未來智安CTO陳毓端精講《XDR擴展威脅檢測響應探索與實踐》

7月22日，2022北京網絡安全大會『BCS TALK虎符話安全-·安全運營』主題日活動正式開啟，未來智安（XDR SEC）聯合創始人兼CTO陳毓端受邀做客直播間，并發表主題演講《XDR擴展威脅檢測響應探索與實踐》。

陳毓端

未來智安聯合創始人兼CTO

“我們最終決定進入XDR這個垂直的安全賽道，核心還是覺得安全的本身是對抗的過程，威脅檢測與響應還是最直接、最核心的安全價值。”

演講實錄

大家好，很高興能參加2022北京網絡安全大會，我是北京未來智安的陳毓端。

北京未來智安是一家聚焦在擴展威脅檢測與響應賽道的網絡安全公司，也是國內第一家發布XDR系統的安全廠商。今天我分享的主題是《XDR擴展威脅檢測響應探索與實踐》，也借此機會與大家分享一下我們未來智安在XDR領域的實踐和一些思考。

1 現象與問題

未來智安決定進入XDR這個垂直的安全賽道，核心還是覺得安全的本身是對抗的過程，威脅檢測與響應還是最直接最核心的安全價值。另一個層面是看到用戶側的一些安全痛點，我們將用戶側的安全痛點分成兩個層面，也是XDR需要去解決的，一個是威脅檢測類的挑戰，另外一個是來自安全運營類的挑戰。

威脅檢測的挑戰分成六個方面：

第一，漏洞和風險挑戰，存在漏洞與風險量化盲點。比如漏洞與風險的評估，漏洞與資產、與業務系統、與威脅的關系等，都存在一定的量化難度和手段不足。

第二，影子資產類盲點。企業普遍存在影子資產的問題，比如員工私搭服務器，私自開放未經審核的端口等，都給企業帶來嚴重的影子資產問題，從而帶來嚴重的安全風險。

第三，安全數據價值盲點。企業在推進信息化建設的過程中，也會進行安全建設，采購各類安全防護產品，比如端點安全防護，像防病毒、HIDS、EDR，流量檢測類像NDR、NTA，甚至是SOC和態勢感知等，也在一定程度上進行了數據的統一收集和治理。但其中存在著一個普遍現象，雖然進行大量的數據收集，依然沒有真正發揮數據的價值。比如從終端看到威脅之后，還需要在各類系統之間搜索、復制、取證，無法形成一體化的威脅防護體系，安全工具各自為政，數據沼澤現象嚴重。

第四，單點防護盲點。最典型的例子就是終端看不到流量，流量看不到終端。比如在流量層看到SQL注入后，無法看到端點發生了什么，無法判斷是否發生數據庫提權或其他異常行為，整體上缺乏統一的威脅視角。

第五，高級威脅挑戰。攻擊者往往通過各種手段進行繞過，同時威脅檢測的規則需要下發到終端，存在一定的規則滯后性，無法在第一時間去應對威脅挑戰。

第六，安全技能盲點。威脅總是在不斷的發生變化，企業內缺乏高水平人才是常態，短時間內無法很好的解決人才問題。安全人員嚴重依賴各類安全防護產品，各種系統間的割裂加劇了威脅檢測的挑戰。

來自安全運營類的挑戰也分成六個方面：

第一，運營挑戰最典型的例子就是告警多，以我們的一個客戶為例，每天告警量接近1,200萬，導致安全分析師需要消耗大量的時間和精力去做告警研判。

第二，海量告警導致了高價值告警往往會被淹其中，無法第一時間分析、發現真正有價值的告警，從而錯過了最佳的防御時間。

第三，上下文缺失，威脅可見性差。當攻擊從邊界打進來之后，往往會經過各種安全防護設備，而這些安全防護設備之間相互割裂，相關數據粒度又太粗，沒有形成很好的支撐，安全分析需要的上下文信息缺失現象比較嚴重。

