久久精品黄色夫妻视频_午夜裸体性皤放_亚洲第一无码AV无码专区_av毛片h片在线观看

在威脅日趨復(fù)雜和多種安全設(shè)備并存的網(wǎng)絡(luò)環(huán)境，基于XDR構(gòu)建統(tǒng)一安全運營中心，整合已有的安全產(chǎn)品/安全能力、SIEM/SOC、威脅情報、遙測數(shù)據(jù)等分散元素，縮短從檢測到響應(yīng)的時間，成為最可行的方向，被視為安全的未來。

一、網(wǎng)絡(luò)威脅日益復(fù)雜

不僅企業(yè)混合架構(gòu)變得越來越復(fù)雜，攻擊方法也變得越來越復(fù)雜。除了利用零日漏洞之外，網(wǎng)絡(luò)攻擊者現(xiàn)在還轉(zhuǎn)向高級攻擊方法，例如，利用無文件惡意軟件可以逃避檢測并且不留下任何痕跡;多階段攻擊允許黑客在網(wǎng)絡(luò)內(nèi)長時間橫向移動以執(zhí)行偵察，從而提高攻擊目標(biāo)的成功率;利用供應(yīng)鏈攻擊下游企業(yè)和消費者;利用加密和數(shù)據(jù)泄露的雙重勒索攻擊;以及利用人工智能工具開展攻擊。

日趨復(fù)雜高級的網(wǎng)絡(luò)攻擊給目前各種針對單一防護(hù)目的的工具，帶來嚴(yán)峻的安全挑戰(zhàn)，告警疲勞成為行業(yè)普遍現(xiàn)象。

美國工業(yè)安全先驅(qū)H.W.海因里希(Herbert William Heinrich)在1930年代提出的安全管理理論“海因里希安全法則(Heinrich's Law)”發(fā)現(xiàn),每一起嚴(yán)重的工傷事故(傷殘或死亡)，背后大約有29起輕傷事故和300起無傷事故(或安全隱患)。

海因里希的安全法則強(qiáng)調(diào)，絕大多數(shù)事故都是可以預(yù)防的，且它們往往是由于人為失誤、不安全行為或條件引起的。根據(jù)這個理論，通過積極地識別和減少小的事故和隱患，可以有效地防止嚴(yán)重事故的發(fā)生。

從20世紀(jì)60年代末的ARPAnet到80年代的“莫里斯蠕蟲”,網(wǎng)絡(luò)安全概念起源準(zhǔn)確來講其實很難考究，以網(wǎng)絡(luò)安全現(xiàn)況來看，安全領(lǐng)域每年都會推出眾多新的產(chǎn)品、熱詞、技術(shù)術(shù)語。然而，這些眾多的解決方案可能只能解決部分問題，也是網(wǎng)絡(luò)安全領(lǐng)域競爭激烈和內(nèi)卷的一個主要原因。可以確定的是隨著計算機(jī)技術(shù)、IT架構(gòu)和網(wǎng)絡(luò)模式的發(fā)展,網(wǎng)絡(luò)安全討論的話題和需要解決的問題始終是變化的。

圖1 網(wǎng)絡(luò)安全領(lǐng)域模型與概念層出不窮(冰山一角)

到底如何構(gòu)建安全防御體系? 為了解決這一問題，Palo Alto Network于2018年首次提出了XDR產(chǎn)品。XDR整合了多個安全產(chǎn)品和技術(shù)，提供多維度且更全面的威脅檢測、分析及快速響應(yīng)能力。

二、為什么是XDR

兩點之間的最短距離是直線。快速檢測和響應(yīng)對于減輕攻擊造成的損害至關(guān)重要。網(wǎng)絡(luò)防護(hù)的重點是如何縮短從檢測到響應(yīng)行動的時間。此外，網(wǎng)絡(luò)防護(hù)，不僅跟上攻擊者的步伐，還要預(yù)測和先發(fā)制人。

僅靠一群全明星運動員并不能保證勝利一樣，靠聚集一系列最好的安全工具也不能確保防止攻擊發(fā)生。XDR 平臺可以!

