2021年,中国网络安全行业迎来了新的发展,以更加蓬勃的力量快速生长,呈现出欣欣向荣的景象。在此之际,WitAwards 2021中国网络安全行业年度评活动也迎来了全新高度,诞生了一大批富有影响力的网络安全代表,引领着网安行业快速前行。
WitAwards 2021年度评选入围项目接近200个,竞争激烈程度也是历届WitAwards年度评选之最,观众投票数量突破10万。如今,WitAwards 2021中国网络安全行业年度评活动已落下帷幕,八大奖项已有归属。
其中,极盾析策XDR平台斩获“WitAwards 2021中国网络安全行业年度创新产品(初创企业)奖”。
作为近年来异常火热的安全技术概念,XDR平台吸引了行业内的目光。在2020年发布的《Top Security and Risk Management Trends》报告中,XDR被Gartner列为第一项技术和解决方案。在Gartner Hype Cycle(技术成熟曲线)中,端点安全和安全运维两个Hype Cycle也都提及了XDR这项技术,其重视程度不言而喻。
另外,随着攻击者使用更复杂的战术、技术和步骤(TTP)来绕过传统的安全防御措施,组织机构越来越需要一个统一的、主动的安全措施来保护整体技术资产,但也面临一个新的问题:过多安全设备产生的大量警报让他们产生了警报疲劳;安全设备之间数据集成太少,无法进行关联分析,从而导致无法对安全事件做出及时响应。
在这样的情况下,人们对XDR安全技术的呼声越来越高。那么,XDR安全技术的魅力究竟在哪里,被众人寄予厚望的XDR技术能否解决上述难题?带着这些疑问,FreeBuf特邀极盾科技技术总监郑冬东进行专访。
△ 极盾科技技术总监郑冬东
根据Gartner 的说法,XDR的目标是“提高企业威胁的检测准确性,并提高安全运营效率和生产率”。但XDR究竟是什么,大多数人依旧一头雾水。
采访中,极盾科技技术总监郑冬东则给出了一个通俗易懂的解释:X代表的是“拓展”,通过对网络端、主机端、终端、云端等各个端点上的数据进行采集和关联分析,拓展了企业中这些孤立的端点的能力;D代表的是“检测”,也就是我们常说的各种网络安全风险检测,其中析策更侧重于利用机器学习、算法模型来提高检测的准确率;R代表的是针对风险和威胁事件的响应,强调的是一种自动化的能力。
被告警淹没的安全
日前,国务院发布了《“十四五”数字经济发展规划》,并指出数字经济是继农业经济、工业经济之后的主要经济形态,且已经成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。
数字化时代的加速到来既给企业带来了新的发展机遇,也带了新的安全风险挑战。随着人工智能和大数据技术的升级,网络攻击正在向自动化、复杂化转变,企业面临的网络安全形势日益严峻。
其中,高频率、全方位的自动化攻击问题突出。随着自动化工具的大量使用,漏洞利用攻击的概率越来越高,且攻击门槛也越来越低,效率越来越高。网络罪犯可以在短时间内,以更高效、更隐蔽的方式对大量不同网站进行漏洞扫描和探测,尤其对于0day/Nday漏洞的全网探测,将会更为频繁和高效。
与之相应的是,企业安全和运维人员难以维持如此高的反应频率。随着安全边界的逐渐消散,传统安全防护体系更显得捉襟见肘,隐蔽且快速的网络攻击频频绕过防护体系,入侵系统内部,安全人员被迫疲于奔命。
近年来,网络安全的重视程度不断提升,企业也在逐步加大对安全的资源投入,购买了大量的安全设备和工具。调查显示,企业安全运营中心平均使用的工具高达40多种,安全团队将大量时间都浪费在维护和管理安全工具上,且由于网络安全设备之间未能有效联动,相互之间的数据无法打通,因此只能长期处于各自为战的状态。
