xdr技術(shù)及行業(yè)發(fā)展研究報(bào)告2023 -CCCOE 中國(guó)信通院

CXDR01XDR發(fā)展背景01XDR的概念03XDR與防御體系建設(shè)05XDR國(guó)內(nèi)外發(fā)展現(xiàn)狀06XDR關(guān)鍵技術(shù)09全面遙測(cè)數(shù)據(jù)采集10自動(dòng)化威脅狩獵11自動(dòng)化響應(yīng)12XDR15應(yīng)對(duì)潛伏威脅15根除攻擊影響17多維安全視野19攻擊可視化2021平衡效率與隱私，逐步接受SaaS21AI產(chǎn)力22建立互通標(biāo)準(zhǔn)，推動(dòng)生態(tài)建設(shè)23XDR概述XDROVERVIEW網(wǎng)絡(luò)安全監(jiān)測(cè)、預(yù)警、響應(yīng)、處置是網(wǎng)絡(luò)安全防護(hù)工作的重點(diǎn)。近年來(lái)，國(guó)家高度重視網(wǎng)絡(luò)安全工作，先后發(fā)布了多項(xiàng)網(wǎng)絡(luò)安全戰(zhàn)略政策。《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》明確指出需要建立完善國(guó)家網(wǎng)絡(luò)安全技術(shù)支撐體系，完善網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和網(wǎng)絡(luò)安全重大事件應(yīng)急處置機(jī)制?！毒W(wǎng)絡(luò)安全法》則提出了“國(guó)家采取措施，監(jiān)測(cè)、防御、處置來(lái)源于中華人民共和國(guó)、干擾和破壞”的要求。加強(qiáng)網(wǎng)絡(luò)安全信息統(tǒng)籌機(jī)制、手段、平臺(tái)建設(shè)，是提升網(wǎng)絡(luò)安全事件應(yīng)急指揮能力的有效途徑。當(dāng)前全球網(wǎng)絡(luò)空間威脅水擁有全局化、體系化的安全視角，掌握復(fù)雜的安全態(tài)勢(shì)，是應(yīng)對(duì)各類復(fù)雜網(wǎng)絡(luò)攻擊一種有效思路。在這種的理念驅(qū)使下，采用統(tǒng)一平臺(tái)化構(gòu)建的、擁有多維聚合檢測(cè)和響應(yīng)處置一體化能力產(chǎn)品方案則成為了一種業(yè)務(wù)共識(shí)。這也為之后XDR理。sePaloAltoNetworksNirZuk受。在最新發(fā)布的《2022Gartner安全運(yùn)營(yíng)技術(shù)成熟度曲線(HypeCycle)》報(bào)告中，XDR登頂，etworksNirZuk重新定義檢測(cè)：重新定義檢測(cè)：2012-2013年，多起APT事件被披露，展現(xiàn)出對(duì)各種高等級(jí)防護(hù)目標(biāo)突破的普遍可能性，使整個(gè)行業(yè)認(rèn)識(shí)到既有的被動(dòng)防御難以應(yīng)對(duì)當(dāng)前面臨的挑戰(zhàn)，大多數(shù)情況下企業(yè)要么已經(jīng)被攻陷，要么在被rget事件卻沒(méi)有被及時(shí)處理，這件事引起了美國(guó)政府和安全企業(yè)的高度重視和深刻反思。由此認(rèn)識(shí)到除了構(gòu)建新的檢測(cè)能力外，為及時(shí)控制、清除已經(jīng)在內(nèi)部建立立足點(diǎn)的攻擊者，還需要進(jìn)一步完善事件響應(yīng)能力，以保：情況不但效率低下，也難以通過(guò)相互獨(dú)立的產(chǎn)品看到攻擊的全景。