XDR 平臺可以充分利用每個可用的數(shù)據(jù)遙測源，有效減少網(wǎng)絡(luò)噪音并發(fā)現(xiàn)潛在入侵或攻擊的信號，從而可以實時檢測和響應(yīng)潛在的入侵和攻擊行動。

XDR具備三大關(guān)鍵能力：

可見性、響應(yīng)和檢測

1、XDR實現(xiàn)安全可見，提升威脅感知能力

XDR 利用數(shù)據(jù)和傳感器的力量來提供全面且豐富的檢測和響應(yīng)能力。通過利用日志源、威脅情報、端點數(shù)據(jù)和其他傳感器數(shù)據(jù)，XDR 可以將這些遙測數(shù)據(jù)創(chuàng)建為一致的安全警報。

正如“海因里希安全法則對于每一起嚴(yán)重的工傷事故(傷殘或死亡)，背后大約有29起輕傷事故和300起無傷事故(或安全隱患)”。有效的網(wǎng)絡(luò)安全防御與安全運營體系需要全局的安全可見。

XDR的安全可見能力也稱之為XDR的遙測能力,是XDR的最核心最關(guān)鍵的基礎(chǔ)能力，做為網(wǎng)絡(luò)安全防御體系XDR安全可見能力最為核心可以分為看見資產(chǎn)、看見應(yīng)用環(huán)境、看見行為/活動、看見風(fēng)險/攻擊面、看見入侵行為等。

# 看見資產(chǎn)能力

談到XDR的安全可見能力，"看見資產(chǎn)"的能力無疑是最應(yīng)該被優(yōu)先考慮的。這是因為企業(yè)的安全防御體系建立在對其資產(chǎn)的全面了解之上，特別是對高價值資產(chǎn)和與核心業(yè)務(wù)密切相關(guān)的資產(chǎn)的保護(hù)。這些資產(chǎn)通常是企業(yè)運營的關(guān)鍵，一旦受到威脅或攻擊，可能會對企業(yè)的業(yè)務(wù)運行造成嚴(yán)重影響。因此，確保對這些資產(chǎn)有清晰的可見性，是實現(xiàn)有效安全防護(hù)的前提。

## 第一步,構(gòu)建資產(chǎn)臺賬

不少企業(yè)雖然出臺的關(guān)于員工網(wǎng)絡(luò)安全相關(guān)行政要求或員工網(wǎng)絡(luò)準(zhǔn)則,但是監(jiān)管措施依然滯后甚至無效,因而帶來如影子資產(chǎn)問題,大量散落在角落未被納入資產(chǎn)管理范圍的影子資產(chǎn),往往成為黑客攻擊的突破口,給企業(yè)網(wǎng)絡(luò)安全管理帶來了嚴(yán)重挑戰(zhàn)。

傳統(tǒng)意義上的資產(chǎn)管理多是基于手動添加、更新,或是在指定時間節(jié)點進(jìn)行統(tǒng)一的資產(chǎn)更新、變更或資產(chǎn)審計操作,很明顯其缺點是既費時又費力，更糟糕的是各自原因總是導(dǎo)致資產(chǎn)更新延遲、遺漏等問題。

對于企業(yè)安全團(tuán)隊而言,需要使用保持即時更新的資產(chǎn)庫,才能保證安全運營過程的準(zhǔn)確性。從攻防對抗角度,防守方將面臨進(jìn)行有效防御范圍界定問題,未知資產(chǎn)意味著可能存在更多未發(fā)現(xiàn)的風(fēng)險和攻擊暴露面。黑客攻擊手法每天都在不斷變化并變得越來越復(fù)雜，過時、不完整、粗曠的資產(chǎn)清單無法有效應(yīng)對高對抗的安全挑戰(zhàn)。

持續(xù)跟蹤資產(chǎn)并保持即時更新是一個看似簡單實際復(fù)雜命題也是一項復(fù)雜而艱巨的任務(wù),要做到持續(xù)的資產(chǎn)監(jiān)控并保持更新除了周期性的資產(chǎn)發(fā)現(xiàn)和采集外,更多需要關(guān)注觸發(fā)類的資產(chǎn)變更行為,并需要具備對接企業(yè)ITAM或CMDB系統(tǒng),從企業(yè)整體資產(chǎn)管理角度進(jìn)行統(tǒng)一資產(chǎn)管理或持續(xù)增強(qiáng)。

XDR看見資產(chǎn)能力,除了基于XDR廠商內(nèi)置的EDR Agent實現(xiàn)資產(chǎn)采集或是通過內(nèi)置的NDR,通過流量層面采集資產(chǎn),更重要的是需要具備基與數(shù)據(jù)驅(qū)動的自動化資產(chǎn)數(shù)據(jù)提取能力及對接企業(yè)現(xiàn)有資產(chǎn)管理系統(tǒng)如CMDB,減少對數(shù)據(jù)接入過程的人工干預(yù),降低實施和運營成本,構(gòu)建跨安全平臺的資產(chǎn)可見能力。

