2022信通院卓越合作伙伴大會舉辦,深信服深度解析XDR落地實戰關鍵技術
7月19日,在工業和信息化部網絡安全管理局指導下,中國信息通信研究院(以下簡稱“中國信通院”)召開網絡安全卓越驗證示范中心(以下簡稱“卓越中心”)2022年卓越合作伙伴大會。深信服作為卓越中心合作伙伴受邀參會,并就“XDR落地實戰關鍵技術”做全面解讀與分享。
此次大會聚焦卓越中心與合作伙伴的多項成果發布,卓越示范中心名譽主任/中國信息通信研究院副院長魏亮、卓越示范中心主任/中國信息通信研究院安全所所長謝瑋、卓越示范中心執行主任/中國信息通信研究院安全所副所長孟楠等領導出席了會議并發表講話。
目前,深信服已經就創新技術研究、安全能力標準與驗證等方面與卓越中心開展了多項合作。未來,希望在安全創新產品的標準化、規范化、智能化方面發揮雙方優勢,共同推進網絡安全產業的發展。
干貨滿滿!XDR落地實戰,這兩點需要滿分理解
深信服安全技術專家顧立明受邀參加大會,并發表了“XDR落地實戰關鍵技術解析”的主題分享。
自2021年起,我國先后制定頒布多項政策法規用于規范企業網絡安全建設,包括《關鍵信息基礎設施安全保護條例》《網絡產品安全漏洞管理規定》等,從多個維度制定網絡產品規范,為國家和企業信息安全建設提供了規范和指引。
同時在數字化轉型日益深入的驅動下,用戶大量的關鍵業務資產分布在越來越多的網絡中。高級的、潛伏的、產業化的新型攻擊伺機野蠻生長,而傳統的、分散的安全設備難以招架。用戶購買了一堆安全設備,卻無法協同工作,安全事件依然頻發。
顧立明指出,這勢必對安全廠商和用戶的安全建設提出新的要求,需要學習新的安全理念、升級新的安全技術,以解決威脅檢測響應難題——XDR由此誕生。
基于多年在威脅檢測響應領域的技術鉆研與積累,深信服對XDR關鍵技術與核心價值形成一套完整解讀:
滿分理解XDR關鍵技術,構筑實力壁壘
1.全面遙測數據采集
XDR將網端云采集的遙測數據進行聚合與分析,可以深度了解所保護或監控的對象中是否存在的安全風險與攻擊,甚至可以回溯之前已經發生過的安全事件,讓網絡安全具備高度可見性。全面遙測數據采集是安全大數據分析上的巨大進步,通過節省帶寬與數據成本,為規模化和SaaS化部署奠定了基礎。
2.AI驅動的自動化威脅狩獵
XDR需要發現各種具備高度繞過、逃避技巧的攻擊,需要發現針對性極強的定向攻擊,這就意味著XDR必須提供基于攻擊技戰術的行為檢測能力——威脅狩獵。同時,考慮到狩獵專家的稀缺性,XDR不可能依賴以人為主的狩獵,而需要基于AI或者機器學習的方式,以多維檢測形成合力,應對各種復雜場景下的攻擊威脅。
3.自動化響應
對于已經滲透到內部的攻擊,XDR需要盡快阻止攻擊行為,同時識別出關鍵風險,進行危害根除,并對被利用的薄弱點加固處理。整個過程非常注重時效性,需要搶先在攻擊者之前完成,因此依賴自動化的機制,才能有效減少MTTR(Mean Time To Response, 平均響應時間)。
滿分理解XDR核心價值,直擊落地實戰痛點
價值一 主動應對潛伏威脅
如何有效對抗潛伏威脅,業界已形成共識:通過檢測攻擊者的技戰術(TTPs)來規避其易于變化的部分。因此,盡可能多覆蓋ATT&CK中的技戰術,是XDR探索與建設過程的的重要目標。
深信服SaaS XDR可覆蓋ATT&CK 264項技戰術,無論是低成本、破壞性小的自動化攻擊,還是到高級潛伏、破壞性大的0day漏洞攻擊,都無所遁形。
價值二 網端遙測構建多維安全視野
全面的多維度安全視野,意味著可以從終端、網絡、服務器、云環境等不同的安全組件中獲取數據,做到360度無死角的監控。因此,XDR需要考慮對云、網、端、身份等信息全面覆蓋。
特別是網和端,兩者各有特點,互為補充,深信服SaaS XDR通過整合EDR、NDR能力,能夠構建多維的安全視野,讓安全運營人員在一個工作界面中,完成檢測、分析、響應的絕大部分工作,以顯著提升工作效率,保證工作所需數據可以在這個平臺上便捷獲得。
價值三 攻擊可視化還原事件全貌
黑客的攻擊行為往往不是一蹴而就的,會在各個路徑上留下痕跡,通常以網絡(N:Network)、終端(E:Endpoint)為主。隨著用戶業務環境的不斷變化,云環境、容器的大量使用,這些節點也會成為黑客的攻擊路徑之一。
XDR需要從終端失陷溯源、攻擊影響面、多主機事件關聯和攻擊者畫像的視角,提供每個威脅攻擊過程的高度可視化,使安全運營更高效、安全態勢把握更準確。
深信服SaaS XDR正是通過采集關聯網絡側和終端側的遙測數據,如網絡連接信息、數據包關鍵內容、終端進程調用、計劃任務等,將端、網、云等遙測數據進行故事線關聯,構建完整、高質量的可視化進程鏈,實現分鐘級入侵識別。
價值四 深度溯源根除攻擊影響
在事件響應過程中,以往安全設備容易出現的錯誤就是“頭痛醫頭,腳痛醫腳”。針對安全事件未能徹底清除攻擊影響,以及攻擊者使用相同的攻擊面進行重復攻擊的情況,XDR提供了專門的“根因分析”機制,為分析人員提供對安全事件的全局把控,從而徹底清除事件影響、復盤企業信息系統弱點,構建更完善的防御體系。
深信服Saas XDR通過攻擊鏈還原、端網關聯分析技術,基于后向和前向溯源分析,提供了自動化根因分析和攻擊影響范圍分析的能力。
- 根因分析:基于后向追蹤分析,XDR在發現攻擊的蛛絲馬跡時,立即對歷史數據進行回溯,發現攻擊的可能入口點,幫助分析人員定位攻擊根因,提供加固建議。
- 攻擊影響面分析:基于前向追蹤分析,XDR在定位入口點后,快速發現此次攻擊的所有路徑,確認受影響資產,提供精準全面的根除建議。
深信服可擴展檢測響應平臺XDR
一種基于SaaS的安全威脅檢測和事件響應平臺,通過原生的流量采集工具與端點采集工具將關鍵數據聚合,通過網端聚合分析引擎、上下文關聯分析,實現攻擊鏈深度溯源,結合托管式安全檢測與響應服務MDR,釋放人員精力;同時具備可擴展的接口開放性,協同SOAR等產品,化繁為簡,帶來深度檢測、精準響應、持續生長的安全效果體驗。
