7月21日,《网络安全新视野》第一季第二课开讲,吉盾科技CTO郑东东带来了XDR建设方案、架构、技术栈的独家分享。(以下为自分享记录,仅摘录部分精华)
2018年,帕洛阿尔托首次提出了XDR的概念。从概念上可以看出,XDR的价值在于提高威胁检测和侦查能力。
随后几年,国外各大安全厂商也在默默摸索和实践。直到2020年,Gartner第一次把XDR作为第一安全趋势。它提出XDR作为这样一个平台,以“提高检测精度,并提高安全运行效率和生产力”。
自此,XDR在国外获得了合法的名称和地位。让我们回到XDR这个名字本身来寻找定义。通常,名字是对定义的最好解释。
我们来看最后两个字母,D:检测,检测;r:回应,回应。我们知道,对于任何安全产品来说,快速检测和响应都是永恒的目标,XDR也不例外。
而“X”是什么?
在很多地方,“X”表示一个变量,未知的,任意的,XDR中的“X”也有这个意思,代表任意的数据源和端点。这意味着XDR可以访问任何数据源和端点。
“X”还有一层意思,就是延伸的意思。扩大了什么?通过访问每个端点并关联检测和响应,扩展了每个端点的检测和响应能力。
基于此,我们总结了XDR的核心能力,即:获取、分析、检测和响应。
基于XDR核心能力的闭环安全运营
收集,XDR的所有后续操作都基于从各种数据源和端点收集的数据。这里需要有独立于特定安全设备/安全数据源的数据采集方法,内置常用的安全日志和网络流量分析规则,分析CEF、JSON、KV等格式的安全数据。
分析在XDR中的作用主要体现在两个地方。一是通过一些可视化的手段,帮助安全运营人员自动或手动分析采集的数据,了解数据分布和特征,方便后续制定和调整检测规则。此外,在响应和处置过程中,可以帮助安全运营方进行快速调查取证和溯源分析。因此,要求XDR分析接近实时和交互式。
检测是XDR核心竞争力的核心。通过对从各种来源收集的数据进行相关性分析,可以提取真正的高风险风险。
响应作为XDR中的能力闭环,根据检测结果自动执行安全响应行动和流程。
这四种能力环环相扣,相互依存,相互促进,形成了基于XDR核心能力的安全运营闭环,从而帮助企业深度构建坚韧的防御体系。
我们先来看看XDR的实际架构和关键技术。
围绕XDR核心能力的平台架构设计
底层部分是数据收集,通过分布式数据收集探针收集网络流量、日志和事件。通过外部数据加载器加载威胁情报和设备资产信息等信息。
然后是数据预处理。这一层功能其实就是我们常说的ETL,包括智能数据分析、数据标准化、数据丰富和数据识别。
数据标准化中有一个很重要的功能,就是通用字段提取。比如源IP是一个很常见的通用字段,通常在不同来源的数据中携带,但是字段名通常不一样。从不同来源的数据中提取代表相同含义的字段,是后续跨数据源关联分析最重要的一步。
然后就是安全检测。基于数据预处理后生成的标准化数据,由实时智能决策引擎进行实时分析,最终得出检测结果,包括威胁类型、威胁等级、置信度、攻击阶段、攻击战术和使用的技术等。
这里有一个关键点。检测逻辑必须通过关联来自多个源的数据或来自多个维度的数据来实现。
顶层是安全运营,核心功能是安全分析和SOAR。
SOAR有两个常用产品。一个是整个产品是一个飙升。我前面说的数据采集、数据预处理、安全检测都是在SOAR中完成的,这些功能通过可视化的排列组合在一起。另一种是将SOAR作为一个功能嵌入到自己的产品中,主要解决响应处理的自动化和编排,比如现在的XDR架构。
了解了整体架构,下面介绍三个关键技术点。
三大关键技术,XDR登陆护航
关键技术:数据融合