## 第二步, 定位和看見真實資產(chǎn)

當(dāng)發(fā)生安全事件時，比如安全團(tuán)隊從NDR監(jiān)測到可疑流量，這些流量似乎正在嘗試?yán)媚硞€已知漏洞。在沒有NAT/PAT的情況下，NDR類設(shè)備可以直接定位到對應(yīng)的內(nèi)部IP地址，安全團(tuán)隊可以迅速定位并檢查該設(shè)備，以確定是否真的遭受了攻擊。然而，在NAT/PAT等場景下因為IP地址映射，安全團(tuán)隊需要訪問NAT/PAT設(shè)備的日志文件，以確定真實受害者IP地址對應(yīng)于警報中的應(yīng)受害IP。

看見和快速定位資產(chǎn)做為XDR安全運營的基本能力,XDR具備去IP化(不完全依賴單一IP視角)的資產(chǎn)歸一化治理體系,是一種不完全依賴單一IP地址來識別和管理網(wǎng)絡(luò)資產(chǎn)的方法。通過將資產(chǎn)與其它標(biāo)識符關(guān)聯(lián)，實現(xiàn)對資產(chǎn)的精準(zhǔn)識別和管理，即使在復(fù)雜的NAT/PAT環(huán)境中也能有效工作,保障安全運營快速。

正所謂,安全網(wǎng)絡(luò)從資產(chǎn)管理開始,XDR看見資產(chǎn)為“摸清家底、認(rèn)清風(fēng)險、找出漏洞、通報結(jié)果、督促整改”構(gòu)建基本前提。

# 看見應(yīng)用環(huán)境

看見應(yīng)用環(huán)境意味著企業(yè)擁有對運行的所有軟件\服務(wù)等支撐體系的深入洞察。這包括了諸如應(yīng)用軟件、運行的進(jìn)程、內(nèi)核模塊、系統(tǒng)賬號、開放的端口、計劃任務(wù)、系統(tǒng)環(huán)境變量、系統(tǒng)服務(wù)、數(shù)據(jù)庫、WEB服務(wù)、WEB站點、移動存儲、Windows根證書、Windows補(bǔ)丁、系統(tǒng)啟動項、共享目錄和jar包等等。每一個維度都構(gòu)成了企業(yè)應(yīng)用環(huán)境安全的一部分，對于看見和維護(hù)整體的網(wǎng)絡(luò)安全至關(guān)重要。

如Apache Log4j 在爆出 CVE-2021-44228漏洞時,所有安全廠商都熱火朝天的發(fā)應(yīng)急響應(yīng)軟文,讓企業(yè)去排查和梳理涉及的相關(guān)jar包,以確定可能存在的安全影響面。

圖2 某廠商軟文截圖

企業(yè)用什么高效的手段去快速梳理存在的jar包,利用安裝的Agent還是利用各類掃描器如漏掃工具? 或是各類安全產(chǎn)品或工具梳理出來的數(shù)據(jù)各種割裂,能快速看到嗎?能全局看到嗎?還是讓IT系統(tǒng)或安全產(chǎn)品的廠商各自梳理下是否用到了相關(guān)的jar包?

XDR“看見應(yīng)用環(huán)境能力”可以幫助企業(yè)提前梳理梳理應(yīng)用環(huán)境臺賬,并持續(xù)監(jiān)測企業(yè)業(yè)務(wù)環(huán)境下的應(yīng)用環(huán)境變更,做到看的見、可審計、可追溯。

# 看見行為看見活動

恐懼往往來自對未知的焦慮,網(wǎng)絡(luò)安領(lǐng)域也是如此,購買大量的安全防護(hù)產(chǎn)品,您是否感覺到安全了?

在攻防技戰(zhàn)術(shù)各種繞過和對抗場景下，企業(yè)安全團(tuán)隊需持續(xù)的監(jiān)控被保護(hù)對象的各類細(xì)粒度操作行為或活動,通過細(xì)粒度的行為變更實現(xiàn)第一時間的變化感知、風(fēng)險感知、攻擊感知。需要細(xì)粒度看見和審計防護(hù)對象的各類行為活動如進(jìn)程啟停事件、模塊加載行為、文件操作行為、網(wǎng)絡(luò)訪問行為、注冊表變更行為、瀏覽器訪問行為、提權(quán)行為等。XDR提供了一種全新的視角來理解和應(yīng)對網(wǎng)絡(luò)安全威脅。通過深入觀察和分析系統(tǒng)內(nèi)部的各類行為變化，企業(yè)安全專家可以從中發(fā)現(xiàn)異常模式，及時識別出潛在的威脅, 以便能夠發(fā)現(xiàn)并采取措施進(jìn)行阻斷。

