攻防实战利器|山石网科智源XDR架构,赋能可持续安全运营

 

 

背景

随着攻击者使用更复杂的策略、技术和程序 (TTP) 来成功规避和利用传统的安全控制,各安全组织持续致力于保护越来越多易受攻击的数字资产。多年来,安全团队一直处于紧张状态,长期在海量数据中挣扎,警报过载、误报过多、数据与分析工具或事件响应的集成度弱等问题,使得安全运营压力逐步被放大。

 

传统的防御系统无法有效抵御高级复杂威胁,而诸如EDR、NTA等手段,可以提供威胁的分层可见,但反应式的安全技术对隐蔽攻击也缺乏一定成效。

 

为了更全面应对有组织的攻击者/团体、对抗性高级复杂威胁甚至潜在的内部恶意不良行为,我们需要更主动的安全方案,能够快速识别隐藏的复杂威胁,并实现对特定威胁实例的可见。此外,还需要能够跨网络、端点以及云基础架构,提供数据可见性,通过自动关联、聚合,减少追踪误报,实现更快、更准的事件分级分类,使用安全分析和自动化来确定调查优先级并加速检测与响应,提升控制力,从而保护整个技术资产格局。

 

而能够兑现这一愿景的热门解决方案之一,就是XDR(扩展检测和响应)山石网科智源智能安全运营系统V2.0R5战略发布,用全新的“云网端”安全运营架构,向XDR时代大步迈进。

 

关键指标

XDR不仅是一项技术,更是一种方法,通过简化和统一不同的安全技术,以提高总体安全方案的有效性。XDR解决方案的本质是“检测与响应”,覆盖云、网、端、X的各种数据,并集中管理对安全相关的所有数据的分析,聚合告警、事件定性、攻击回溯,同时按照响应剧本,灵活选择执行策略。

山石智源安全运营团队理解XDR可以跨越所有的安全层,从XDR整体能力的实现角度,安全运营需要包含四个关键指标:

 

全安全域/层可视、可见

 

XDR-Extended Detection and Response,X即扩展,覆盖云、网、端、X的能力,对不同源数据的采集、接入、聚合、分析,是实现跨系统响应的基石。

 

大数据智能分析

 

安全业务、系统产生的海量异构数据无法通过人工方式进行有效分析,需要引入安全大数据技术,通过智能分析引擎、机器学习算法等方式从海量信息中发现异常,并溯源定位,完整攻击链还原,实现攻击生命周期可见。

自动化协同响应

 

传统手动处置响应流程会降低响应速度,而全自动化的威胁响应在某些场景下又存在一定风险。因此,在相对宽松的场景中,可以让XDR做自动化处置闭环,而在策略从严的网络、业务环境中,让XDR推荐一项或多项的的更改,让安全管理人员能够验证并执行,是一个较好的过渡步骤。

 

简化的工作流程

 

复杂性是安全运营之敌,传统的安全防御单品提供了永无止境的告警信息,过于嘈杂、难以理解且不易处置。XDR必须能够提供简化威胁事件调查的完整展示,便于用户轻松的从各种事件中调查威胁的细节及根源。

 

实现效果

覆盖云、网、端、X的数据扩展聚合能力

 

通过跨端点、网络、云的统一可见性和控制,覆盖全链条数据,对海量异构安全信息统一采集聚合。

  • :云端情报、威胁IOC,协同检测
  • :流量、探针、安全设备,高级威胁检测引擎、日志聚合分析、策略下发
  • :主机安全EDR,端点高级威胁检测、下沉式联动
  • X:与资产相关的业务系统数据

图片

影响网络安全各种因素的指标体系

 

对各安全因素梳理、分析、提炼,建立包括综合/攻击/位置/资产/威胁/弱点感知等多方面的层次化网络安全态势感知指标体系,通过可视化技术形成感知能力。

  • 宏观:感知网络安全总体态势
  • 中观:快速定位各种网络安全要素的安全水平及不安全因素的方位
  • 微观:量化细节,实现具体事件的追踪溯源、快速处置

 

可持续、立体化、全生命周期威胁检测

通过安全大数据技术,基于空间、事件维度构建立体化安全检测能力,从攻击前、中、后阶段维度进行威胁的全生命周期检测。

  • 攻击前-侦察跟踪阶段

成为APT攻击的针对性目标之前,或成目标之后的初期阶段,要做好隐患排查和边界安全防护策略。

  • 攻击中-突破渗透/扫描扩散阶段

实时检测穿透边界或绕过边界直接进入内网区域的已知及未知威胁攻击,拦截恶意载荷的投递和植入。

多维度威胁检测技术,检测内网异常行为,快速定位已失陷的跳板主机,控制其内网扫描扩散行为。

  • 攻击后-持续攻击阶段

全网信息数据横向关联分析,发现潜在关联性,还原APT攻击完整的攻击路径,相关攻击信息情报化。

SOAR安全编排&预警响应闭环

对不同场景下的威胁事件,以流转拓扑图形式编排特定响应流程,与安全实体或工单系统联动实现不同网络环境中的自动/半自动闭环响应。

按照SOAR编排的剧本对威胁事件向上实施告警、中层进行流转,对下联动实体下发策略响应。可以支持与网络安全类设备、主机安全类设备、威胁情报的联动,同时支持多种方式与三方安全设备对接联动。

 

持续优化事件处理与状态跟踪流程

通过将人、技术、流程进行最优结合,才能解决安全运营的最后一公里,持续优化事件处置与状态跟踪流程。

以威胁发现为基础,分析处置为核心,发现隐患为关键,推动提升为目标,达到持续安全运营的主旨,提供威胁从确认到消除的全流程跟踪手段,直观展示威胁事件处理进度,整体把控网络风险。

 

智源XDR安全运营能力全景生态

未来,山石网科将在“可持续安全运营”技术理念的指引下,持续聚焦“全息、量化、智能、协同”四大网络安全技术特性,继续发挥自身的研发优势,为客户的安全运营保驾护航,为您的安全竭尽全力!