻有在發現有風險時才會進行隔離阻斷,這樣不僅不會影響企業的正常營運,還提升了企業的安全水位線。
鄭冬東表示,如果把資料利用看作是橋,企業對資料的使用可以看作是在橋上行走,當橋上僅有一兩個人通過時,可能不會産生危險,但當一群人都要過橋的時候,就可能會出現意外。這時候就需要保護好橋梁,也就是強化資料安全防護。析策的目的不是為了阻止資料流動,而是讓資料更安全的流動,畢竟靜止的資料對于企業來說毫無意義,隻有對資料加以動态防護才能更好發揮它們的價值。
以人員内控為例,國内某大型地産集團内人員衆多,角色複雜,業務鍊條中有大量員工可以接觸和通路集團内敏感資料,他們的核心安全需求是對需要資料做有力的防護,以防止内部員工有意或無意的資料洩漏行為。于是選擇了析策平台接入了集團内部系統,通路了行為日志、系統主機操作記錄等來源的資料。
該地産集團在使用了析策平台後的某日,發現有位員工利用一些特殊工具,偷偷線上上系統運作的應用程式中植入背景代碼,對外暴露一個特殊API位址,以供其定期查詢敏感資料。這時析策平台通過實時分析系統通路行為日志,發現某主機存在被爬蟲爬取敏感資料的行為,平台立刻進行了預警。
安全營運人員在檢視該告警詳情時,和業務方确定後認定該API位址為非正常業務API。且經過平台自動關聯分析發現該行為所在的主機,在爬蟲行為發生前幾分鐘内,存在某員工在該主機上使用特殊工具進行疑似編譯代碼的違規行為。
最終經過對系統主機操作記錄的一系列溯源驗證,集團确定了該行為真實存在。于是安全營運人員在取得一手證據并留證之後,一方面通知相關人員協同線下處理該事件,另一方面通過析策平台及時關聯WAF對該API位址進行了封禁,有效地阻止了更多的資料被洩漏。
XDR技術大有可為
鄭冬東表示,未來XDR技術也許會出現分化:一是由于人工智能技術的深⼊應用,未來黑灰産必将進一步壯大,攻擊手段也将趨于自動化和多樣化,是以,威脅檢測領域需要依靠人工智能技術不斷提升檢測能力。
二是由于更強大的自動化響應能力。近年來,網絡安全人才缺口大,企業安全、運維人才緊缺,是以這将會更加依賴自動化處置的方式,避免寶貴的人力資源浪費在低效的重複工作之中。那麼這就要求XDR平台支援更靈活的劇本編排,支援更豐富完善的政策下發,能與更多的安全産品關聯。
事實上,這兩個方向也是析策未來的進化方向。鄭冬東透露,析策在研發之前就已經着重考慮了自适應能力和自動化響應能力兩個關鍵點,并為持續進化做好了準備。
在自适應方面,析策内置一套機器學習子產品, 能夠将安全營運專家經驗和人工智能相結合, 對隐蔽且持續多變的安全威脅進行多角度分析,自動适應個性化的網絡環境, 并不斷優化自身的安全防禦機制。
而在自動響應方面,析策可以基于企業風險資料和人員行為的實時分析,全面掌握企業風險态勢,制定場景化安全響應動作與流程,執行最優決策,實作自動化響應。
那時,孤立的安全将成為過去式,XDR技術将幫助企業從全局的角度應對網絡安全挑戰,助力企業安全團隊從整體安全的視角出發、以更加積極主動的姿态,去對抗日益複雜的網絡威脅。