第四，無法很好的進行安全分析溯源，看不清完整的攻擊鏈路，缺乏統一威脅視角。比如看不見黑客是如何打進來的？利用了什么漏洞？先打了哪臺主機？在主機上做了什么事？有沒有下載攻擊載荷？什么時間發起的橫向移動？什么時間發起的大面積的擴散？影響面有多大？損失有多大？這些都很難看見。

第五，處置效率低。前面提到海量告警、上下文缺失、攻擊溯源難等，都給告警分析研判造成較大的時間消耗，影響整體的響應和處置效率。

第六，安全度量能力不足。面對新形勢下的安全挑戰，安全運營工作需要進一步的左移，需要具備提前發現潛在風險，提前做好威脅阻隔的安全策略，這就需要有細粒度的數據，提供有效的安全度量能力和手段。

2 “三足鼎立”下的XDR理念爭議

準確的來說，XDR到目前為止還沒有形成完整的業內在概念層面的共識，各家XDR的解決方案也存在比較明顯的差異。

整體來說，我們將XDR劃分為三個不同的技術流派，分別是“原生XDR”、“生態XDR”，以及“混合XDR”。

“原生XDR”，顧名思義，就是依靠廠商自己的安全防護能力、數據采集能力去實現XDR的方案。優點是實施方便，集成成本低，數據和響應能力可控。缺點是安全防護產品自身的數據能力、遙測能力可能存在不足或瑕疵，或將影響XDR的整體效果。

“生態XDR”，優點是包容度較高，對甲方前期的安全投入、安全建設具有一定的復用性。缺點是嚴重依賴第三方安全設備，整體的集成成本較高，數據質量、遙測能力、響應處置能力相對不可控，因為它依賴于第三方的安全設備，整體存在一定不可控的風險。

“混合XDR”，同時具備“原生”和“生態”XDR的優勢，這也是未來智安XDR的技術方向。我們可以接入原生的自有安全組件EDR和NDR，也可以接入第三方安全防護產品，無論是數據還是安全能力，都可以通過混合模式XDR去做集成。

3 XDR技術本質

我們認為XDR中的“X”是指擴展，具備多維度的擴展屬性，強調由孤立單點式威脅檢測過渡到基于更多上下文數據，進行全面威脅檢測的整體安全思路的轉變。XDR不再單純依賴于端點、網絡或其他安全設備進行告警發現和安全事件的標記，重視底層的數據變化，比如主機上的權限變更、文件變更、賬號體系變更、系統負載的變化等，從而研判企業網絡的安全風險，為企業安全運營帶來完整的上下文和可見性。

4 威脅檢測&發現是最根本需求

我們未來智安認為XDR最核心的是威脅檢測能力，威脅檢測能力帶來的攻擊發現依然是XDR最基本的安全能力。

XDR威脅檢測能力的核心是打破盲點。從攻擊的路徑或者攻擊模式來看，EDR具備端點的威脅檢測能力，但對于一些高級攻擊，EDR檢測能力存在一定的不足。XDR具備防病毒、行為檢側等端點檢測能力，以及流量側的靜態檢測、動態檢測、機器學習檢測等能力。XDR檢測的核心能力體現在依賴單點終端或全流量產品在面對高級攻擊等繞過對抗場景下的威脅檢測發現。XDR可以利用更多的上下文、遙測數據快速發現這些遺漏的攻擊，去降低MTTD（威脅檢測時間）和MTTR（威脅響應時間），提高MTTD和MTTR的效率。

未來智安XDR同時具備端點和流量的威脅檢測與防護能力，支持Windows、Linux，以及凝思、麒麟、統信等信創操作系統的安全防護能力。在主機和流量發現告警之后進行告警的治理，將高價值的攻擊場景、攻擊告警進行關聯，挖掘出需要重點關注的告警，避免企業的安全團隊陷入花費大量時間去做告警的研判和分析的內耗中。同時，能將告警收斂為完整的攻擊事件（Incidents）。完整的攻擊事件能讓企業的安全團隊看清攻擊的來龍去脈，比如攻擊是怎么打進來的？用什么漏洞打進來的？背后用了哪些武器？什么時間發起的橫向移動？影響面有多大等。