如果威脅對(duì)抗的過(guò)程造就了XDR的大趨勢(shì)，那么檢測(cè)、響應(yīng)技術(shù)的發(fā)展則是XDR形成的現(xiàn)實(shí)基礎(chǔ)。威脅狩獵從早期階段高度依賴安全分析師，已經(jīng)發(fā)展成為絕大部分工作都可以依賴AI智能完成；隨著SIR、TIP、SOAR的逐步整合，自動(dòng)化的事件分類/分級(jí)、自動(dòng)化響應(yīng)也逐步成熟起來(lái)；而EDR產(chǎn)品、MDR服務(wù)在多個(gè)場(chǎng)景下的成功，也使得行業(yè)對(duì)如何完成同時(shí)數(shù)字化轉(zhuǎn)型形成的迫切性，進(jìn)一步推進(jìn)了XDR的加速發(fā)展。隨著近年數(shù)字化轉(zhuǎn)型日益深化，越來(lái)越多的企業(yè)網(wǎng)絡(luò)中APT網(wǎng)絡(luò)犯罪領(lǐng)域，而和數(shù)字化相關(guān)的企業(yè)都有可能成為受害者，其中最典型的就是勒索軟件，這幾年不但越來(lái)越多的勒索攻擊具備了定向攻擊的特點(diǎn)，同時(shí)也從單純的以數(shù)據(jù)加密為勒索手段，轉(zhuǎn)化為加密勒索、泄露數(shù)據(jù)勒索、向競(jìng)爭(zhēng)對(duì)手或投資者暴露攻擊機(jī)密等多重勒索的方式。同時(shí)對(duì)工業(yè)網(wǎng)絡(luò)和IoT網(wǎng)絡(luò)的攻擊時(shí)有發(fā)生，這種攻擊可能對(duì)整個(gè)社會(huì)的正常生產(chǎn)、生活造成巨大影響，市場(chǎng)迫切需要可以及時(shí)發(fā)現(xiàn)各種高Gartner的定義:“一種基于SaaS的，由特定供應(yīng)商提供的安全威脅檢測(cè)和事件響應(yīng)工具，可將多種安全聚合的安全操作系統(tǒng)中”；雖然定義有所不同，我們也可以看到它們對(duì)XDR的認(rèn)知是有共同點(diǎn)的。2021年8月，曾經(jīng)Gartner的研究VP，當(dāng)前XDR的檢測(cè)能力需要較全面地覆蓋已知黑客攻擊技戰(zhàn)術(shù)，同時(shí)需要針對(duì)新出現(xiàn)的攻擊技戰(zhàn)術(shù)快速開發(fā)對(duì)應(yīng)的SaaS提供的，可以基于集中的專家、算力、遙測(cè)數(shù)據(jù)和情報(bào)資源，更快、更好地快速迭代產(chǎn)品，可以認(rèn)為云原生是XDR快速發(fā)展的必要條件。即使一個(gè)本地化部署的XDR平臺(tái)，也需要基于云端的持續(xù)運(yùn)營(yíng)來(lái)提供快速的于其云原生架構(gòu)，在漏洞披露24小時(shí)內(nèi)就提供了檢測(cè)、處置和修復(fù)的完整能力，并且在數(shù)天內(nèi)提供了專項(xiàng)DashboardogjXDR覆蓋檢測(cè)和響應(yīng)XDR顧名思義包括檢測(cè)和響應(yīng)能力，集成全面、完善的檢測(cè)技術(shù)在行業(yè)內(nèi)沒(méi)有爭(zhēng)議，但在響應(yīng)技術(shù)上還有不?傳統(tǒng)的特征檢測(cè)(攻擊特征、漏洞特征)；?基于行為的檢測(cè)(IOA)；方式。在響應(yīng)技術(shù)上的爭(zhēng)議，主要因?yàn)槠浯嬖诘膬蓚€(gè)特殊點(diǎn)：其一響應(yīng)動(dòng)作有影響數(shù)字業(yè)務(wù)的可能性，越重要的業(yè)務(wù)越需要企業(yè)自身業(yè)務(wù)人員的確認(rèn)；另一個(gè)則是當(dāng)前的響應(yīng)自動(dòng)化集中在遏制上，對(duì)清除、加固還需要更多的人工介入。