# 看見風(fēng)險看見攻擊面

隨著企業(yè)IT環(huán)境的復(fù)雜化和多樣化,攻擊者利用的手段也越來越多樣化，特別是企業(yè)數(shù)字化轉(zhuǎn)型下企業(yè)IT及業(yè)務(wù)系統(tǒng)變得越來越復(fù)雜，各種中間件、開源軟件、Web應(yīng)用、數(shù)據(jù)庫、容器、云服務(wù)等,加大了企業(yè)網(wǎng)絡(luò)安全風(fēng)險。從內(nèi)部網(wǎng)絡(luò)到云基礎(chǔ)設(shè)施，再到移動設(shè)備和IoT設(shè)備，構(gòu)成了一個錯綜復(fù)雜的IT架構(gòu)。每一個組成部分都可能成為攻擊者潛在的目標(biāo)，每一個軟件更新、配置更改或新服務(wù)部署都可能引入新的安全漏洞，給攻擊者留下可利用的空間。

雖然企業(yè)IT建設(shè)也不斷加大了企業(yè)安全投入,然而受限與安全產(chǎn)品間的數(shù)據(jù)割裂,更多的企業(yè)始終無法持續(xù)的監(jiān)測和收斂攻擊面。

XDR可通過集成和分析來自網(wǎng)絡(luò)、終端、漏掃等多個數(shù)據(jù)源的風(fēng)險信息，提供了一個全局視角來觀察和分析安全風(fēng)險點。這種全面的監(jiān)控能力使得XDR能夠跨越傳統(tǒng)的安全邊界，實時監(jiān)控整個IT環(huán)境的變化，動態(tài)發(fā)現(xiàn)新的漏洞和安全風(fēng)險。結(jié)合資產(chǎn)屬性特別是業(yè)務(wù)重要性等屬性定義,XDR能夠識別出異常行為和潛在的安全風(fēng)險及背后可能存在的業(yè)務(wù)風(fēng)險,給企業(yè)呈現(xiàn)全域的安全風(fēng)險感知與洞察視角。

舉例,近期公安部在面對越演愈烈的勒索攻擊，一劍封喉地指出了問題的本質(zhì)，大部分的勒索攻擊是利用了高危漏洞、高危端口、弱口令滲透到企業(yè)并進(jìn)行勒索攻擊結(jié)果的達(dá)成。為了減少勒索攻擊帶來的社會危害，公安部針對企業(yè)“兩高一弱”的問題，會持續(xù)的展開監(jiān)管檢查活動，目前已經(jīng)有一些企業(yè)因為“兩高一弱”的問題而導(dǎo)致攻擊事件發(fā)生被處罰。

XDR可利用其自身風(fēng)險及攻擊面監(jiān)測能力及整合第三方安全設(shè)備風(fēng)險數(shù)據(jù),可有效應(yīng)對“兩高一弱”(高危漏洞、高危端口、弱口令)的問題，以下我們將通過未來智安XDR看看如何應(yīng)對“兩高一弱”。

圖3 未來智安XDR 安全工作臺: 直觀監(jiān)測“兩高一弱”

XDR平臺內(nèi)置了端點保護(hù)和響應(yīng)(EDR)、網(wǎng)絡(luò)流量檢測和響應(yīng)(NDR)、自動化編排(SOAR)等功能，同時能夠協(xié)助企業(yè)監(jiān)管第三方安全產(chǎn)品的數(shù)據(jù)進(jìn)行統(tǒng)一分析，從全局的視角覆蓋應(yīng)用程序、網(wǎng)絡(luò)、端點、云、郵件等多個通道的數(shù)據(jù)，以便全面地發(fā)現(xiàn)網(wǎng)絡(luò)中存在的高危端口、高危漏洞、弱口令等風(fēng)險場景。

綜上所敘,XDR全面的“安全可見能力”有助于實現(xiàn)快速的安全威脅響應(yīng)。一旦發(fā)現(xiàn)異?；顒踊虬踩{，擁有全面的“安全可見能力”可以迅速定位問題所在，并采取相應(yīng)的措施加以應(yīng)對，從而最大程度地減少安全事件對業(yè)務(wù)的影響，保障網(wǎng)絡(luò)及業(yè)務(wù)的持續(xù)運行。

2、XDR 實現(xiàn)主動威脅檢測

XDR中的“X”具備多維度的擴(kuò)展屬性，強(qiáng)調(diào)由孤立單點式威脅檢測過渡到基于更多上下文數(shù)據(jù)的可見，進(jìn)行全面威脅檢測的整體安全思路的轉(zhuǎn)變。XDR不再單純依賴于端點、網(wǎng)絡(luò)或其他安全設(shè)備進(jìn)行告警發(fā)現(xiàn)和安全事件的標(biāo)記，重視底層的數(shù)據(jù)變化，比如主機(jī)上的權(quán)限變更、文件變更、賬號體系變更、系統(tǒng)負(fù)載的變化等，從而研判企業(yè)網(wǎng)絡(luò)的安全風(fēng)險，為企業(yè)安全運營帶來完整的上下文和可見性。

