从防御到应急响应 XDR如何应对数字威胁
|
然而,这么多年的高级威胁治理实践一次次粉碎了上述这种简单的想法。任何方案的落地都需要大量实践相佐证。当用户接受并部署高级威胁检测类型的产品和解决方案之后,随之而来的不仅仅是揭开了藏匿在网络中各种污垢,还包括了海量的可疑威胁告警,当运维人员接到告警处置派单时,噩梦也接踵而来。如何捕捉到“有82%只会保持一个小时的活跃性,70%只会出现一次的恶意软件”,如何分析这些恶意软件的活性?往往通过网络检测到的可疑威胁对象,在终端上却找不到任何留存和活动的迹象,运维人员如何判断告警的真实性?如何给出一份有价值的告警分析报告?如何制定和执行处置策略? “在没有采用这些检测技术之前,用户对于高级威胁大多眼不见心不烦,而采用了这些检测技术之后,逐渐有用户开始后悔了,因为自身的技术能力、知识储备、专业技能和现有流程并不足以应对如此海量的告警。甚至绝大多数用户根本没有做好处置这些告警的准备,用户开始怀疑这些检测产品或解决方案的价值,于是,他们选择将此类产品或解决方案束之高阁,或者选择对告警置之不理。”,白日如是说。 很多人会想,造成以上现实窘相的是由于高级威胁检测技术的不成熟,造成误报率居高不下,无法给予用户高质量的告警。然而,无论技艺多么高超医生,如果不借助专业的分析工具或技术,不依靠过往的经验,都不可能对一个疑似症状做出完全无误的诊断。事实上,造成这种现状的是市场初期绝大多数人对于从“检测”到“响应”的过于简单的认知。 从“检测”到“响应”,必然绕不开“分析”这个关键阶段。然而,无论是Gartner还是大多数第三方分析报告中,对“分析”这个环节都没有给出太多的解释,甚至没有将“分析”列入其自适应模型的关键阶段。但无论如何“分析”阶段所承载的正是“检测和响应”的核心业务逻辑。 XDR体系的核心构成 突出从“侦测”“分析”到“响应”整个过程的核心能力,可将EDR、NDR、MDR和SOAR所构成的精密编排的自动化检测和响应体系定义为XDR,即亚信安全高级威胁治理战略3.0的核心。 1.XDR技术螺旋矩阵模型 前面介绍过,威胁描述模型包括 “点、线、面、体”四个层次,威胁治理模型包括“侦测、分析、响应、预测”四个阶段,那么,如果把这两个模型叠加起来,就会形成一个螺旋矩阵,如果将每个矩阵空格所对应的关键技术标注起来,就构成了亚信安全XDR“技术螺旋矩阵模型”。 2.XDR核心业务逻辑及工作流程 产品螺旋矩阵模型从结构上阐述了高级威胁治理战略所有相关产品的定位以及相互之间的静态关系。下图则描述了XDR的核心业务逻辑及工作流程:
3.XDR落地的关键要素 XDR解决方案包含三个核心要素:标准的预案、专业的调查工具、安全响应专家。 (1)标准的预案 从最近亚信安全协助金融用户做出的大量应急响应预案来看,预案针对每一种类型的黑客攻击,都采取了XDR的7个步骤,这包括“准备、发现、分析、遏制、消除、恢复、优化”策略,进而来确定用户碰到不同的威胁类型的时候该怎么处置。 例如,很多企业发生过终端主机和网络流量异常的情况,但是普通用户层面却没有感受到明显的网络攻击现象。在这个时候,XDR的方法是获取威胁数据,把数据集中到本地威胁情报和云端威胁情报做分析,通过分析黑客进攻的时间、路径、工具等所有细节,其特征提取出来,再进行遏制、清除、恢复和优化。 (2)专业的调查工具 高效、精准的应急响应需要专业的工具和设备支撑,这些设备能够在网络层面、服务器和终端内核层面发现异常现象,这是确保查清楚黑客到底做了什么、目的是什么,通过什么方式的关键。 (编辑:西安站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