但即便如此，XDR需要在整個(gè)事件響應(yīng)的過(guò)程中，提供更多自動(dòng)化的機(jī)制來(lái)保障響應(yīng)的及時(shí)性，同時(shí)對(duì)攻擊的遏制、清除、加固提供必要的專業(yè)指引。通過(guò)自動(dòng)化和專業(yè)知識(shí)的賦能，XDR保障安全運(yùn)營(yíng)過(guò)程中提供最快速的MTTR(MeanTimeToDRSOCSecurityOperationsCenter的差異CSIEM(SecurityInformationandEventManagement，安全信息和事件管理)的差異知，勢(shì)感知的差異NSESINTELLIGENCE)OFFENSE架構(gòu)安全和被動(dòng)防御是XDR實(shí)施的基礎(chǔ)XDR結(jié)果可以進(jìn)一步完善架構(gòu)安全和被動(dòng)防御XDR基礎(chǔ)。PaloPaloAlto?CortexXDRCisco?SecureXFortinet?FortiXDRMcAfee?MVisionXDRMXDRKEYTECHNOLOGY作為一個(gè)平臺(tái)型產(chǎn)品，XDR所包含的技術(shù)點(diǎn)眾多且關(guān)系復(fù)雜。在Gartner的報(bào)告《InnovationInsightforExtended全面的遙測(cè)數(shù)據(jù)采集AI驅(qū)動(dòng)的威脅狩獵于攻擊技戰(zhàn)術(shù)的行為檢測(cè)能力?威脅狩獵；進(jìn)一步考慮到狩獵專家的稀缺性，XDR不可能依賴以人為主的狩響應(yīng)但元數(shù)據(jù)的方式還是存在問(wèn)題，首先是數(shù)據(jù)量雖然比較小(大約PCAP但元數(shù)據(jù)的方式還是存在問(wèn)題，首先是數(shù)據(jù)量雖然比較小(大約PCAP方式的5%左右)，但是這些數(shù)據(jù)絕大部分后續(xù)都不會(huì)使用，因?yàn)樗鼈兪敲鞔_的白流量；同時(shí)依托這種數(shù)據(jù)要直接發(fā)現(xiàn)攻擊行為，需要分析人員有非常高的知識(shí)積累和實(shí)踐經(jīng)驗(yàn)，畢竟這些數(shù)據(jù)本身和攻擊、異常行為等缺少顯式的聯(lián)系。又經(jīng)過(guò)數(shù)年的摸索，行業(yè)內(nèi)終于找到了一條更合理的技術(shù)在網(wǎng)絡(luò)安全行業(yè)遙測(cè)數(shù)據(jù)的概念有其特殊性，一般而言遙測(cè)是泛指各類傳感器收集的數(shù)據(jù)，但網(wǎng)絡(luò)安全行業(yè)經(jīng)過(guò)多年的發(fā)了證明特定攻擊行為而產(chǎn)生的，可以明確表明特定行為發(fā)生了并且和特定的攻擊機(jī)制相關(guān)(確實(shí)發(fā)生或者可能發(fā)生)”。也就是說(shuō)，遙測(cè)數(shù)據(jù)更傾向于需要優(yōu)先收集和攻擊行為有一定關(guān)聯(lián)性的第一手?jǐn)?shù)據(jù)，這種遙測(cè)數(shù)據(jù)和元數(shù)據(jù)最大的不同是它e10年前行業(yè)就形成一個(gè)共同認(rèn)識(shí)?數(shù)據(jù)驅(qū)動(dòng)安全。具體的方法、技術(shù)，行業(yè)也一直在探索。起始階段，大多數(shù)人會(huì)直覺(jué)10年前行業(yè)就形成一個(gè)共同認(rèn)識(shí)?數(shù)據(jù)驅(qū)動(dòng)安全。具體的方法、技術(shù)，行業(yè)也一直在探索。