XDR核心要解決的是威脅檢測和提高安全運營效率。我們將安全運營分成兩個部分，一個偏向于IT側的運營，比如資產清點、漏洞管理、基線檢查等，這些都偏IT側的。另一個偏向于安全側的運營，比如告警分析、威脅分析、事件運營、基于SOAR的自動化編排，以及圍繞企業自身業務特點做自定義的威脅檢測等。

5 看見（遙測）是基礎

威脅檢測是XDR最基本的能力，那么保障XDR的基本能力，核心是要看見更多的細節，看見終端和流量上更多的細節，需要更多上下文，這也是XDR概念里反復在強調的遙測能力，包括看見資產、看見異常、看見風險。遙測能力也是為安全度量提供基礎的能力和手段。

遙測能力我們也稱之為看見能力，未來智安XDR的實踐過程分成幾個層面。第一個層面就是通過攻擊視角的遙測能力看見誰在發動攻擊，通過什么進程、什么時間、什么地點、以什么載體攻擊等。背后的技術思路是將XDR安全防護體系分為三大塊。

一是通過入口類，通過用戶外設網絡會話等層面去看攻擊的入口，如果攻擊從入口突破之后進入到操作類或者行為類的安全防護階段，XDR能圍繞著進程去觀測，看到進程有沒有創建服務、操作文件、系統配置和賬號體系的變更等。同時，也會結合操作系統的基礎信息，如系統的負載、軟件信息、硬件信息、漏洞風險等，去做好整體的安全防護。

二是遙測能力。主要是從安全運營的視角去看攻擊者是誰？攻擊者是怎么打進來的？用什么漏洞打進來？用什么武器打進來的？攻擊者拿下一臺服務器之后，在服務器上做了什么事兒？有沒有發生橫向移動？有沒有下載攻擊載荷或者相關的攻擊載荷？攻擊過程中都產生了哪些關鍵的線索，如IP、域名、攻擊樣本，同時這些樣本涉及到哪些進程、服務、端口和網絡？哪些服務器受到影響、哪些數據被篡改了？那攻擊背后都產生了哪些告警？有沒有應急響應的處置方式？能不能和其他安全設備進行快速的聯動和處置？最后一點就是攻擊背后黑客所使用的攻擊技術，比如說在ATT&CK上的攻擊矩陣的分布，企業如何基于ATT&CK的戰術、技術持續的提升安全防護能力？這些都是通過安全運營的視角去提升我們的遙測能力。

三是從資產風險和攻擊面的角度去提升安全的遙測能力。未來智安XDR在攻擊面視角通過幾個維度去落實遙測能力。首先從外部入口到內部資產、再到應用環境的資產清點和風險發現與研判能力。比如網內有哪些沒有被管理的資產和影子資產？哪些中間件的版本比較老？內網有沒有log4j相關軟件？某臺主機突然間增加了高權限的賬號，是不是存在風險？對外開放服務都遭受了哪些攻擊？漏洞都影響了哪些資產？這些受影響的資產和哪些業務系統相關？主要發生在哪些部門？這些漏洞攻擊面的修復策略和修復建議是什么？這些都是通過資產和攻擊面視角去提升遙測能力。

四是基于ATT&CK的攻擊檢測發現所需要的數據源提升遙測能力。這里要求數據采集粒度要做到足夠細，比如進程類，包括進程的啟動、進程的退出，線程的啟動、線程的退出，進程間的訪問，進程的腳本執行等，這些都屬于細粒度的采集和感知。

XDR的擴展價值主要是體現在遙測能力，為安全度量提供手段，提供完整的上下文，包括流量、包括終端，結合攻擊面的評估，結合ATT&CK的攻擊戰術和技術進行細粒度的威脅檢測的能力提升。