在XDR的框架下，"X"代表的擴(kuò)展性不僅僅局限于將不同數(shù)據(jù)源融合到一個視圖中，更重要的是XDR利用這些數(shù)據(jù)來實現(xiàn)主動風(fēng)險發(fā)現(xiàn)到主動威脅檢測的轉(zhuǎn)變。這一過程體現(xiàn)了XDR對于安全事件的深入理解和快速響應(yīng)能力。

XDR平臺首先通過對網(wǎng)絡(luò)和終端等多個維度的安全數(shù)據(jù)進(jìn)行實時監(jiān)控，識別出潛在的風(fēng)險點。這些風(fēng)險點可能是一個異常登錄嘗試、不尋常的網(wǎng)絡(luò)流量模式，或是系統(tǒng)配置的未授權(quán)更改。XDR利用基于多源數(shù)據(jù)的主動分析技術(shù)如基于ATT&CK技戰(zhàn)術(shù)的異常行為檢測，來識別出這些行為背后可能隱藏的風(fēng)險。這種風(fēng)險發(fā)現(xiàn)機(jī)制能夠捕捉到從傳統(tǒng)安全工具可能遺漏的細(xì)微風(fēng)險信號，為下一步的威脅檢測打下基礎(chǔ)。

在風(fēng)險被發(fā)現(xiàn)后，XDR進(jìn)一步分析這些風(fēng)險點，將它們與已知的威脅模式和情報庫進(jìn)行匹配，以判斷是否存在實際的威脅。XDR不僅關(guān)注單一事件，而是將相關(guān)事件串聯(lián)起來，形成一個完整的攻擊鏈。例如，一個不尋常的文件下載行為，本身可能不會引起警報，但如果與之前的異常登錄嘗試相關(guān)聯(lián)，則可能表明一個更復(fù)雜的攻擊正在進(jìn)行中。

XDR的核心優(yōu)勢在于其對安全事件上下文的深入理解。通過整合來自不同數(shù)據(jù)源的信息，XDR能夠提供詳盡的上下文信息，幫助安全分析師快速準(zhǔn)確地判斷威脅的性質(zhì)和嚴(yán)重性。這包括攻擊者的可能目標(biāo)、使用的攻擊手法、受影響資產(chǎn)的重要性等。這種全面的視角使得XDR能夠在復(fù)雜的安全環(huán)境中，實現(xiàn)精準(zhǔn)的威脅檢測。

3、XDR 實現(xiàn)安全自動化，提高響應(yīng)速度

XDR 的核心優(yōu)勢和承諾之一在于能夠?qū)崿F(xiàn)流程自動化、有效分類警報并實現(xiàn)主動事件響應(yīng)，特別是對于重大警報。如何實現(xiàn)?

企業(yè)日常安全運營工作往往會陷入海量告警的運營困局,數(shù)量龐大且包含大量的誤報，使得安全運營團(tuán)隊難以有效地識別真正的威脅，進(jìn)而無法展開有效的安全運營工作。XDR為多安全設(shè)備多告警的安全運營困局提供的有效的解決路徑:

傳統(tǒng)的調(diào)查和分析過程通常需要大量的人力和時間投入。安全分析師需要手動收集、整理和分析大量的安全事件數(shù)據(jù)，進(jìn)行威脅排查和取證工作。這不僅效率低下，還容易導(dǎo)致遺漏或延誤關(guān)鍵事件的響應(yīng)。

提高效率是安全運營一個永恒的話題，追求效率或利用利用自動化提升效率的前提一定是充分考慮和兼容企業(yè)安全運營及關(guān)注點差異,在滿足前者基礎(chǔ)上構(gòu)建的。

XDR自動化分析能力體現(xiàn)在構(gòu)建完善的數(shù)據(jù)標(biāo)準(zhǔn)化及安全能力原子化基礎(chǔ)上,XDR通過整合來自網(wǎng)絡(luò)、終端和其他安全工具的告警和日志信息，提供了一個統(tǒng)一的管理平臺。這種集中式的數(shù)據(jù)管理不僅減少了信息孤島的問題，還使得安全分析師能夠在一個平臺上查看和分析所有相關(guān)數(shù)據(jù)，從而更快地識別和響應(yīng)威脅。

基于上下文豐富和關(guān)聯(lián)分析,實現(xiàn)威脅的有效過濾和優(yōu)先級排序,讓安全團(tuán)隊聚焦真正的威脅

(1)基于多維權(quán)重入侵警報分流

通過不同維度如入侵警報的優(yōu)先級(包括高中低等)、資產(chǎn)的價值/重要程度等多維度定義,有效的對海量告警進(jìn)行分類、圈定優(yōu)先級。