这就给安全人员带来了一个十分严重的负担:大量、无效的设备告警几乎要将安全运维淹没,而这些告警又不能不处理,因此消耗了大量的网络安全人力资源和宝贵的时间,这就直接导致了企业发现、处理安全问题的时间不断被拉长。
例如某权威报告数据显示,2018年网络犯罪攻击造成的损失达到1300亿美元,平均攻击识别时间增加至197天,平均攻击修复时间增加至69天。这意味着,在被企业安全人员发现之前,攻击者有充足的时间发起网络攻击,窃取敏感数据等。
对此郑冬东表示,目前企业迫切需要更加主动的安全解决方案,能够打破孤岛效应,促进各类安全设备联动,全面提升威胁感知能力,实时洞察安全风险,以自动化决策对抗自动化攻击,把安全人员从纷繁复杂的基础安全工作中解脱出来。
XDR安全技术的出现正是为了解决这一问题。它能提供了一种攻击的检测模型,横跨各种端点、网络、SaaS应用、云基础设施等各种可以处理的网络资源,同时具备高级检测、自动关联和机器学习能力,不仅提高了检测效率,还可以有效降低长期折磨安全人员的大量警告噪音,释放企业宝贵的安全人力资源。
郑冬东表示,人力成本是很多企业最大的成本之一,而析策恰好可以帮助企业降低安全人力成本、提升安全运营效率。
自动和智能是XDR的核心
业内普遍认为XDR源于EDR。EDR是一种安全工具,监视与网络相连的终端用户硬件设备上的可疑活动与行为,并自动响应以阻断察觉到的威胁。
但是EDR存在一个很大的问题,即无法实现不同设备间的高效联动,因此无法对某个威胁做出准确的判断。
“例如企业的防火墙发现了有人在扫描,一般会被认为是一个低风险,但如果其他设备也报告了相关联的低风险,那么就整体看,它实际上更加可能是一个高风险。因为每个设备上的每个低风险都有可能是攻击的一个小步骤,一旦入侵路线全部完成,就会对企业造成不良损失。”
对于设备告警的高低风险之间的关系,郑冬东进一步解释到,“反之也是一样,也许某个设备报了一个高风险,但从整体来看,它可能只是一个低风险,系统可直接进行处置、过滤,避免出现大量误报的情况。”
这也是XDR和EDR之间最大的不同之处,也是XDR强于EDR的所在。随着XDR技术持续火热,已有越来越多的XDR产品随之涌现。
对此,郑冬东表示,关联分析、响应和决策已然不是新鲜事物,市面上的传统产品也大都会涉及,但是能够真正解决企业面临的安全问题,关键点在于自动化和智能,这也是XDR技术的核心。
总的来说,要实现自动化必须满足两个条件:一是建立统一标准;二是利用人工智能技术。统一标准有利于机器实现自动化,而人工智能擅长从一些非结构化标准化的数据中找出规律,两者相互促进,相互配合,堪称完美。
在实际操作中,自动关联分析之前所有数据必须要按照一套统一标准进行提取、转换和规范化,比如不同来源的数据,相同含义的字段要保持统一,机器才能自动去做关联。
有了这两个前提之后,自动化响应的实现就具备了可能性。但自动化响应是一个较为复杂的处理过程,需要和各类外部安全设备进行对接。由于各设备、产品之间标准不一,因此很难做到完全兼容。为了解决这一问题,极盾创新性的提出了一个想法——“抽象”。抽象的过程,其实也是在做标准,比如抽象各类动作类、流程类的响应节点,再基于这些抽象的节点做自动化的流程编排,以此覆盖绝大部分的设备和场景。
至于智能化决策,决策的核心在于根据客户不同业务场景所面临的风险,构建安全模型,再基于模型做出最终的风险决策。因此,郑冬东认为智能化的要点在于:构建的模型能够根据客户不同业务场景、不断变化的外部风险,不断进行自适应的学习和修正。在这个过程中,人工智能技术就发挥了其重要的作用。
事实上,极盾打造的XDR产品——析策也正是这么做的。除了自适应实时风险检测能力、可编排的自动化响应与处置流程等优势外,析策还拥有数十年安全行业资深专家沉淀下来的策略库,可以让企业立即具备海量数据的检测、预警和场景化响应能力。
