基于安全防御要素的檢測及響應(yīng)

以XDR為基礎(chǔ)的管控協(xié)同體系XD產(chǎn)品申心o7/現(xiàn)狀與挑戰(zhàn)o7/現(xiàn)狀與挑戰(zhàn)/數(shù)據(jù)標(biāo)準(zhǔn)參差，需要規(guī)范互通/威脅長期潛伏，需要主動發(fā)現(xiàn)/事件零散分布，需要理清脈絡(luò)/設(shè)備系統(tǒng)眾多，需要統(tǒng)籌策略現(xiàn)狀與挑戰(zhàn)信息化發(fā)展帶來新的安全場景與問題隨著信息化建設(shè)的開展和業(yè)務(wù)的增長，信息系統(tǒng)價值在不斷提高，同時帶來還有不斷增加的網(wǎng)絡(luò)復(fù)雜度、暴露面和脆弱點混合高級威脅安全管理身份安全威脅對抗安全為了解決各場景的問題，安全設(shè)備和系統(tǒng)也隨之疊加堆砌WAF…………Page4Page5現(xiàn)狀與挑戰(zhàn)在信息化快速發(fā)展的同時，承載了高價值信息的系統(tǒng)顯然成為了攻擊者覬覦的目標(biāo)，攻擊者的攻擊方式和手法也愈加工程化、組織化強針對性與目的性日混合攻擊手法盛行持續(xù)攻擊成本低廉(MaaS)等攻擊資源的基礎(chǔ)設(shè)施化，也現(xiàn)狀與挑戰(zhàn)作為防守方我們堆砌的設(shè)備可以對一些明顯特征的攻擊進(jìn)行防范，但是攻擊的迭代周期往往會明顯短于檢測和防御能力更新面對更加復(fù)雜的組合手段攻擊，單一的防御設(shè)備無法有效攔截，由于攻擊的暴露面往往較廣，也造設(shè)備視角的局限性設(shè)備視角的局限性設(shè)備間無法統(tǒng)籌分析設(shè)備間無法統(tǒng)籌分析設(shè)備策略維護困難設(shè)備策略維護困難整個防御體系無法有效地統(tǒng)籌和協(xié)調(diào)整個防御體系無法有效地統(tǒng)籌和協(xié)調(diào)Page6需要全局性的監(jiān)控及響應(yīng)需要統(tǒng)一的中樞分析調(diào)度和協(xié)調(diào)管控體系需要統(tǒng)一的中樞分析調(diào)度和協(xié)調(diào)管控體系安全閉環(huán)安全閉環(huán)身份、終端、業(yè)務(wù)等場景下的異常行為。在全局視角下通過自動化通過安天威脅對抗運營XDR平臺可以有效統(tǒng)籌各類設(shè)備，構(gòu)建統(tǒng)一Page7數(shù)據(jù)標(biāo)準(zhǔn)參差，需要互聯(lián)互通Page9數(shù)據(jù)標(biāo)準(zhǔn)參差，需要規(guī)范互通數(shù)據(jù)接入的目的不僅僅是將數(shù)據(jù)進(jìn)行簡單的留存，僅僅匯總數(shù)據(jù)是不夠的，更需要格式的標(biāo)準(zhǔn)和內(nèi)容的規(guī)范，通過兩者的結(jié)合，才能而數(shù)據(jù)內(nèi)容治理的成本高、短時間難以見效且需要持續(xù)的維護，所以市面上很多系統(tǒng)僅支持接入第三方設(shè)備數(shù)據(jù)但并未對第風(fēng)險類型統(tǒng)一技戰(zhàn)術(shù)識別攻擊原理釋義置信度評估處置建議不僅要格式標(biāo)準(zhǔn)，更需要內(nèi)容標(biāo)準(zhǔn)風(fēng)險類型統(tǒng)一技戰(zhàn)術(shù)識別攻擊原理釋義置信度評估處置建議 對象化的數(shù)據(jù)結(jié)構(gòu)標(biāo)準(zhǔn)安天根據(jù)數(shù)據(jù)產(chǎn)生原理及分析需要，將數(shù)據(jù)拆分理解、組合重構(gòu)為數(shù)據(jù)對象通過數(shù)據(jù)對象的組裝，形成靈活可拓展的結(jié)構(gòu)標(biāo)準(zhǔn) 