起始階段，大多數(shù)人會(huì)直覺(jué)地相信數(shù)據(jù)越多越好，在具體工程實(shí)踐中甚至希望做全量的PCAP采集，這種方法很快被發(fā)現(xiàn)成本很高同時(shí)也難以支持檢測(cè)/分析工作；重點(diǎn)很快轉(zhuǎn)換到元數(shù)據(jù)采集上，即主要記錄應(yīng)用協(xié)議的頭部信息，以及極少的內(nèi)容層關(guān)鍵信息(如：HTTPPostTelnet種方式極大壓縮了數(shù)據(jù)存儲(chǔ)的成本，同時(shí)結(jié)構(gòu)化的數(shù)據(jù)也更好地支持檢DetectionsTaintedTelemetryTelemetry以威脅為中心的采集安總體看，遙測(cè)作為新型的網(wǎng)絡(luò)監(jiān)控測(cè)量技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域中應(yīng)用，對(duì)遙測(cè)點(diǎn)主動(dòng)收集與攻擊行為相關(guān)性的數(shù)據(jù)，具備更強(qiáng)的時(shí)效性及更多的狀態(tài)信息。將各遙測(cè)點(diǎn)采集的遙測(cè)數(shù)據(jù)進(jìn)行聚合與分析，可以深度了解所保護(hù)或監(jiān)控的對(duì)象中是否存在安全風(fēng)險(xiǎn)與攻擊(含隱蔽的)，甚至可以回溯之前已經(jīng)發(fā)生過(guò)的相關(guān)安全事件，讓網(wǎng)絡(luò)安全具備高度可見性。遙測(cè)數(shù)據(jù)采集是安全大數(shù)據(jù)分析上的巨大進(jìn)步，降低了對(duì)安全分析師技能的要求，減少了重復(fù)性的勞動(dòng)，同時(shí)通過(guò)節(jié)省帶寬、數(shù)據(jù)獵構(gòu)化狩獵I匹配來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的威脅以特定的技戰(zhàn)術(shù)行為特征為擊能使用的技戰(zhàn)術(shù)行為進(jìn)行持力能夠識(shí)別已知惡意軟件、工具能夠識(shí)別特定高級(jí)攻擊者的能夠識(shí)別各類攻擊者的戰(zhàn)術(shù)、低高低機(jī)制特定攻擊事件或者技戰(zhàn)術(shù)行報(bào)告場(chǎng)景根據(jù)相關(guān)行業(yè)&企業(yè)提供的查定技戰(zhàn)術(shù)的檢測(cè)場(chǎng)景資產(chǎn)和持續(xù)檢測(cè)內(nèi)部可能出現(xiàn)的失依賴，可以進(jìn)行持續(xù)化檢測(cè)；范圍地覆蓋攻擊者使用的技戰(zhàn)術(shù)行為，切實(shí)保障檢測(cè)的效果?？梢哉J(rèn)為只有實(shí)現(xiàn)了基于AI驅(qū)動(dòng)的自動(dòng)化狩獵，高級(jí)威脅檢測(cè)才完善起來(lái)，但也要理解并不能單純依賴AI方式狩獵?對(duì)于新出現(xiàn)的攻擊技戰(zhàn)術(shù)，需要一定的時(shí)間去開發(fā)AI模型，在這個(gè)時(shí)間段內(nèi)，其他不同的狩獵方式互補(bǔ)的必要性就顯現(xiàn)自動(dòng)化狩獵不是單純依賴機(jī)器的力量，而是把專家經(jīng)驗(yàn)和人工智能的優(yōu)點(diǎn)做了完美的融合。和攻擊技戰(zhàn)術(shù)相關(guān)的所有異常點(diǎn)采集(遙測(cè)數(shù)據(jù)的關(guān)鍵部分)、異常點(diǎn)和具體技戰(zhàn)術(shù)的對(duì)應(yīng)關(guān)系，以及觸發(fā)異常的可信度分?jǐn)?shù)，都是安全專家根據(jù)實(shí)戰(zhàn)經(jīng)驗(yàn)和安全研究的成果分配的。