既要用好数据,更要做好安全
在郑冬东看来,析策的出现并非是要重构企业的安全体系,相反,它可以有效融入既定的体系之中,且企业的安全体系越完善,析策给企业带来的增幅就越明显。
采访中,郑冬东进一步强调,析策在不影响业务效率的前提下,做到了数据利用和数据安全两者间的最好平衡。
首先,析策采取的是旁路部署的方式,它更像是在对数据进行“取样”,因此不会影响业务使用数据的效率。与此同时,通过数据增强机制,利用内外部已有数据源对现有数据进行补充增强,还可以让数据更加充分地发挥价值。
其次,和设置权限、隔离等传统的数据保护方法相比,析策在实际运行过程中,会对员工使用数据的行为进行旁路收集并实时分析,只有在发现有风险时才会进行隔离阻断,这样不仅不会影响企业的正常运营,还提升了企业的安全水位线。
郑冬东表示,如果把数据利用看作是桥,企业对数据的使用可以看作是在桥上行走,当桥上仅有一两个人通过时,可能不会产生危险,但当一群人都要过桥的时候,就可能会出现意外。这时候就需要保护好桥梁,也就是强化数据安全防护。析策的目的不是为了阻止数据流动,而是让数据更安全的流动,毕竟静止的数据对于企业来说毫无意义,只有对数据加以动态防护才能更好发挥它们的价值。
以人员内控为例,国内某大型地产集团内人员众多,角色复杂,业务链条中有大量员工可以接触和访问集团内敏感数据,他们的核心安全需求是对需要数据做有力的防护,以防止内部员工有意或无意的数据泄漏行为。于是选择了析策平台接入了集团内部系统,访问了行为日志、系统主机操作记录等来源的数据。
该地产集团在使用了析策平台后的某日,发现有位员工利用一些特殊工具,偷偷在线上系统运行的应用程序中植入后台代码,对外暴露一个特殊API地址,以供其定期查询敏感数据。这时析策平台通过实时分析系统访问行为日志,发现某主机存在被爬虫爬取敏感数据的行为,平台立刻进行了预警。
安全运营人员在查看该告警详情时,和业务方确定后认定该API地址为非正常业务API。且经过平台自动关联分析发现该行为所在的主机,在爬虫行为发生前几分钟内,存在某员工在该主机上使用特殊工具进行疑似编译代码的违规行为。
最终经过对系统主机操作记录的一系列溯源取证,集团确定了该行为真实存在。于是安全运营人员在取得一手证据并留证之后,一方面通知相关人员协同线下处理该事件,另一方面通过析策平台及时联动WAF对该API地址进行了封禁,有效地阻止了更多的数据被泄漏。
XDR技术大有可为
郑冬东表示,未来XDR技术也许会出现分化:一是由于人工智能技术的深⼊应用,未来黑灰产必将进一步壮大,攻击手段也将趋于自动化和多样化,因此,威胁检测领域需要依靠人工智能技术不断提升检测能力。
二是由于更强大的自动化响应能力。近年来,网络安全人才缺口大,企业安全、运维人才紧缺,因此这将会更加依赖自动化处置的方式,避免宝贵的人力资源浪费在低效的重复工作之中。那么这就要求XDR平台支持更灵活的剧本编排,支持更丰富完善的策略下发,能与更多的安全产品联动。
事实上,这两个方向也是析策未来的进化方向。郑冬东透露,析策在研发之前就已经着重考虑了自适应能力和自动化响应能力两个关键点,并为持续进化做好了准备。
在自适应方面,析策内置一套机器学习模块, 能够将安全运营专家经验和人工智能相结合, 对隐蔽且持续多变的安全威胁进行多角度分析,自动适应个性化的网络环境, 并不断优化自身的安全防御机制。
而在自动响应方面,析策可以基于企业风险数据和人员行为的实时分析,全面掌握企业风险态势,制定场景化安全响应动作与流程,执行最优决策,实现自动化响应。
那时,孤立的安全将成为过去式,XDR技术将帮助企业从全局的角度应对网络安全挑战,助力企业安全团队从整体安全的视角出发、以更加积极主动的姿态,去对抗日益复杂的网络威胁。