場景假定:在縱深防御階段的NDR/全流量設(shè)備產(chǎn)生大量入侵警報,其中涉及一般資產(chǎn)、核心資產(chǎn)、資產(chǎn)對業(yè)務(wù)的影響程度、資產(chǎn)與數(shù)據(jù)/隱私/機(jī)密的重要程度、告警類型的多維度,賽選/分流出需要重點分析的入侵警報。

備注: 需對威脅等級、告警類型等維度進(jìn)行歸一化處理

(2)基于攻擊技戰(zhàn)術(shù)

通過透視攻擊路徑和常見攻擊方式方法，依據(jù)當(dāng)下常見的攻擊技戰(zhàn)術(shù)生產(chǎn)階段性的安全事件,通過攻擊技戰(zhàn)術(shù)收斂和歸類告警,實現(xiàn)某類攻擊技戰(zhàn)術(shù)的有效防御如針對owasp top10,owasp top10是最新入侵風(fēng)險的風(fēng)向標(biāo),對如何解決網(wǎng)絡(luò)安全問題有著重要且積極的影響。持續(xù)跟進(jìn)owasp top10的變更,基于owasp top10對網(wǎng)絡(luò)安全進(jìn)行整體上重新評估與風(fēng)險量化并生成對應(yīng)的安全事件。

(3)基于攻擊時序

在面對海量零散告警背后黑客攻擊技戰(zhàn)術(shù)看似變幻莫測,但縱觀其整個入侵/攻擊過程,往往還是有一定規(guī)律可循的,如攻擊前信息收集而觸發(fā)的掃描探測類入侵警報,信息收集之后的漏洞利用如web網(wǎng)頁掃描后發(fā)生組件漏洞掃描,漏洞掃描后發(fā)起緩沖區(qū)溢出攻擊之后發(fā)現(xiàn)后門木馬。基于攻擊時序不斷覆蓋攻擊場景,并提供可運營和建模能力,不斷增強(qiáng)、收斂和挖掘高價值入侵警報形成安全事件。

舉例:

(4)基于攻擊實際影響/結(jié)果

部署了越來越多的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品,每天數(shù)萬甚至上百萬的告警都給安全運營帶來嚴(yán)重的告警研判和安全運營負(fù)擔(dān),據(jù)相關(guān)數(shù)據(jù)統(tǒng)計部分企業(yè)的入侵誤報率可高達(dá)90%,嚴(yán)重降低安全運營效率,更大范圍的增加了真實告警多帶來的攻擊影響面。利用各類安全設(shè)備的數(shù)據(jù)和安全能力要素,綜合研判入侵警報的實際影響并基于實際影響研判入侵有效性同時生成針對性的高價值安全事件。

舉例:

1、全流量NDR發(fā)現(xiàn)文件上傳漏洞利用同時發(fā)現(xiàn)上傳webshell; 2終端EDR發(fā)現(xiàn)webshell文件落地、執(zhí)行蟻劍連接、執(zhí)行了whoami和ipconfig，然后上傳并執(zhí)行惡意程序artifact.exe，執(zhí)行了whoami和ipconfig，然后進(jìn)程注入到notepad.exe中，執(zhí)行了whomai、ipconfig。

圖4 攻擊實際影響評估

XDR可以實時監(jiān)控和分析大量的安全事件數(shù)據(jù)，自動識別和定位潛在威脅，并提供關(guān)鍵的上下文信息和響應(yīng)建議。這樣，安全團(tuán)隊可以更快速地做出響應(yīng)，減少事件的持續(xù)時間和影響范圍。

圖5 未來智安XDR攻擊路徑完整呈現(xiàn)

XDR從安全運營的視角自動化分析和呈現(xiàn)攻擊者是誰?攻擊者是怎么打進(jìn)來的?用什么漏洞打進(jìn)來?用什么武器打進(jìn)來的?攻擊者拿下一臺服務(wù)器之后，在服務(wù)器上做了什么事兒?有沒有發(fā)生橫向移動?有沒有下載攻擊載荷或者相關(guān)的攻擊載荷?攻擊過程中都產(chǎn)生了哪些關(guān)鍵的線索，如IP、域名、攻擊樣本，同時這些樣本涉及到哪些進(jìn)程、服務(wù)、端口和網(wǎng)絡(luò)?哪些服務(wù)器受到影響、哪些數(shù)據(jù)被篡改了?那攻擊背后都產(chǎn)生了哪些告警?有沒有應(yīng)急響應(yīng)的處置方式?能不能和其他安全設(shè)備進(jìn)行快速的聯(lián)動和處置?最后一點就是攻擊背后黑客所使用的攻擊技術(shù)，比如說在ATT&CK上的攻擊矩陣的分布，企業(yè)如何基于ATT&CK的戰(zhàn)術(shù)、技術(shù)持續(xù)的提升安全防護(hù)能力?