数据访问后的第一步是解析。解析可以基于固定的规则,比如apache httpd accesslog、linux audit log等。这些日志有几种固定的格式。比如有一些JSON、CEF、KV等格式,也可以基于固定的规则进行解析。然而,市面上的安全产品有数百种,这些固定的内置规则并不能完全覆盖。这时候平台就需要定制数据解析规则的能力,无论是通过正则化、GROK还是脚本提供给用户。
虽然上面提供了定制数据解析规则的能力,这使得安全操作人员可以编写常规和简单的python脚本,但是要编写一个可以在生产环境中高效稳定运行的解析脚本就有点困难了。所以通过机器学习算法自动生成数据分析规则,比如频繁项集算法,更人性化。
我不会详细讨论威胁在安全中的作用。这里只是很容易被忽略的一点。平台本身日常运营过程中,一些IP、URL、恶意软件等。被检测为风险并最终确定为有效警报的,实际上是非常有用的威胁情报,甚至比外部威胁情报更有效。
关键技术:检测技术
在讲架构图的时候,我提到了安全检测过程中很重要的一点,就是检测逻辑必须通过关联多个来源或者多个维度的数据来实现。
这里有一张图片,总共显示了7个字段和3条数据。如果没有关联分析,单个数据的分析维度,比如第一次登录事件,就只有7个字段,分析方法只能基于字段内容特征。
有了关联,分析维度大大扩展了。我把关联分为两种,一种是纵向关联,一种是横向关联。
纵向关联是从数据源本身和时间维度对历史数据进行关联。示例中的三段数据都来自应用程序系统访问日志数据。如果您查看第一个登录事件,即源IP,您可以关联该IP在过去一段时间内是否发生了爆炸。账户,可用于关联该账户在过去一段时间内是否有共享行为。
水平关联意味着从维度关联其他数据源。以第一次登录事件为例,源IP,可以关联蜜罐日志,看看该IP是否已经被蜜罐捕获。还可以关联WAF告警日志,查看最近一段时间该IP是否被WAF拦截过。
通过横向和纵向的联合,织成了一张网。关联的历史数据和不同来源的数据越多,网络就越密集,可以捕获的威胁和攻击就越多。当然要注意,网越密越容易误杀。如果放松了,就容易漏网,需要反复调整和权衡。
此外,检测技术中的另一项重要技术是机器学习。攻击手段永远不可能面面俱到。稍加编码,就可能绕过。所以,现在无论是NDR、EDR还是零度智控,都可以看出已经越来越重视基于机器学习的异常行为检测。
关键技术:响应技术
目前大部分企业的应对可能还停留在简单的IP封杀和网址封禁上。但这种粗放式的处置方式,已经越来越跟不上精细化的安全操作了。比如发现某内网主机IP被植入了挖矿病毒,是否需要扫描该网段,看是否有其他被感染的主机?是否需要搜索出所有相关的报警日志,供安全操作人员参考?你甚至可以恢复所有可能的攻击链接。如果这些工作一个月偶尔做几次,还是可以接受的,但是如果需要每天做,除了自我反省之外,也是一个很好的全过程自动化的方法。因此,安全脚本安排对于精细化和自动化操作非常重要。
我们应该注意安全脚本布局。如何设计出最小的可复用的动作节点,但又不至于太低,是一件很重要的事情。此外,整个脚本非常依赖于节点的类型。类型越多,剧本可以安排的内容就越丰富。
在海量数据中还原攻击路径极其麻烦,但在响应和处置过程中,这项工作必不可少。一个清晰的攻击环节,不仅可以帮助安全运营人员还原攻击过程,还可以帮助现有的安全建设查漏补缺。
很多时候,由于采集到的数据的不完整,攻击链路不一定是真正的可以完整连在一起的一条链路,很可能会分成很多段,中间断掉的部分,还是需要人工进行补全。另外,真实攻击中,攻击者也往往会在多种攻击战术中往复横跳,或者通过提权调整身份,真实的链路也大概率会是断断续续,最终需要人工进行辨别。
本文来自秦楚殇投稿,不代表舒华文档立场,如若转载,请注明出处:https://www.chinashuhua.cn/24/522371.html
微信扫一扫 