但在特定環(huán)境下，一些異常點(diǎn)往往屬于正常行為，因此大規(guī)模觸發(fā)，會(huì)顯著影響精確度。為了解決這個(gè)問(wèn)題，AI狩獵的方式會(huì)基于環(huán)境因素動(dòng)態(tài)調(diào)整可信度分?jǐn)?shù)，以減少頻繁出現(xiàn)的誤報(bào)；進(jìn)一步再基于特定異常點(diǎn)的組合分析，來(lái)確定某些技戰(zhàn)術(shù)對(duì)應(yīng)攻擊行為發(fā)生的可能性，把其中可能性最高的優(yōu)先提供給安全分析人員或者激發(fā)自動(dòng)化響應(yīng)機(jī)制。這種AI+安全專家共同構(gòu)建的自動(dòng)化狩獵機(jī)制，已經(jīng)使用在EDR、NDR或XDR產(chǎn)品中。下面就是總而言之，自動(dòng)化狩獵同時(shí)也是專家驅(qū)動(dòng)的，基于專家知識(shí)使異常檢測(cè)和攻擊技戰(zhàn)術(shù)有了緊密的聯(lián)系，提供了單純AI難從很多安全廠商的報(bào)告中可以發(fā)現(xiàn)一個(gè)事實(shí)：攻擊者能力正在變得越來(lái)越強(qiáng)。其中很典型的一個(gè)表現(xiàn)特征，就是它們?cè)谑芎φ攮h(huán)境中橫向移動(dòng)的速度越來(lái)越快，時(shí)間越來(lái)越短。根據(jù)CrowdStrike在《2021ThreatHuntingReport》中提到其MDR化，因”原則，即在檢測(cè)和響應(yīng)機(jī)制中，時(shí)效指標(biāo)是1分鐘檢測(cè)到失陷，10分內(nèi)控制是可以防止其在內(nèi)網(wǎng)的進(jìn)一步滲透的。但現(xiàn)在隨著攻擊者能力逐漸提高，相當(dāng)一部分的攻擊事件在30分鐘內(nèi)就能，說(shuō)明傳統(tǒng)事件響應(yīng)機(jī)制已經(jīng)難以適應(yīng)快速發(fā)展的攻防對(duì)抗技術(shù)。對(duì)此業(yè)界給出的答案就是?自動(dòng)化響應(yīng)。SOARSOAR化腳本和編排引擎的機(jī)制可以幫助完成對(duì)于SOAR而言自動(dòng)化響應(yīng)相關(guān)的用例是最重要的部分，但SOAR需要完成的工作還包括漏洞管理&協(xié)調(diào)、情報(bào)根據(jù)SANS的事件響應(yīng)框架，整個(gè)響應(yīng)流程包括準(zhǔn)備、識(shí)別、遏制、根除、恢復(fù)和總結(jié)6個(gè)階段?；?0分鐘內(nèi)控制橫向移動(dòng)的攻防對(duì)抗實(shí)際要求，最需要優(yōu)先實(shí)現(xiàn)自動(dòng)化的是識(shí)別和遏制。而從現(xiàn)實(shí)的技術(shù)發(fā)展看，各XDR廠商實(shí)現(xiàn)自動(dòng)化免地需要更深度的人員介入。m在事件響應(yīng)過(guò)程中的識(shí)別階段，最重要的是盡快確定告警的真實(shí)性、基于初步識(shí)別的攻擊意圖、攻擊階段和事件類型判定豐富的遙測(cè)相關(guān)標(biāo)記進(jìn)行豐富；深度分析響應(yīng)新的和不尋常的威脅；強(qiáng)大的搜索數(shù)據(jù)可用性通過(guò)強(qiáng)大的可視化儀表板按需訪問(wèn)豐富的數(shù)據(jù)，幫助調(diào)查人員了解對(duì)任何受影響主機(jī)的攻擊的完整背景，無(wú)威脅情報(bào)AI息來(lái)了解它是否屬于特定特征等?