从防御到应急响应 XDR-翻译

​2017年，Gartner提出了精密编排的自动化响应SOAR模型（Security Orchestration，Automation and Response），并且提出将安全产品以及安全流程链接和整合起来，通过预定义的工作流（Work flow）和工作脚本（Playbook）来标准化事故的调查处置流程，提升威胁响应的自动化程度和执行效率。在亚信安全高级威胁治理专家白日看来，SOAR模型一经问世，便得到了信息安全厂商和大部分用户的认可，其原因如下：

·缩短应急处置安全事故的时间
·减少和优化传统SOC中不必要和冗余的工作
·安全产品整合的API加速了自动化
·丰富的安全数据服务：威胁情报平台TIP
·提高告警分析的质量和侦测发现能力
·提高工作精准度，安全运维流程的文档化以及证据的管理
·减少培训新安全运维分析人员的代价
·整体提高衡量和管理安全运维的能力
而据白日介绍，2018年，正直检测和响应市场（Detection & Response）爆发的前期，SOAR、EDR、NDR、NTA、MDR、UEBA等概念和技术此起彼伏，在市场还在消化和吸收各种声音的时候，亚信安全已对高级威胁治理进行了全面升级，并推出了以EDR和NDR为技术支撑、以MDR为服务支撑，以SOAR自动化精密编排为工作流支撑的XDR体系。
　XDR可以解决什么问题？

应该说，XDR体系解决了持续演化的高级威胁和安全运营能力不匹配的矛盾。
1.持续演化的高级威胁
无论是以APT（高级持续性威胁）为代表的定向攻击，还是以勒索、挖矿、钓鱼、广告诈骗为代表的大规模攻击，攻击者不断尝试使用新型攻击技术，企图绕过传统检测机制对目标发起攻击以达到某种目的，这种威胁我们统称之为“高级威胁”。
为了统一威胁的描述，避免盲人摸象一般去谈论威胁，可将威胁依次划分为四个层面的内容，即威胁描述分层模型，也称威胁描述“点、线、面、体”四层次模型。
高级威胁的发动者无时无刻不在找寻渗透企业IT环境的途径，其中一个最容易的通道，就是利用终端上的漏洞。因此，白日表示很多企业在 “修墙御敌”理论支撑下做了大量工作，无论是部署防火墙、防病毒、IPS等基于策略和规则的安全设备，甚至是基于行为和大数据分析等安全软件的采购，然而百密一疏，严防死守的方式显然已经无法满足当前的安全需求。
这更像是“马奇诺防线”在网络世界的再现：虽然企业在正面已经构建起坚固的安全防线，但是网络攻击者正在采用迂回的策略，渗透到防线背后，让网络安全防护系统丧失作用。

安全运营四阶段成熟度及能力鸿沟

从上图中看到，超过90%的用户完成了“阻断”阶段的安全运营建设，大约60%的用户着手“发现”阶段的安全运营建设，但只有不足5%的用户具备有限的“响应”阶段的安全运营能力。不难发现，从“发现”阶段到“响应”阶段，事实上存在着一条巨大的安全运营“能力鸿沟”。正是这条能力鸿沟，致使高级威胁治理的落地遭遇了现实的瓶颈，而XDR的关键，就是解决这个现实问题，把“空”口补上。
那么，不妨先研究一下，从“发现”到“响应”到底需要怎样的能力构成？到底是哪些关键能力的缺失影响了用户的安全运营？
白日随后指出，大量成功实践告诉人们，从“发现”到“响应”包括以下四个步骤的能力构成：
第一步，“告警受理”：来自各类检测工具的威胁告警通常会汇集到用户的态势/SIEM/SOC平台，然后以工单的方式派发出来，接下来就是“告警受理”这个步骤，这个步骤包括两部分内容：告警分类和优先级划分，也就是告警的预处理；
第二步，“定性分析”：判断威胁的真实性，确认威胁的本质和攻击者的意图；
第三步，“定量分析”：回溯攻击场景、评估威胁的严重性、影响和范围；
第四步，“响应”：根据响应脚本，制定并执行响应策略，完成修复补救。
以上过程需借助EDR、NDR、威胁情报、沙箱、ATT&CK等相关工具，以及MDR检测和响应安全专家服务，执行自动化告警预处理、验伤和取证、以及制定和执行响应策略等具体工作内容，整个过程还需要案件管理、响应预案、自动化精密编排等流程作为保障，把这些内容放在一起，就构成了SOAR。
但是，受限于用户安全领域专业技能的缺乏，流程自动化程度不高，以及配套的工具支撑不够完善，以上每个环节的问题都可能被无限放大，最终导致战略落地困难重重。
3.错误的思维方式，导致错误的行动
比如：市场上不少人会认为只要检测到了威胁就可以及时作出响应，对于早期市场用户来说，很容易就接受了从“检测”到“响应”的最直观的解决方案，而且这种解决方案确实很符合广大企业，尤其符合中小企业的安全运维能力现状。很多厂商也迎合这种早期需求推出了简单的产品组合方案，试图将“检测”和“响应”这两个过程顺理成章地过渡起来。