三、XDR是網(wǎng)絡(luò)安全的未來

Broadcom、Cisco、CrowdStrike、Fortinet、Microsoft、Palo Alto Networks、SentinelOne、Sophos、TEHTRIS、Trend Micro和VMWare。都將XDR作為未來發(fā)展的重點，各有有不同的側(cè)重與方向。

2022年全球XDR擴(kuò)展威脅檢測和響應(yīng)市場規(guī)模為7.548億美元，2023年預(yù)計將達(dá)到9.118億美元, 2023年至2030年將以20.7%的復(fù)合年增長率(CAGR)增長。

圖6 美國XDR市場增長預(yù)測

北美在2022年主導(dǎo)了XDR市場，占全球收入份額近 47%。由于為改進(jìn)現(xiàn)有網(wǎng)絡(luò)安全解決方案而增加的研發(fā)活動投資，美國和加拿大是該地區(qū) XDR 解決方案的領(lǐng)先市場。由于英國、德國和法國等國家對威脅檢測和響應(yīng)解決方案的高需求，歐洲市場的需求也顯著增加。

圖7 北美XDR市場增長預(yù)測

亞太地區(qū)XDR市場因不斷增長的IT支出和越來越多的數(shù)據(jù)泄露是推動區(qū)域市場增長的關(guān)鍵因素。根據(jù)GSM協(xié)會的數(shù)據(jù)，就連接數(shù)量而言，亞太地區(qū)是最大的物聯(lián)網(wǎng)市場。因此，為了保護(hù)跨組織的數(shù)據(jù)(無論是物聯(lián)網(wǎng)設(shè)備、電子郵件、云還是本地服務(wù)器上的數(shù)據(jù))，對 XDR 解決方案的需求預(yù)計會增加。

預(yù)計2023年至2030年，全球擴(kuò)展檢測和響應(yīng)市場將以20.7%的復(fù)合年增長率增長，到2030年將達(dá)到34.098 億美元。

2022-2023年主導(dǎo)全球XDR市場的主要參與者包括思科、趨勢科技、微軟、Palo Alto Networks、CrowdStrike、Fortinet、Trellix和SentinelOne等。這些安全廠商專注于通過實施新產(chǎn)品開發(fā)、合作和并購等增長戰(zhàn)略來提高其市場占有率。這些戰(zhàn)略進(jìn)一步幫助市場參與者擴(kuò)大地域并進(jìn)入未開發(fā)的市場。

四、XDR的本地化與落地

XDR的技術(shù)路線發(fā)展演進(jìn)是一個不斷進(jìn)化的過程。最初，XDR主要集中在終端檢測與響應(yīng)(EDR)技術(shù)的擴(kuò)展，但隨著時間的推移，它已經(jīng)演化為一個更廣泛的解決方案，包括網(wǎng)絡(luò)檢測與響應(yīng)(NDR)、云安全、身份和訪問管理等。XDR的演進(jìn)路徑包括：

整體來說XDR產(chǎn)品的實現(xiàn)模式可以分為三種不同模式，分別是“原生XDR”、“生態(tài)XDR”，以及“混合模式XDR”。

“原生XDR”依賴廠商自身的安全防護(hù)和數(shù)據(jù)采集能力來實現(xiàn)XDR，具有實施方便、集成成本低、數(shù)據(jù)和響應(yīng)能力可控的優(yōu)點。然而，缺點在于安全防護(hù)產(chǎn)品可能存在數(shù)據(jù)和遙測能力不足的問題，可能影響XDR的整體效果。

“生態(tài)XDR”具有較高的包容性，可以復(fù)用甲方前期的安全投入和安全建設(shè)，但它嚴(yán)重依賴第三方安全設(shè)備，整體集成成本較高，數(shù)據(jù)質(zhì)量、遙測能力和響應(yīng)處置能力相對不可控，因為它依賴第三方設(shè)備，存在一定不可控的風(fēng)險。

“混合模式XDR”融合了“原生”和“生態(tài)”XDR的優(yōu)勢，可以接入原生的自有安全組件和第三方安全防護(hù)產(chǎn)品，實現(xiàn)了更靈活的集成。不論是數(shù)據(jù)還是安全能力，都可以通過混合模式XDR實現(xiàn)集成，兼顧了自有能力和第三方設(shè)備的優(yōu)勢。