數(shù)據(jù)內(nèi)容標(biāo)準(zhǔn)大多數(shù)設(shè)備檢測后只會提供結(jié)論的信息，這些結(jié)論信息中不乏晦澀難懂和風(fēng)險度量標(biāo)準(zhǔn)不一的問題，分析人員很難基于有限信息對檢出的威脅進(jìn)行度量和研判安天通過專門的分析專家團隊，面向第三方設(shè)備持續(xù)完善威脅認(rèn)知，并定期更新風(fēng)險名稱翻譯風(fēng)險評級規(guī)范在新威脅上報時，平臺也會自動通過內(nèi)置的機器學(xué)習(xí)算法自動識別攻擊信息作為規(guī)則的補充威脅分類庫、威脅知識庫、處置方案庫、脆弱性知識庫、脆弱性關(guān)聯(lián)庫、暴露面識別庫、應(yīng)用知識庫等提高整體防御認(rèn)知，需要識別網(wǎng)空對象數(shù)據(jù)本身是零散的缺乏上下文語義的，不利于理解和關(guān)聯(lián)，為了有效的提升整體威脅的認(rèn)知，需要通過網(wǎng)空對象的識別促進(jìn)數(shù)據(jù)向信 網(wǎng)空對象識別全局身份標(biāo)識、主機賬戶標(biāo)識、郵件賬戶標(biāo)識、應(yīng)用賬戶標(biāo)識、外部身份標(biāo)識等系統(tǒng)連接點、路由連接點、服務(wù)連接點、外部連接點、通聯(lián)過程資產(chǎn)屬性、配置與策略信息、日志和軌跡信息、接口和通道信息、端口和服務(wù)信息等可執(zhí)行文件/腳本清單、軟件清單、軟件供應(yīng)商清單、內(nèi)部軟件技術(shù)棧清單、執(zhí)行器相關(guān)的重要向量清單 基于網(wǎng)空對象的統(tǒng)一風(fēng)險描述形式為對端/網(wǎng)/業(yè)務(wù)/身份等剖面的風(fēng)險統(tǒng)一監(jiān)控，需要對象化的風(fēng)險描述和分析方法安天采用了基于對象和作用關(guān)系統(tǒng)一風(fēng)險描述形式，可以對攻擊終端、威脅執(zhí)行體、網(wǎng)站內(nèi)容、用戶行為等風(fēng)險聚合和關(guān)聯(lián)面向各類安全場景提供對資產(chǎn)及其網(wǎng)絡(luò)/應(yīng)用/暴露面/面向各類安全場景提供對資產(chǎn)及其網(wǎng)絡(luò)/應(yīng)用/暴露面/脆弱性等環(huán)境信息的識別關(guān)聯(lián)和風(fēng)險治理能力 在分析和處置時，環(huán)境與地形尤為重要資產(chǎn)是安全運營過程的核心保護目標(biāo)，認(rèn)清資產(chǎn)所處環(huán)境和地形是開展威脅對抗與防我有哪些資產(chǎn)?有哪些資產(chǎn)？承載什么業(yè)務(wù)?會造成什么影響后果有哪些暴露面?運行了哪些應(yīng)用?開放了什么端口?哪些應(yīng)用和服務(wù)暴露在互聯(lián)網(wǎng)資產(chǎn)資產(chǎn)資產(chǎn)現(xiàn)在狀態(tài)如何?有多少資產(chǎn)在線?有沒有關(guān)鍵設(shè)備宕機資產(chǎn)會不會遭受攻擊?資產(chǎn)有哪些漏洞?配置有沒有問題?設(shè)備和服務(wù)有沒有弱口令不止梳理資產(chǎn)名錄，更需要摸清環(huán)境與地形 多渠道匯聚和融合環(huán)境與地形信息運用多種手段全面、快速、準(zhǔn)確的發(fā)現(xiàn)網(wǎng)絡(luò)中的資產(chǎn)信息，通過對多源信息進(jìn)行融合和統(tǒng)籌，識別資產(chǎn) 基于探海NDR全要素日志等流量信息結(jié)合發(fā)現(xiàn)規(guī)則識別資產(chǎn)，確定資產(chǎn)的歸屬網(wǎng)絡(luò)/分組/位置/用途等資產(chǎn)信息，同時無感發(fā)現(xiàn)終端活躍的應(yīng)用軟件和中間件 通過平臺的探測模塊或協(xié)同掃描設(shè)備，可以更全面的識別資產(chǎn)上運行的操作系統(tǒng)、中間件、應(yīng)用軟件、開放端口和服務(wù)等對象 通過智甲EDR上報的終端資產(chǎn)信息同步用戶資產(chǎn)，除前述內(nèi)容外，可以全面的獲取終端的執(zhí)行體信息、軟硬件、以及服務(wù)、注冊表、啟動項等配置信息 