6 感知變化是保障

未來智安XDR的遙測能力和看見是基礎，基于遙測能力第一時間感知變化更為重要，是檢測能力的覆蓋和持續安全防護能力的保障，即在看見之后，特別是各種繞過和對抗場景下，能第一時間感知風險、感知變化、感知攻擊，這才是價值，這樣也就避免了因采集大量的數據而淪為數據沼澤，一定要將采集到、感知到攻擊作為整體威脅檢測能力的提升。

未來智安XDR將感知能力分成三塊：

第一，看見資產，比如看見主機上的進程、軟件、開放的端口、數據庫、環境變量、內核模塊等。

第二，第一時間感知系統變化，比如新增賬號文件權限的變更，并且能在第一時間去告知用戶和安全團隊。

第三，為了感知底層的安全變化，需要具備一定的敏感行為檢測能力，比如說提權，高權限的賬號。

目前未來智安XDR圍繞ATT&CK覆蓋了近萬條的威脅檢測規則，這些檢測規則在傳統的基于靜態檢測、基于特征檢測的安全防護能力的產品中是不具備的。

7 可運營是關鍵

看見威脅和攻擊之后，如何讓安全運營團隊達到一個可運營的狀態？未來智安XDR將這里分為五個層面。

第一，面對海量告警，能使安全運營團隊達到一個可運營的狀態，主要體現XDR的告警治理能力。

第二，在安全分析層面需要具備焦點，不盲目分析，不因為海量告警而選擇性的放棄，體現了XDR對高價值攻擊場景的挖掘能力。

第三，摸清攻擊意圖，看見受害者，評估受害程度和影響面，主要體現XDR的畫像能力。

第四，看清攻擊的來龍去脈，從攻擊的入口點到進入主機后具體的行為到橫向移動，最終呈現完整的攻擊鏈條，主要體現XDR的事件化能力。

第五，具備自動化能力，具備告警分析和研判能力，輔助安全運營團隊提升效率，釋放安全運營壓力，聚焦高價值的攻擊場景，主要體現XDR的自動化能力。

未來智安XDR通過資產、漏洞、攻擊、風險、告警、安全事件，整體呈現一個直觀的威脅方向。我們可以看到攻擊者數量、來自哪里、受攻擊的資產、產生的告警、有多少完整的攻擊事件、存在多少漏洞、高危端口和脆弱性配置等。通過多種維度看清攻擊的本質，以提升整體的安全防護能力。

我們認為XDR告警治理的核心是發現高價值的告警，通過各種維度、各種模型去降低告警量。未來智安XDR告警治理首先通過對異構數據的治理，將各類安全設備產生的告警進行統一的數據治理，同時基于同源、同類型的攻擊和攻擊場景化，進行告警的收斂，之后進一步利用XDR事件引擎將零散的攻擊告警提升為完整的攻擊事件，這樣就可以很好的回答攻擊者是通過告警詳情看清楚整個攻擊過程。

可運營的另外一個層面是如何利用科學的手段進行安全事件分析，包括IOC、威脅狩獵等，XDR分析的最核心、最根本、最有價值的部分是通過根因分析，看到完整的攻擊事件。

看清告警的來龍去脈，是XDR運營的一項關鍵能力。我們認為端點和流量的邊界防護是XDR必備的核心組成。例如從外網突破到內網的挖礦事件，我們看到黑客從邊界突破進來之前進行端口掃描，這時未來智安XDR的探針能發現端口掃描行為，并發出告警，可以看到Struts2的漏洞命令執行，同時利用命令從外網下載挖礦程序和橫向移動的程序并啟動，緊接著發生橫向移動，進行跨網段的擴散。

XDR系統中形成的事件，能結合終端和流量，實現完整攻擊路徑的捕獲和回溯，這時安全人員可以基于完整的事件進行安全運營，而無需面對海量的零散的告警，只需圍繞安全事件進行分析，達到整體提升安全運營的效率的效果。