；谶@些信息，無(wú)論是人工還是自動(dòng)化的方式，都可以迅速確定是否需要將報(bào)警升級(jí)為事件，需要使用哪種類型事件的響對(duì)于遏制威脅產(chǎn)生的影響，可供選擇的行動(dòng)策略很多，包括阻止、干擾、降級(jí)、欺騙和銷毀。但在絕大多數(shù)企業(yè)環(huán)境中，優(yōu)先考慮的還是阻止，其它措施往往在一些特殊對(duì)抗情況下才會(huì)使用。具體的阻止動(dòng)作包括很多選擇，不同的事件類型需在自動(dòng)化響應(yīng)中，可以基于事件類型調(diào)取對(duì)應(yīng)的劇本，完成相應(yīng)的操作。這種情況下提高了事件響應(yīng)的效率，也避免了當(dāng)?shù)倪M(jìn)一步擴(kuò)大。自動(dòng)化遏制執(zhí)行的某些特定動(dòng)作，部分企業(yè)往往會(huì)擔(dān)心存在影響業(yè)務(wù)的風(fēng)險(xiǎn)，因此在相關(guān)自動(dòng)化流程中也可能調(diào)用相應(yīng)的自動(dòng)化進(jìn)行后續(xù)的操作。自動(dòng)化遏制在當(dāng)前也逐步和AI結(jié)合，通過(guò)AI模型對(duì)發(fā)現(xiàn)失陷主機(jī)后可能的攻擊范圍做智能分析，來(lái)更好地確定遏制動(dòng)作自動(dòng)化響應(yīng)當(dāng)前在事件響應(yīng)的分析、遏制階段取得了實(shí)際的進(jìn)步和效果。自動(dòng)化響應(yīng)當(dāng)前在事件響應(yīng)的分析、遏制階段取得了實(shí)際的進(jìn)步和效果。采用相關(guān)的自動(dòng)化技術(shù)可以大幅度降低事件響應(yīng)XDRCOREVALUE……MainPage通過(guò)下面的ATT&CK矩陣我們可以看到攻擊者如果要造成數(shù)據(jù)外泄或者加密勒索等實(shí)際業(yè)務(wù)損失，必須通過(guò)矩陣前方的12個(gè)縱向隊(duì)列，如果我們可以在某個(gè)關(guān)鍵縱向隊(duì)列擋住攻擊者，他們就無(wú)法達(dá)到目的，而如果我們同時(shí)在多個(gè)縱向隊(duì)列形成檢測(cè)和響應(yīng)機(jī)制，那么攻擊者就面對(duì)著一個(gè)層層布防的堅(jiān)固陣地，即使偶爾逃避過(guò)某一個(gè)縱列，也會(huì)被后續(xù)的縱列所困難。KXDR要目標(biāo)。理論上對(duì)矩陣更全面的覆蓋，無(wú)疑可以達(dá)到最優(yōu)的檢測(cè)效果，甚至大多數(shù)威脅，在事件響應(yīng)過(guò)程中，往往容易出現(xiàn)的錯(cuò)誤就是“腳疼醫(yī)腳、頭痛醫(yī)頭”，僅針對(duì)報(bào)警相關(guān)的某個(gè)資產(chǎn)進(jìn)行處置，這樣就容未能徹底清除攻擊影響在發(fā)現(xiàn)失陷的情況下，內(nèi)網(wǎng)被控制的主機(jī)往往已經(jīng)不止某一臺(tái)，而是數(shù)臺(tái)、數(shù)十臺(tái)之多，這種情況下如果沒(méi)至造成巨大的影響。攻擊者可以進(jìn)入到企業(yè)內(nèi)部，必然是因?yàn)榇嬖诖_定可以被穿透的攻擊面，如果只是對(duì)失陷主機(jī)進(jìn)行處理，而出現(xiàn)。在XDR中，針對(duì)這個(gè)問(wèn)題，提供了專門的分析機(jī)制?根因分析。根因分析不但要確認(rèn)攻擊的影響范圍、攻擊者的整個(gè)攻擊鏈條，甚至還需要對(duì)攻擊意圖做進(jìn)一步的研判分析，以此來(lái)進(jìn)一步確定事件的響應(yīng)級(jí)別。