XDR(eXtended Detection and Response,扩展的安全检测及响应)
一、什么是XDR
首先从EDR(Endpoint Detection&Response)说起,即端点安全检测及响应;还有NDR(Network Detection & Response),即网络安全检测及响应(类似NTA,不再赘述);以及MDR(Managed Detection and Response),即管理安全检测及响应,也就是安全运维服务。
于是,什么是XDR?就是将这些各种各样的DR综合起来,叫作XDR(eXtended Detection and Response,扩展的安全检测及响应),如下图所示。
如果将XDR体系分层,大致可以分为三层,即
- 遥测探针层(包括EDR、NDR、系统日志DR、蜜罐DR等)
- 计算平台层(安全能力中台)
- 运维服务层
由这三层组成的XDR安全运营体系,可以有效提升企业的网络入侵风险防控能力。
二、 XDR安全运营体系
企业防入侵能力=MDR攻击面分析+XDR威胁检测能力+MDR实时遥测分析
企业在选购XDR解决方案时,乙方安全厂商往往会讲得天花乱坠。我们只要记住上面这个公式,然后围绕这个公式来评估安全厂商提供的核心能力,即两项MDR服务能力和一项XDR产品能力。
0x1:MDR攻击面分析
我们在做企业安全解决方案时,总是试图将威胁挡在事件发生之前,即梳理资产和盘点可能存在的风险点,也就是全面的攻击面分析。因此,在花大价钱购买XDR解决方案时,一定不要漏掉“MDR攻击面分析”定期服务,最好能够包括以下几个方面:
- 1)基于终端安全产品(EDR等)的资产发现及漏洞扫描、基线扫描服务。不仅要把风险告警出来,还需要分析这些风险的危害等级(是否可以远程入侵、信息越权访问等)和暴露面(公网暴露、内网暴露、只是存在组件漏洞但未开启服务等)。对于危害较高且暴露在公网或内网的风险,应推动甲方及时修复。
- 2)基于流量安全产品(NDR等)的资产发现及流量全景统计分析。识别并排除网络中的恶意流量,并建立流量基线。
- 3)漏洞扫描服务。通过漏扫发现的风险,已经证明其真实存在,需要第一时间修复。
- 4)基于终端安全产品(EDR等)和流量安全产品(NDR等)的网络端口收敛服务。通过EDR和NDR遥测到的全网终端网络端口活跃情况,对高危端口的使用情况进行分析、收敛、封禁、动态管理等。
- 5)暴露信息收集服务。对应技战术中的“侦查发现”步骤,模拟攻击者从互联网收集暴露在外的信息,这些信息可能成为攻击者的突破口,因此,可以针对暴露在互联网的设备、服务、API、人进行重点布防。
0x2:XDR威胁检测能力
威胁检测能力是XDR产品比拼的焦点能力,也是MITRE ATT&CK的评测重点。检测能力包括两项核心能力:
- 可见
- 告警
攻击步骤可见是XDR安全运营体系的底座,如果可见能力不行,那么无论投入多少人力,都不能有效解决安全问题。威胁告警是XDR运营体系的保障,如果告警能力不行,则会产生大量的遥测行为日志需要人工分析,从经验来看,产生的任务量必定会对分析人员形成“DDoS攻击”。
因此,XDR产品需要具备全面的遥测能力、可解释的检测能力、准确的调查能力、可靠的响应能力。
- 1)全面的遥测能力。从安全设备来看,XDR产品体系应包括办公终端安全产品、主机安全产品、网络流量安全产品、蜜罐等。尤其是办公终端安全产品,需要具备完善的行为遥测能力,按个人经验评估,覆盖ATT&CK中70%的技术实例,攻击者将很难悄无声息地潜入和逃脱。就好比一个房子,从院子到门口、再到客厅、厨房、书房、卧室,都部署了满满的红外线探头,当对空间的覆盖达到70%时,该防线就很难被突破了。那么,为什么不是100%?考虑到开发的实现难度,有一些技术点是无法实现的,或者会较大地影响系统性能。
- 2)可解释的检测能力。极端情况下,某安全产品把所有遥测行为都告警出来,那是令人崩溃的,告警太多和没有告警没什么区别,因为这些告警没人能够处理完,也没有人敢直接拦截。所以,产品告警一定需要有可解释性,比如,“某家族的勒索病毒正在操作某文件”,而不是“某进程正在操作某文件”。前者是可以指导处置的,如果足够自信,甚至可以调用自动响应流程进行自动拦截和修复操作。
- 3)准确的调查能力。目前,调查能力的实现方式主要有两种:一种是基于时间线的关联行为调查模型;另一种是基于进程行为链和关系链的调查模型。前者称为“时序调查”,理论基础是攻击行为一般发生在相近的时间,结合行为的可解释性,可以取得不错的调查效果,但毕竟带有“猜测”成分,会掺杂一些“意外”行为,所以用于辅助人工调查比较实用,但指导自动响应是万万不能的。后者称为“因果调查”,即通过行为关系把行为路径刻画得清清楚楚,这种调查方式准确度高,但要求遥测行为数据足够丰富和完善,因此要实现全流程的自动化事件响应和处置,必须基于“因果调查”。
- 4)可靠的响应能力。XDR自动响应和处置威胁事件,一方面要尽可能全面地清除恶意程序,另一方面要保障系统不会因为处置动作而发生异常。即便“因果调查”的结果完全准确,但如果有一个恶意操作是将恶意代码注入服务进程或写入系统文件,XDR的处置操作是结束该服务进程或者删除该系统文件,则可能导致业务终端或发生系统异常。XDR产品应该具备判断此类场景的能力。
-
0x3:MDR实时遥测分析
实时遥测分析是另一项重要的MDR服务,是XDR安全运营体系的保底策略。它有两个前提条件:
- 一是XDR产品应具备全面的遥测能力,即尽可能在攻击的某些阶段对一个或多个攻击步骤“行为可见”
- 二是XDR产品的检测能力足够优秀且具备可解释性,即能够对大部分攻击行为进行识别,比如能够识别攻击源头、能够判断是否攻击成功、能够通过自动响应能力准确封禁大部分网络探测等
在满足这两个条件的情况下,一方面基本不会漏过可疑的攻击行为,另一方面待分析的“未知”遥测行为得到了初步收敛。
那么,为了进一步减轻实时遥测分析的工作压力,可以基于遥测数据建立行为基线,结合大数据分析技术,进一步收敛待分析的“异常”行为,比如可以使用组合计分模型,把一组遥测行为通过“时序调查”或“因果调查”组合成一个事件,然后对这个“未知事件”的每一个遥测行为进行投票计分,当得分大于阈值时,则认为是异常的,才需要进行人工排查分析。
综上所述,XDR安全运营体系期望通过“MDR攻击面分析”提前挡住大部分的网络攻击,通过“XDR威胁检测能力”精准阻击强行突破进来的“坏人”,通过“MDR实时遥测分析”人工排查触碰了红外探头的“伪装者”。