五、未來挑戰(zhàn)與應(yīng)對

強(qiáng)大的安全覆蓋需要最好的網(wǎng)絡(luò)解決方案之間的集成和協(xié)作。同時，用戶希望整合安全供應(yīng)商和產(chǎn)品，發(fā)揮現(xiàn)有產(chǎn)品的價值，同時降低復(fù)雜度。實現(xiàn)安全設(shè)備實現(xiàn)無縫集成，對XDR至關(guān)重要，但目前市場上沒有一家安全公司可以做到。

隨著數(shù)字化轉(zhuǎn)型的加速，企業(yè)的業(yè)務(wù)和數(shù)據(jù)不斷向數(shù)字化平臺遷移。雖然數(shù)字化帶來了效率和便捷性，但也增加了網(wǎng)絡(luò)攻擊的風(fēng)險。這使企業(yè)更容易受到各種網(wǎng)絡(luò)威脅的威脅，包括惡意軟件、網(wǎng)絡(luò)釣魚、勒索軟件等。XDR作為一種綜合性的威脅檢測和響應(yīng)解決方案，可以幫助組織更好地適應(yīng)數(shù)字化轉(zhuǎn)型，確保其數(shù)字化環(huán)境的安全性。

從長遠(yuǎn)來看，XDR擴(kuò)展威脅檢測和響應(yīng)的效果保障之一是具備安全生態(tài)化與開放性。這一趨勢反映了XDR解決方案的未來發(fā)展方向，旨在提供更全面、協(xié)同、互操作的安全體驗，以更好地保護(hù)組織免受網(wǎng)絡(luò)威脅的侵害。

安全生態(tài)化趨勢

安全生態(tài)化是指建立一個綜合、多層次的安全體系，其中各種安全解決方案、設(shè)備、應(yīng)用和服務(wù)能夠協(xié)同工作，共同應(yīng)對威脅。這種生態(tài)系統(tǒng)能夠更好地捕獲威脅情報、分享威脅信息，同時提供綜合性的威脅檢測和響應(yīng)。通過構(gòu)建安全生態(tài)系統(tǒng)，XDR可以更好地應(yīng)對威脅的多樣性和復(fù)雜性。

XDR供應(yīng)商將積極與其他安全生態(tài)系統(tǒng)的參與者建立合作伙伴關(guān)系，包括安全技術(shù)提供商、威脅情報供應(yīng)商、合規(guī)性解決方案提供商等。這些合作關(guān)系將有助于構(gòu)建更綜合的安全生態(tài)系統(tǒng)，為企業(yè)/組織提供更強(qiáng)大的安全保護(hù)。

開放性趨勢

XDR的開放性意味著它具有與其他安全解決方案和服務(wù)進(jìn)行集成的能力。這種集成可以跨越不同供應(yīng)商、不同領(lǐng)域的安全工具，使它們能夠共同工作，共享威脅情報，提高整體的安全效能。這種開放性對于保護(hù)組織免受威脅至關(guān)重要，因為威脅的復(fù)雜性要求不同的安全工具之間能夠有效合作。

XDR的開放性還涉及到支持開放標(biāo)準(zhǔn)和API(應(yīng)用程序接口)。這意味著XDR解決方案應(yīng)該提供易于與其他安全工具進(jìn)行集成的接口，使不同廠商的安全工具能夠協(xié)同工作。通過支持開放標(biāo)準(zhǔn)和API，XDR可以更好地實現(xiàn)多樣化的集成，提高整體的安全性。

關(guān)于作者 陳毓端

虎符智庫專家，未來智安聯(lián)合創(chuàng)始人兼CTO，擁有十余年網(wǎng)絡(luò)安全行業(yè)經(jīng)驗。他深耕網(wǎng)絡(luò)攻防技術(shù)和安全架構(gòu)設(shè)計多年，深入探索終端研發(fā)與終端安全，具備基于GoLang、PHP、Python、Openresty等語言的Web服務(wù)端開發(fā)能力，在大數(shù)據(jù)分析和企業(yè)級高性能技術(shù)架構(gòu)等業(yè)務(wù)領(lǐng)域有豐富的落地實踐經(jīng)驗。目前，他還擔(dān)任PHP官方PECL開發(fā)組成員、安徽工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟專家職務(wù)。由其主導(dǎo)研發(fā)的未來智安XDR平臺已完成多個版本迭代，平臺的擴(kuò)展威脅檢測與響應(yīng)能力處于行業(yè)領(lǐng)先地位。作者還獲評2023網(wǎng)絡(luò)安全金帽子“年度技術(shù)突破者”。

文章來源：虎符智庫