可運營的另外一個維度是看清攻擊者的意圖，看清受害者、評估受害影響面，即XDR的畫像能力，主要包括兩個層面：一個是攻擊者畫像，一個是受害者畫像。

攻擊者畫像，主要通過鉆石模型去看攻擊者的IP、國家、攻擊組織、受影響行業等信息，摸清攻擊者的身份。另外，從攻擊者采用的攻擊策略、戰術、技術，采用的工具、利用的漏洞，去摸清攻擊者背后的攻擊能力。同時，利用數據分析能力，挖掘出攻擊背后的基礎設施，同時也可以結合第三方安全防護設備進行聯防聯控，這一切都可以通過未來智安XDR內置的SOAR安全編排自動化去完成

未來智安XDR提供受害者畫像，看清被攻擊者的情況，受影響面，并提供安全防御手段和修復方案。站在受害者的角度，我們通過內外兩個維度做畫像呈現。

一個維度是看清資產的安全狀態，包括資產是否遭受外部攻擊，是否存在內部滲透行為，是否失陷，是否遭受APT。也會結合資產的安全防護情況，比如是否安裝了防病毒、EDR，是否屬于影子資產，是否屬于未列入管理的資產，是否安裝了安全防護產品，以及資產背后的歷史攻擊告警情況。同時結合資產的基礎環境做風險狀態評估，如漏洞數、系統風險、應用風險、弱口令、基線檢查等。還會結合資產的使用情況，看清資產上安裝了哪些應用軟件、中間件，是否存在著web服務、web站點，這些web服務、web站點背后是否存在webshell，以及開放端口的情況等。結合資產的使用狀態去做受害者畫像呈現。

另外一個維度是通過資產結合攻擊者視角進行畫像的呈現。主要包括攻擊者的基本情況，以及所處的攻擊階段。利用數據分析的能力去挖掘攻擊背后的關鍵線索，包括完整的攻擊鏈條，攻擊過程中所涉及到的樣本、文件、哈希、域名，以及攻擊過程中是否創建服務，是否有增加高權限賬號，是否存在著提權的行為等。也會結合攻擊造成的危害，去看本次攻擊是否存在文件篡改、文件加密、反彈Shell等，是否基于這臺資產進行橫向移動，有沒有存在數據外發行為。最終未來智安XDR會給出修復、加固和處置建議，包括漏洞、資產安全的修復，攻擊面的評估和資產行為的審計。

XDR通過發現資產、資產評估、風險評估，基于風險做告警運營，接下來的關鍵能力就是拉通企業內不同角色、不同分工的人員，進行統一的安全作戰，包括安全能力協同，工單分配，可以圍繞著某一告警和攻擊事件進行快速的調查響應和處置。

這里最核心的一點是需要調用內置的、豐富的安全劇本，比如當懷疑某一臺主機被黑客入侵，這時候就可以到作戰指揮室里去調用一些工具，看這臺主機是否存在開放端口，是否存在異常行為等，這些都可以通過統一的作戰指揮室去實現，以提高安全運營的效率。

8 有效才有用

如何保障XDR的有效性？未來智安XDR從產品設計到研發階段，都遵循著一個模型，即 TDIR模型。

首先“TD”就是威脅檢測能力，必須具備跨平臺、跨邊界的安全防護，這里要具備覆蓋終端、覆蓋流量的威脅檢測能力。同時具備異構化的能力，能接入第三方的安全防護設備，去實現整體聯防的聯控，打破安全防護設備的盲點。除了端點的威脅檢測、流量的威脅檢測之外，還需要具備自定義的威脅檢測能力，可以為客戶提供符合企業或者客戶行業特點的增強威脅檢測和防護手段。

第二，具備豐富的遙測能力，能將海量告警進行收斂、提升為完整的攻擊事件的能力。未來智安XDR在這里能將告警量縮減到每天幾十條的安全事件，大大減輕了安全運營的壓力。

第三，自動化的安全運營能力，具備對告警的自動化分析、研判、取證能力，實現自動化的安全設備聯防聯控能力。未來智安XDR能將原來數天、數小時的安全運營的工作量降低到分鐘級，大大提升整個安全運營的效率。