通過協(xié)同SNMP、網(wǎng)管系統(tǒng)等設(shè)備或系統(tǒng)進(jìn)行同步獲取資產(chǎn)信息，動態(tài)構(gòu)建資產(chǎn)拓?fù)潢P(guān)系多來源信息在融合后統(tǒng)一匯總和監(jiān)控，形成統(tǒng)一的資產(chǎn)環(huán)境狀態(tài)畫像不止梳理資產(chǎn)名錄，更需要摸清環(huán)境與地形 主被動結(jié)合發(fā)現(xiàn)脆弱點威脅總是利用資產(chǎn)脆弱性來提權(quán)和橫移擴散，通過分析資產(chǎn)脆弱性，結(jié)合資產(chǎn)的價值、綜合評估脆弱程度和攻擊影響，然在融合漏掃和EDR等多來源數(shù)據(jù)的基礎(chǔ)上，平臺基于漏洞關(guān)聯(lián)庫對應(yīng)用軟件、建立弱密碼知識庫和弱密碼檢測規(guī)則，基于NDR的全要素感知能力和探測模塊，實現(xiàn)弱密碼檢測的能力，對明文和密文的弱密碼進(jìn)行識別通過遙測數(shù)據(jù)分析資產(chǎn)的互訪情況，以便于對訪問情況進(jìn)行控制，通過指定時間窗口可快速對資產(chǎn)通信情況進(jìn)行溯源能夠監(jiān)控資產(chǎn)的應(yīng)用配置和策略配置情況，對其中違規(guī)配置或異常配置進(jìn)行處置威脅長期潛伏，需要主動發(fā)現(xiàn)終端場景檢測服務(wù)器場景檢測基線上下文可靈活拓展++++不止是設(shè)備警報，更需要異常識別終端場景檢測服務(wù)器場景檢測基線上下文可靈活拓展++++單一設(shè)備和系統(tǒng)對威脅的識別往往是有局限的，而威脅往往會采用繞過防御設(shè)施、且長期潛伏的特點，因此需要在更上層的視角識通過融合端點、流量、用戶行為等數(shù)據(jù)，面向各類典型安全場景，對行為特征、離群行為、生僻對象以及行為上下文進(jìn)行檢測以身份異常場景檢測身份異常場景檢測面向Windows等辦公PC面向Windows等辦公PC環(huán)境，基于系統(tǒng)日志的檢測分析，對內(nèi)網(wǎng)穿透、橫向滲透等異常違規(guī)或安全威脅進(jìn)行持續(xù)監(jiān)控注的安全點，而大多問題都出現(xiàn)在身份的盜用和濫用 特征細(xì)分場景的多類檢測識別手段流量威脅及異常場景檢測流量威脅及異常場景檢測脅和異常檢測能力，對異常命令執(zhí)行和命令注測能力，如分布式掃描、可疑外聯(lián)、弱口令攻擊、漏洞攻擊等，強化流量側(cè)識別能力網(wǎng)站及業(yè)務(wù)系統(tǒng)場景檢測網(wǎng)站及業(yè)務(wù)系統(tǒng)場景檢測平臺具備良好的可拓展性，可通過在線配置或規(guī)則包導(dǎo)入的形式動態(tài)拓展新規(guī)則平臺具備良好的可拓展性，可通過在線配置或規(guī)則包導(dǎo)入的形式動態(tài)拓展新規(guī)則徑遍歷/WEB漏洞攻擊/路徑穿越等風(fēng)險檢測，且融合WEB掃描設(shè)備對網(wǎng)站安全全方位監(jiān)控上下文特征不止是設(shè)備警報，更需要異常識別上下文特征攻擊方在攻擊時總會根據(jù)防御方的實際情況調(diào)整策略，而防守方如果僅采用被動的防守策略，在長期的對抗會出現(xiàn)能力差距，因此必須需要能夠根據(jù)實際環(huán)境、遭受威脅情況、威脅趨勢、動態(tài)拓展和調(diào)整策略可動態(tài)拓展規(guī)則與模型的分析引擎可動態(tài)拓展規(guī)則與模型的分析引擎平臺具備良好的可拓展性，可隨時通過在線得益于對象化基礎(chǔ)，在分析配置時可以融合多種在大多數(shù)情況下也無需重復(fù)定義后續(xù)業(yè)務(wù)流程即可不止是設(shè)備警報，更需要異常識別安天威脅對抗運營平臺能夠結(jié)合本地運營情報/安天威脅情報平臺/第三方情報平臺，融合傳統(tǒng)威脅情報的廣度和預(yù)見性與運營情報的強針高命中率、高客戶價值對網(wǎng)內(nèi)發(fā)現(xiàn)的遠(yuǎn)控終端、有效提升網(wǎng)空威脅感知能力T.I.Data支持本地化嗎通過安天的威脅對抗運營平臺，可以有效提取事件中涉及的對象識別其行為，通過決策模型形成統(tǒng)一告警通過安天的威脅對抗運營平臺，可以有效提取事件中涉及的對象識別其行為，通過決策模型形成統(tǒng)一告警通過上下文的自動循線調(diào)查和多渠道拓線分析，串接威脅活動鏈路，還原威脅全貌設(shè)備上報的事件和分析模型輸出的事件如果仍然零散的分散于多個模塊內(nèi)的話，在多個頁面來回的切換顯然會占用分析人員大量的時間和記憶成本，難以為分析人員提供快速的洞察，無法有效驅(qū)動威脅的監(jiān)控和響應(yīng)Page21基于對象化風(fēng)險描述形式通過決策模型抽取對象基于對象化風(fēng)險描述形式通過決策模型抽取對象告警策略&白名單規(guī)則環(huán)境信息&檢測信息&…文件信息&證書信息Cert協(xié)議信息…流量威脅抽取示意歸類告警在真實環(huán)境下可降低98%以上重復(fù)或相似告警安天通過數(shù)據(jù)標(biāo)準(zhǔn)預(yù)定義事件結(jié)構(gòu)及依賴字段，分求即可錄入對應(yīng)事件用戶可以自行配置哪些風(fēng)險類型進(jìn)行告警、調(diào)整告警歸并周期，也可以通過組合條件的白名單策略進(jìn)行細(xì)粒度過濾告警j將涉及對象按攻擊方、受害方、攻擊工具/載荷的維度進(jìn)行描述和歸類，覆蓋對象類型包括：郵件地址、用戶、通信節(jié)點(IP)、終端資產(chǎn)等，對象類型且可以靈活拓展得益于對象化的基礎(chǔ)平臺對各類對象形成了本地知識庫和信息卡，記錄對象信息、活動情況、涉及資產(chǎn)情況以及風(fēng)險情況，以便于快速追溯事件零散分布，需要理清脈絡(luò)單一的威脅點不易于理解且缺少上下文，在高威脅對抗的場景下仍然會導(dǎo)致信息過載。因此需要基于對象進(jìn)行關(guān)聯(lián)，按需調(diào)度設(shè)備 不止關(guān)注單一威脅，更需要關(guān)聯(lián)全局?jǐn)?shù)據(jù)依據(jù)事件中涉及對象及其之間的作用關(guān)系，關(guān)聯(lián)串接事件鏈路 執(zhí)行體關(guān)注生僻/可疑執(zhí)行體 執(zhí)行體關(guān)注生僻/可疑執(zhí)行體在全局、業(yè)務(wù)分組內(nèi)關(guān)聯(lián)生僻和可疑行為的執(zhí)行體信息，例如生僻應(yīng)用、生僻簽名等，串接多端，確定影響范圍。 流量串接端與端的通信鏈路基于地形通聯(lián)情況和安天NDR的全要素信息留存，能夠有效串接端與端之間的可疑和惡意通信鏈路 基于統(tǒng)一身份認(rèn)證和業(yè)務(wù)系統(tǒng)的身份信息關(guān)聯(lián)串接行為鏈路 不止關(guān)注已知表象，更需要挖掘潛在問題通過全局的對象知識、結(jié)合分析資源調(diào)度，拓展線索 ?執(zhí)行體特征：相同簽名、相同編譯路徑?執(zhí)行體特征：相同簽名、相同編譯路徑…?賬號身份特征：相似用戶名、相同平臺…?通信地址特征：相似網(wǎng)絡(luò)地址、相同運營商…?業(yè)務(wù)特征：相似域名、親屬域名 遠(yuǎn)端主機鑒定調(diào)度分析資源 同時間窗內(nèi)相似可疑行為 同時間窗內(nèi)相似可疑行為依托于全要素流量信息和系統(tǒng)的遙測數(shù)據(jù)，對相同時間窗口內(nèi)的威脅進(jìn)行關(guān)聯(lián)沙箱：動態(tài)鑒定依托于全要素流量信息和系統(tǒng)的遙測數(shù)據(jù)，對相同時間窗口內(nèi)的威脅進(jìn)行關(guān)聯(lián)?執(zhí)行體行為特征：相似命令行……?流量特征：相似參數(shù)…?