ISC2022微步陳杰博士:XDR關聯檢測的真正威力
每一次的網絡入侵/攻擊,通常并非由單一技術實現,而是一系列技術/手段的組合。盡管業內主流產品/解決方案針對單點的檢出準確率已經達到較高水平,但仍缺乏擁有全局視角的的產品/解決方案。隨著攻擊技術的演進,組合攻擊實現入侵越發隱蔽,檢出也就越困難。
微步在線技術合伙人陳杰博士在ISC 2022大會上分享認為,面對新型網絡攻擊技術/手段,檢測技術必須要從單點檢測向單機關聯發展,再到多機關聯,最終實現XDR關聯,以此幫助企業提升整體網絡安全能力。以下為陳杰在ISC 2022大會上的演講實錄:
以下為演講內容概要:
如果從全局視角去看黑客攻擊過程的話,就會發現網絡入侵/攻擊并不是一個單點過程,而是一個完整的攻擊過程。如同下面這張圖,圖左列出的是主流的單點攻擊技術,圖右才形象展示了真實的攻擊過程。
黑客的攻擊過程并非只用一個(攻擊)技術突破一個點,而是會用不同的技術形成組合拳。比如右圖,通過釣魚進入企業內網,然后橫移到生產網,再進行數據竊取,甚至挖礦或勒索
所以,網絡攻擊整個過程是一個連貫、復雜的過程,僅部署擁有單點檢測能力的解決方案已經很難解決網絡威脅挑戰。通過近幾年的探索實踐,微步在線在對單點檢測能力不斷完善的同時,逐步實現單機關聯、多機關聯,利用OneEDR+TDP組合實現了擁有更精準檢測能力的XDR聯動解決方案。
從單點檢測做起
在單點檢測方面,針對不同的攻擊技術,必然需要有針對性的檢測能力,并結合實際所需,在不同位置賦予不同的檢測能力,如下圖所示:
通過云端+服務端+終端三點布局方式,微步在線OneEDR威脅檢測與響應平臺從主機安全視角出發,實現對網絡高級威脅的檢測和響應
單點檢測在企業市場有一個很重要的評估標準,即ATT&CK攻擊模型矩陣。在ATT&CK攻擊技術覆蓋能力方面,經賽可達實驗室測評認證:OneEDR實現高達91.3%的攻擊技術/手段覆蓋。
從單機關聯到多機關聯
在完善了單點檢測能力之后,接下來就是把單個終端內的攻擊過程有機地關聯起來,也就是單機關聯。如下圖所示,以一次典型的“挖礦”攻擊過程為例:
以挖礦為目的的網絡入侵,OneEDR通過事件聚合功能將攻擊行為形成一個完整的攻擊鏈路圖,并對整個威脅事件進行打分,實現精準告警
目前,以“挖礦”網絡攻擊已經是一個高度自動化的攻擊過程,很容易從一臺主機橫移到另外一臺主機,迅速在企業數據中心內蔓延。這就迫使我們需要更進一步地將多機的攻擊行為都關聯起來,實現數據中心內的攻擊全鏈路圖。
微步在線的OneEDR平臺最早從2015年開始研發,隨著大數據分析技術、機器學習等技術陸續引入并經過多年實踐打磨、深度融合,我們現在可以非常自豪地說,微步在線已經初步實現了當初的目標,并且,經受住了用戶的實地檢驗。下面這張圖就來自OneEDR平臺內部的截圖,展示了某用戶在現實中遇到的一次攻擊:
OneEDR還原某次網絡攻擊,黑客在第一臺主機上的攻擊行為:從Tomcat的漏洞利用開始,然后進行Webshell的提權,最終利用MSF的一個隱藏式高級木馬實現駐留
利用Tomcat主機攻擊第二臺主機,實現內網橫移。上圖同樣來自OneEDR內部截圖,黑客在第二臺主機內的攻擊行為通過聚合事件功能形成的攻擊鏈路圖
并且,黑客在第二臺機器上用Fscan對內網主機進行掃描,發現了更多存在安全薄弱點的主機。比如,在這一案例中,黑客就發現Redis存在空口令情況,于是再次進行橫移。最后,黑客還利用SSH弱密碼橫移到第四臺主機。在實際案例中,黑客通過SSH弱密碼總計控制了超過30多臺主機。
通過多機關聯實現的攻擊鏈路圖,能夠幫助用戶更簡單、高效地應對網絡攻擊。當然,面對當前或未來的一些高級網絡威脅,僅止步于多機關聯還不夠。因為多機關聯更多的是幫助企業生產網應對網絡威脅,但黑客攻擊并不局限于生產網:攻擊可能最開始在辦公網發生,然后穿透邊界進入生產網,并在不同的網段跳躍……整個攻擊過程非常復雜,面對這種復雜的黑客攻擊,還需要更完整、全面的關聯——XDR聯動。
構建防御全局視角——XDR
XDR是Extended Detection and Response的簡稱,中文名為擴展式檢測與響應,其并不是指某一類產品,而是集合多種安全產品的組合解決方案,將擁有不同威脅檢測能力的產品進行整合,對攻擊過程進行全方位關聯。
通常情況下,XDR都包含EDR和NDR這兩大類解決方案,此外還可以加入蜜罐、防火墻等擁有其他安全能力的設備,組成一個擴展式的檢測與響應體系
通過對不同檢測能力產品的整合,XDR能夠幫助用戶提高應對高級網絡威脅的能力。比如,通過NDR,可以在攻擊的邊界上進行檢測,得到黑客來源、攻擊突破點等信息;同時,利用EDR的能力,可以獲得黑客在生產網、辦公網的橫移過程;而蜜罐產品,則可以了解黑客特定的攻擊手法、過程以及技戰術等。通過整合多方面的信息,能夠更好地應對網絡攻擊,這也是近年來XDR廣受關注的原因。
經過七年的發展,微步在線擁有流量檢測與響應平臺TDP和主機威脅檢測與響應平臺OneEDR等多款產品,成為微步在線XDR解決方案的重要組成部分
同時,陳杰還分享了一個利用XDR(OneEDR+TDP)檢測Webshell的應用場景,如下圖所示:
OneEDR + TDP聯動,幫助用戶提高應對Webshell攻擊的能力
假設某網站有上傳漏洞,并且被黑灰產組織掃描到了,然后上傳了一個文件,這個文件最終會在主機上落盤。在這一過程中,如果NDR與EDR沒有關聯,那么NDR能檢測到掃描、上傳和執行Webshell的行為,而EDR則只能獲得寫文件和命令執行的內容,都不具備完整視角,會加大企業安全運營的難度。
而在OneEDR與TDP聯動實現的XDR方案中,則可以檢測到這一攻擊過程的全部行為,并形成完整的攻擊鏈路圖。這樣,企業安全人員就可以非常清晰地溯源到攻擊的每一個節奏,每一個步驟,能夠知道攻擊源所在,影響了哪些文件,以及執行了哪些命令,更方便安全管理人員及時、有效地進行處置和溯源取證。
OneEDR與TDP的聯動是微步在線公司非常成功的案例實踐,這也堅定了微步繼續發展XDR的決心。XDR并不是傳統的SOC,更多的是從數據層面、場景層面實現的一個深度融合、深度安全檢測的體系,幫助企業極大地提升整體威脅態勢感知能力,打造便捷、高效的企業安全運營體系。