根因分析在實(shí)現(xiàn)上包括了產(chǎn)品根因分析的產(chǎn)品功能，主要體現(xiàn)在四個(gè)方面：威脅關(guān)聯(lián)分析、進(jìn)程鏈還原、歷史威脅回溯、潛在入口分析。旨在為分析人員提供對(duì)安全事件的全局把控，從而徹底清除事件影響、復(fù)盤企業(yè)信息系統(tǒng)弱點(diǎn)，構(gòu)建更完善的防御體系。當(dāng)前在根因分析中也在逐漸引入AI的方式，在現(xiàn)實(shí)中，分析人員的絕大部分工作時(shí)間，都是用來(lái)收集相關(guān)數(shù)據(jù)的，根因分析的可視化界面因?yàn)橥瓿闪诉@部分繁雜、耗時(shí)的工作，是對(duì)分析師效率的一個(gè)巨大提升，同時(shí)有序組織、可視化呈現(xiàn)的數(shù)據(jù)也降低了促進(jìn)。雖然XDR產(chǎn)品提供的根因分析功能降低了對(duì)分析師的要求，也節(jié)省了大量重復(fù)的工作時(shí)間，但對(duì)于部分企業(yè)來(lái)說(shuō)，依然相對(duì)而言覺(jué)得人員成本太高，這時(shí)XDR的一個(gè)附帶服務(wù)MDR就可以發(fā)揮作用了。MDR服重要的就是根因分析。對(duì)于確定性的事件，MDR服務(wù)人員可以出完整的影響面、攻擊鏈、攻擊意圖分析，還會(huì)提供對(duì)應(yīng)的處理建議，使企業(yè)不但明確知道發(fā)生了什么，為什么，還能夠使用最有效的方式Logj下圖是國(guó)內(nèi)的深信服XDR針對(duì)該類事件IEMR擊者的技戰(zhàn)術(shù)行為矩陣。這就是XDR的核心技術(shù)?全面的遙測(cè)數(shù)據(jù)采集?的核心意義。同時(shí)這也意味著只有在EDR、R報(bào)隨著網(wǎng)絡(luò)攻擊入侵的手段不斷進(jìn)步，現(xiàn)有的網(wǎng)絡(luò)攻擊不再局限于單步攻擊，通過(guò)單步攻擊引發(fā)網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的告警往安全相關(guān)的黑色產(chǎn)業(yè)鏈層出不窮，大多數(shù)的黑產(chǎn)團(tuán)伙也是采用多步攻擊才能實(shí)現(xiàn)成功入侵受害主機(jī)。XDR作為一個(gè)擁有全局安全視野的平臺(tái)，如果能夠提供每個(gè)威脅攻擊過(guò)程的高度可視化，就能使得安全運(yùn)營(yíng)更高效，安全態(tài)勢(shì)把真實(shí)的安全運(yùn)營(yíng)往往需要有經(jīng)驗(yàn)的安全專家來(lái)分析多家安全廠商的產(chǎn)品提供的告警等信息，并結(jié)合其自身的專業(yè)知識(shí)去調(diào)查取證分析，進(jìn)而還原出攻擊者完整的攻擊路徑，然后在攻擊路徑的每一環(huán)節(jié)上進(jìn)行應(yīng)急處置。該過(guò)程的時(shí)間消耗一方面取決于攻擊手段復(fù)雜程度、安全產(chǎn)品所能提供的信息多少，另一方面取決于安全專家對(duì)該攻擊手段的熟悉程度等因素。整防御體系向著智能化方向終端失陷溯源可視化在大多數(shù)攻擊場(chǎng)景中，攻擊者往往是先獲取網(wǎng)絡(luò)中的單個(gè)PC或服務(wù)器的權(quán)限后，以其作為跳板開展后續(xù)的橫向移動(dòng)行為，并逐步擴(kuò)大影響；黑產(chǎn)中的病毒傳播亦是如此，首先感染0號(hào)主機(jī)，之后按照一定的攻擊手法感染其他主機(jī)與資產(chǎn)。