系統(tǒng)特征：敏感路徑操作…Page23關(guān)聯(lián)全局?jǐn)?shù)據(jù)關(guān)聯(lián)全局?jǐn)?shù)據(jù)挖掘潛在問題威脅研判定性威脅研判定性事件零散分布，需要理清脈絡(luò)關(guān)聯(lián)全局?jǐn)?shù)據(jù)關(guān)聯(lián)全局?jǐn)?shù)據(jù)挖掘潛在問題威脅研判定性威脅研判定性通過多種方式串接事件鏈的基礎(chǔ)上，結(jié)合空間和時間維度對事件鏈路進(jìn)行切片，通過威脅對象百科和ATT&CK威脅框架為對威脅進(jìn)行多維度支持根據(jù)對象快速檢索歷史數(shù)據(jù)，研判后平臺會向前自動化追溯歷史F固化研判知識為本地情報，平臺會向前自動化進(jìn)行追溯、向后持續(xù)監(jiān)控惡意或可疑對象的活動F能夠自動化地或人工執(zhí)行處置策略，及時對威脅進(jìn)行處置能夠自動化地或人工執(zhí)行處置策略，及時對威脅進(jìn)行處置Page24設(shè)備系統(tǒng)眾多，需要統(tǒng)籌策略Page26設(shè)備系統(tǒng)眾多，需要統(tǒng)籌策略 策略管理的困境?不知道這個終端是做什么的，承載了什么業(yè)務(wù)，封這個端口會不會把業(yè)務(wù)宕機?設(shè)備報了漏洞攻擊，不知道終端實際有沒有漏洞 策略管理必須結(jié)合環(huán)境和地形策略管理必須結(jié)合網(wǎng)空地形和環(huán)境信息，才能有效定位處置策略下發(fā)點通過安全編排與自動響應(yīng)模塊可有效解決風(fēng)險治理的抵近問題，結(jié)合對別，能夠為用戶提供可拓展的自動化威脅分析和響應(yīng)能力，提高安執(zhí)行體(靜態(tài))啟動項向量特征執(zhí)行體(動態(tài))資產(chǎn)服務(wù)全局策略基于環(huán)境屬性的策略管控網(wǎng)絡(luò)終端誘捕分析探測流量采集和元數(shù)據(jù)化單元主機側(cè)采集和元數(shù)據(jù)化單元對象處置單元場景模擬構(gòu)建單元執(zhí)行體執(zhí)行體(靜態(tài))啟動項向量特征執(zhí)行體(動態(tài))資產(chǎn)服務(wù)全局策略基于環(huán)境屬性的策略管控網(wǎng)絡(luò)終端誘捕分析探測流量采集和元數(shù)據(jù)化單元主機側(cè)采集和元數(shù)據(jù)化單元對象處置單元場景模擬構(gòu)建單元執(zhí)行體靜態(tài)分析單元重載掃描單元應(yīng)用層邊界執(zhí)行控制單元策略調(diào)整單元端口和業(yè)務(wù)仿真單元執(zhí)行體動態(tài)分析單元爬取單元鏈路層邊界介質(zhì)管控單元主機應(yīng)用行為管控單元情報生產(chǎn)單元執(zhí)行體多引擎鑒定單元分布式輕載掃描/無損掃描單元業(yè)務(wù)層邊界通訊層邊界主機側(cè)防火墻單元修復(fù)與更新單元日志提取單元執(zhí)行體定點查殺信標(biāo)/向量查詢單元停止進(jìn)程暴露面管控脆弱性管控 確定處置對象網(wǎng)站域名遠(yuǎn)端終端業(yè)務(wù)身份注冊表簽名供應(yīng)商… 基于資產(chǎn)及環(huán)境的批量策略管理組策略組策略 確定處置策略定位執(zhí)行單元執(zhí)行體動態(tài)分析網(wǎng)絡(luò)封堵執(zhí)行體靜態(tài)分析身份停用執(zhí)行體多引擎鑒定權(quán)限限制執(zhí)行體情報鑒定信標(biāo)向量情報鑒定重定向流量限制環(huán)境仿真業(yè)務(wù)仿真執(zhí)行體全網(wǎng)追溯隔離執(zhí)行體等攔截/限制行為應(yīng)用管控隔離終端Page27不止聯(lián)動下發(fā)策略，更需要精細(xì)化處置 可拓展處置腳本 可自定義的場景化處置劇本可根據(jù)業(yè)務(wù)場景靈活自定義處置劇本，劇本支持查詢、調(diào)度、策略Pag