“在没有采用这些检测技术之前，用户对于高级威胁大多眼不见心不烦，而采用了这些检测技术之后，逐渐有用户开始后悔了，因为自身的技术能力、知识储备、专业技能和现有流程并不足以应对如此海量的告警。甚至绝大多数用户根本没有做好处置这些告警的准备，用户开始怀疑这些检测产品或解决方案的价值，于是，他们选择将此类产品或解决方案束之高阁，或者选择对告警置之不理。”，白日如是说。
很多人会想，造成以上现实窘相的是由于高级威胁检测技术的不成熟，造成误报率居高不下，无法给予用户高质量的告警。然而，无论技艺多么高超医生，如果不借助专业的分析工具或技术，不依靠过往的经验，都不可能对一个疑似症状做出完全无误的诊断。事实上，造成这种现状的是市场初期绝大多数人对于从“检测”到“响应”的过于简单的认知。
从“检测”到“响应”，必然绕不开“分析”这个关键阶段。然而，无论是Gartner还是大多数第三方分析报告中，对“分析”这个环节都没有给出太多的解释，甚至没有将“分析”列入其自适应模型的关键阶段。但无论如何“分析”阶段所承载的正是“检测和响应”的核心业务逻辑。
XDR体系的核心构成

突出从“侦测”“分析”到“响应”整个过程的核心能力，可将EDR、NDR、MDR和SOAR所构成的精密编排的自动化检测和响应体系定义为XDR，即亚信安全高级威胁治理战略3.0的核心。
1.XDR技术螺旋矩阵模型
前面介绍过，威胁描述模型包括 “点、线、面、体”四个层次，威胁治理模型包括“侦测、分析、响应、预测”四个阶段，那么，如果把这两个模型叠加起来，就会形成一个螺旋矩阵，如果将每个矩阵空格所对应的关键技术标注起来，就构成了亚信安全XDR“技术螺旋矩阵模型”。
2.XDR核心业务逻辑及工作流程
产品螺旋矩阵模型从结构上阐述了高级威胁治理战略所有相关产品的定位以及相互之间的静态关系。下图则描述了XDR的核心业务逻辑及工作流程：

XDR核心业务逻辑及工作流程

3.XDR落地的关键要素
XDR解决方案包含三个核心要素：标准的预案、专业的调查工具、安全响应专家。
（1）标准的预案
从最近亚信安全协助金融用户做出的大量应急响应预案来看，预案针对每一种类型的黑客攻击，都采取了XDR的7个步骤，这包括“准备、发现、分析、遏制、消除、恢复、优化”策略，进而来确定用户碰到不同的威胁类型的时候该怎么处置。
例如，很多企业发生过终端主机和网络流量异常的情况，但是普通用户层面却没有感受到明显的网络攻击现象。在这个时候，XDR的方法是获取威胁数据，把数据集中到本地威胁情报和云端威胁情报做分析，通过分析黑客进攻的时间、路径、工具等所有细节，其特征提取出来，再进行遏制、清除、恢复和优化。
（2）专业的调查工具
高效、精准的应急响应需要专业的工具和设备支撑，这些设备能够在网络层面、服务器和终端内核层面发现异常现象，这是确保查清楚黑客到底做了什么、目的是什么，通过什么方式的关键。
这些专业工具包括：高级威胁终端及主机检测系统OSCE/DS、终端及主机存取证系统CTDI、高级威胁网络检测系统TDA、高级威胁网络存取证系统TRA，高级威胁情报系统TIP、高级威胁分析设备DDAN、高级威胁综合取证验伤分析系统UAP，以及本地和云端威胁情报的“双回路”机制都是方案中极为重要的工具，它们在精密编排的预案下联动工作，使得各个安全节点可以对APT定向攻击、勒索软件等高级攻击的特征行为进行发现、收集、分析和响应。
其中，亚信安全的EDR还采用了动态调查和审计技术DIA（Dynamic Investigation & Audit），通过云端和本地威胁情报“双回路”、沙盒分析、网络取证、终端取证、大数据关联分析等技术手段，基于网络和终端对黑客行为进行抓取分析，确保了取证内容的司法有效性和企业违规操作内控审计的准确性。
（3）MDR高级安全专家服务
成功的XDR应用离不开专业化高级安全专家服务。与传统MSSP主要帮客户提供安全运维和一般性安全事件响应不同，亚信安全MDR的本质是以攻防为核心的高级安全专家服务，该服务旨在主要帮助重点行业的重要客户，为保护核心资产应对定向攻击（Targeted Attack）。亚信安全MDR是XDR圣诞树体系中最顶端的星星，是“检测”到“响应”的所有技术和能力支撑中对攻防Know-How要求最高的一个环节，它是厂商能力的基石，是客户的最后一道防线。
亚信安全MDR针对重大威胁事件提供事前、事中和事后的威胁检测、分析、对抗、验伤、取证及修复补救等一系列安全服务，包括但不限于阻断入侵、确定影响范围、帮助恢复生产、调查取证和给出整改建议等。
在准备阶段，安全专家利用取证产品和工具，了解黑客攻击过程和攻击路径，找到关键攻击线索；
在执行阶段，通过确定影响的范围，服务团队现场搜集数据，利用取证产品获取关键信息，找出完整的证据链；
在结束阶段，服务团队提供完整的黑客入侵报告，并原始数据和取证数据留档保存，客户可以利用后续整改方案，防止再次出现同类攻击。