安全分析師進(jìn)行溯源分析的過(guò)程中，首先是需要找到一個(gè)典型的失陷主機(jī)，查清楚當(dāng)前主機(jī)中攻擊者的入口、入侵順序與技術(shù)手法，以便于溯源?；趩沃鳈C(jī)的溯源調(diào)查分析，是多主機(jī)關(guān)聯(lián)分析安全事件必不可少的基礎(chǔ)。因此單主機(jī)溯源可視化至少要包括入口點(diǎn)定位、惡意行為記錄的功能，幫助安全分析師快速?gòu)?fù)現(xiàn)當(dāng)少后續(xù)危害擴(kuò)散。攻擊影響面可視化攻擊影響面評(píng)估是在單主機(jī)生成了威脅告警之后的下一步研判行為，需要明確失陷主機(jī)是否攻擊過(guò)其他主機(jī)、訪問(wèn)過(guò)其他服務(wù)器、進(jìn)行了哪些網(wǎng)絡(luò)通信行為?；诖耍踩治鰩熤攸c(diǎn)篩選出其他可能的受害者主機(jī)，劃分此次事件影響范圍，做出相應(yīng)的處置行為如網(wǎng)絡(luò)劃分隔離等。攻擊影響面評(píng)估為后續(xù)多主機(jī)的關(guān)聯(lián)起到了承上啟下的多主機(jī)事件關(guān)聯(lián)可視化通過(guò)對(duì)已失陷主機(jī)資產(chǎn)的分析、確認(rèn)不同失陷主機(jī)的安全狀態(tài)后，安全分析師或者平臺(tái)算法可以根據(jù)一定條件將此類事件進(jìn)行關(guān)聯(lián)分析，就好像警察面對(duì)刑事案件時(shí)進(jìn)行并案?jìng)刹橐粯?，匯聚成一個(gè)跨主機(jī)的攻擊鏈?zhǔn)录€原攻擊者的真實(shí)目的何在、攻擊路徑如何。此項(xiàng)可視化能夠展現(xiàn)一次復(fù)雜攻擊事件的全景，為企業(yè)復(fù)盤安全事件、。攻擊者畫像可視化對(duì)于當(dāng)前安全事件分析后提取對(duì)應(yīng)的TTPs(攻擊行為特征)，結(jié)合行業(yè)獨(dú)有的威脅情報(bào)與攻擊趨勢(shì)，XDR可以描業(yè)內(nèi)外側(cè)的攻擊者畫像，通過(guò)對(duì)攻擊者的位置、常用漏洞、基礎(chǔ)設(shè)施、IOC、樣本、攻擊手法、近期活動(dòng)趨勢(shì)等信息進(jìn)行匯總，幫助企業(yè)對(duì)當(dāng)前攻擊者有更加全面詳盡的認(rèn)知，知己知彼，方能百戰(zhàn)不殆。同時(shí)如果提供先進(jìn)的可視化技術(shù)，才能與平臺(tái)后端高速發(fā)展的檢測(cè)與分析技術(shù)相匹配，也是讓安全運(yùn)營(yíng)人員省時(shí)、省力、省心的最水平技術(shù)進(jìn)步產(chǎn)出SaaS臨的問(wèn)題越發(fā)顯得重要：正是因?yàn)镾aaS化這些難以替代的優(yōu)勢(shì)，很多國(guó)家對(duì)它的態(tài)度已經(jīng)從拒絕轉(zhuǎn)變?yōu)橥茝V。在2021年5月美國(guó)白宮在關(guān)于改善國(guó)家網(wǎng)絡(luò)安全的行政命令中，明確提到“現(xiàn)代化聯(lián)邦政府網(wǎng)絡(luò)安全……加速專項(xiàng)安全云服務(wù)，包括SaaS、IaaS和PaaS絡(luò)安全數(shù)據(jù)的訪問(wèn)，以推動(dòng)用于識(shí)別和管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的分析”風(fēng)險(xiǎn)從趨勢(shì)上看，SaaS化已經(jīng)是一個(gè)必然的方向，如何能夠從自身業(yè)務(wù)出發(fā)，逐步探索利