精準定位失陷主機,殺停WebShell,這個聯動XDR方案有多厲害?
如今,做網絡安全如果還停留在“被動防御”,那就有點輸在起跑線上了。但只靠單點“檢測和響應”來“主動防御”,也并非最有效的招式,因為“壞人”的手段越來越高明了。
各種 0day、無文件、免殺病毒等新型攻擊出現,變種病毒工具批量化,攻擊手段越來越隱蔽、高效,傳統基于靜態特征的檢測與響應,因無法及時更新與記錄最新的安全威脅特征而失靈,不能針對威脅進行及時發現與響應,讓企業暴露在重大安全風險之下。
佛說,企業如果不能鳥槍換炮,那就干脆換個思路。單點檢測與響應難于有效阻斷攻擊者,防守策略就需要調整,從單點檢測轉變為多點聯合檢測:單獨依靠流量檢測設備無法檢測到的威脅,結合終端設備可以發現;終端設備發現不了威脅入口的,流量設備能夠找到。而這,就是多點檢測與分析的價值。
基于此種思路,微步在線以威脅感知平臺TDP(Threat Detection Platform)與主機威脅檢測與響應平臺OneEDR為基礎,推出“流量+終端”聯動的XDR解決方案。流量側與終端側相互補充,以日志而不是告警互通的方式協同分析,流量檢測設備發現威脅,終端檢測設備深度定位與攻擊溯源,從而提升安全事件運營能力。
圖 | 微步在線聯動 XDR 解決方案
聯動XDR解決方案的3個優勢
無論是流量層,還是終端側,如有異常,都必有痕跡。而基于微步在線核心流量檢測與終端檢測產品的聯動,可將新型威脅的發現能力與處置能力發揮到最大。
TDP:全流量檢測及可疑敏感行為檢測,準確度99.9%
TDP能夠對雙向流量進行檢測,覆蓋請求流量與返回流量,同時支持檢測向外請求。利用流量分析和數據還原模塊,可在IPv4和IPv6的情況下,對多種主流協議進行高性能分析,對加密流量的分析能力與性能更強大。
同時,TDP可以利用機器學習在流量中識別可疑與敏感行為,并對產生該行為的流量自動化標記,通過自研的行為模型算法準確識別可疑與敏感行為,對未公布的攻擊方法進行發現,從而對企業內部異于90%的流量進行甄別和研判,標記為可疑。
用一個通俗的比喻來說,TDP好比始終放置在上空的監控,而加密流量攻擊就好比壞人帶了一個頭套。帶頭套的不一定是壞人,但帶了頭套多次深夜徘徊在銀行門口的,很可能就是一個壞人,遇到這種情況,TDP就會進行標記與識別。
OneEDR:全面精準主機入侵檢測,事件可視化展示,易溯源
終端側,微步在線OneEDR利用木馬檢測、WebShell檢測,云查、云沙箱等多款引擎充分檢測惡意文件,能夠充分覆蓋已知網絡失陷點,同時OneEDR充分利用了ATT&CK架構對攻擊全鏈路進行多點布控,能夠全面發現入侵行為的蛛絲馬跡。
此外,OneEDR可基于圖模型的安全事件告警聚合,利用低分告警相互印證,生成高置信安全事件,刻畫攻擊全鏈路步驟,捕獲惡意威脅入侵特征,能夠有效提高檢測準確率。并且,OneEDR能將安全事件以攻擊鏈的形式,展示出威脅入侵的始末,幫助安全分析人員更加直觀地進行溯源。
如果流量檢測是監控,終端檢測設備就是身份識別器,各種文件、內存、日志、注冊表等都成為壞人留下的痕跡,并且被OneEDR記錄與實時完善與刻畫,最終成功畫出壞人的行進路線。
TDP+OneEDR:流量與終端聯動,全方位快速分析與響應
通過聯動,TDP可以從OneEDR上獲取豐富的文件信息,為溯源響應提供最直接的信息來源,并從流量角度對主機上獲取的檢測引擎結果進行對比,提升檢測準確度。利用TDP流量層的檢測機制,OneEDR也獲取到了流量側信息。當兩側均有檢出時,則可共享數據,從而還原攻擊流程。如果只是單側產生告警,可以告警共享,并追蹤關聯數據,大大提升溯源響應效率。
檢測只是起點,響應才是目的。一旦發現新型威脅,聯動XDR解決方案將從流量與終端進行快速響應。在檢測到威脅流量后,TDP可在不改變網絡拓撲情況下對惡意連接進行有效阻斷,將檢出的惡意網絡資產IP、域名等信息同步至第三方防火墻設備,及時阻斷,還可提供輕量級終端取證Agent,通過內置專殺模塊進行一鍵查殺。
如果是WebShell等“藏得很深”的威脅,終端OneEDR可以對其執行命令進行殺停,實施文件隔離,封禁攻擊者IP,同時也可將響應能力以API的形式調用至TDP。無論是流量側還是終端側,都可實現有效響應。
圖 | 微步在線聯動XDR解決方案應用場景
聯動XDR解決方案的2個典型應用場景
在真實的攻防對抗中,最實際的問題,在于無法發現隱秘威脅,更無法確認攻擊者的突破點入口位置,所以就談不上對攻擊進行快速響應。這種情況下,唯有多點檢測與分析結合,方可快速提高企業響應能力。而通過TDP與OneEDR聯動的解決方案,可從流量和終端兩側互補,全面發現威脅,從流量側發現威脅,終端側深度定位,快速溯源攻擊路徑:
WebShell 發現
WebShell能夠嵌套在正常網頁中運行,不易被查殺,而且可穿越服務器防火墻,不會被記錄在系統日志中,隱秘性非常之強。對于WebShell,TDP能夠通過自研的行為模型算法,精準發現WebShell,并將受攻擊主機IP和Shell URL 同步到OneEDR,OneEDR進一步定位Shell路徑,從而呈現WebShell的存放路徑、威脅類型特征以及網絡連接行為,讓WebShell無處遁形。
失陷主機定位
失陷場景下,將辦公區核心交換流量鏡像,或以內網DNS服務器日志接入TDP,利用情報和模型精準發現辦公網主機橫向滲透與失陷破壞行為,并定位到失陷主機,同時將主機IP同步給OneEDR,OneEDR則具體定位被控的主機進程,進而完整還原攻擊鏈條,針對遠控威脅深度溯源。
通過流量檢測響應平臺與主機檢測響應平臺聯動,企業安全團隊能夠更加精準發現更多新型威脅,同時通過TDP與OneEDR結合,可提升取證溯源效率,協助企業安全人員縮短MTTD(平均檢測時間)與MTTR(平均響應時間),提升企業整體的安全運營能力。
