极盾·析策,XDR 的正确打开方式
近日, Gartner 正式发布了 2022 安全运营技术成熟度曲线(Hype Cycle),正如大家所预测的那样,XDR 终于站上了 Peak of Inflated Expectations 的顶端,成为安全运营体系中最炙手可热的技术之一,具体如下图所示:
当 XDR 成功登顶,国内安全产业如何抓住这次机会?
以新兴网络安全公司极盾科技为例,从成立伊始,就围绕业务场景构建检测和响应能力,打造了国内首个实时自适应 XDR 平台——极盾·析策。帮助企业提升已有安全设备的自动化运营能力、打造“以数据为驱动”的安全运营闭环。
当然,这一切并非一蹴而就。潜力和挑战,一个硬币的两面。
7 月 28 日,【网安新视界】第一季第三课开讲,极盾科技产品负责人李方方带来了独家分享。这一次,一起聊聊 XDR 的正确打开方式。
四大业务流程模块,打造安全运营闭环
极盾·析策秉承零信任的理念,实时分析持续检测。支持多种安全数据聚合,深入细分场景,聚焦检测分析,及时、精准、高效地感知安全事件。
那么,这一切是如何实现的?
极盾·析策的业务流程主要分成四个模块,分别是数据接入、数据处理、检测分析和安全响应,组合形成 XDR(扩展威胁检测及响应)产品体系。
第一个模块是安全设备数据接入,比如 EDR、CASB、NTA 、WAF 等安全设备。支持内置和自定义各类安全数据“一键”接入,包括但不限于 Syslog、Http API、kafka、文件、IMAP 等多协议渠道灵活接入。
安全设备数据接入之后,会进入数据处理模块。通过数据处理模块,快速实现数据结构化标准化,针对不同的安全设备的跨源数据也能实现归一化,以进行后续关联检测分析。基本上对于业内常见的安全产品,以及 CEF、JSON、KV 等各种日志格式,包括各种非标数据,都能做到数据的结构化处理。数据结构化归一化之后,就可以对这些处理过的数据进行数据挖掘和特征提取。
数据处理完之后,就可以进入检测分析模块。极盾·析策的检测分析模块采用互补的两种思路:以机器学习模型为主进行异常检测,识别未知威胁,从防守者角度检测异常事件;同时以专家经验的规则策略为主进行攻击检测,识别已知威胁,也就是从攻击者角度检测安全事件。为了保证检测分析的效果,还会对整个策略模型做全生命周期的管理,对策略模型效果持续监控,持续迭代优化,保证检测分析的效果。
检测分析完成之后,下一步就是响应模块。可以做事件的响应,可以通过工作流、可视化、自动化来帮助企业实现自动化响应,通过动态告警系统,进行及时地告警。
聚焦检测分析,力求每个环节都做到极致
这四个模块环环相扣,又相互促进,形成“以数据为驱动”的安全运营闭环,从而帮助企业构建坚韧的纵深安全防御体系。
值得一提的是,极盾·析策会更多的关注安全检测分析,力求检测分析的每一个环节都做到极致。那么,一个强大的安全检测分析体系是如何炼成的?
1、深度数据挖掘构建行为特征
极盾·析策支持丰富的体系化的分析维度,构建用户实体(用户、设备、应用、主机等)行为特征。有了行为特征之后,可以完善各种机器学习模型,梳理出更多专家策略规则,从而更进一步进行检测分析。
以上的实现,依托于“高吞吐、高可靠、低延时、可扩展”的指标计算平台,该平台能够通过实时配置、实时生效、实时计算等方式,快速实现行为特征的计算,构建丰富的立体的用户的行为特征,支撑后续的检测分析。
2、深入细分场景提升检测精度
行为特征提取完之后,就是要深入细分场景构建策略和模型,来提升检测精度。极盾·析策沉淀了大量场景模版,包括海量的策略规则、场景模型,帮助企业多场景快速适配。
一些细分场景个性化需求,也支持快速定制、快速上线。方法有二。
第一,规则策略可视化配置。通过可视化界面可以零基础配置复杂规则,实时配置,实时生效。实际上通过规则策略可视化配置,能够快速响应很多定制化需求。比如说,可以在分钟级别就完成新识别出来的行为模式的配置,并针对所有的同种行为模式风险,都能够快速拦截,快速阻断。
第二,模型一键部署上线。模型训练完成后也可以通过配置快速上线,不需要开发,有利于模型快速迭代优化,分钟级别就可以部署上线。那同时也会做模型的监控,比如说模型性能的监控,模型效果的监控,以此来保证模型的稳定运行。
3、持续迭代优化保证检测效果
前面提到,用深度的数据挖掘数据分析,构建用户行为特征;用深入细分场景构建策略和模型,提升检测精度。这个过程之外,还要持续迭代优化,保证检测效果。
首先会依托策略、模型全生命周期管理机制来持续优化检测效果。同时也提供自适应学习、自适应调优模块,来降低迭代调优成本,提升调优的效率。
坚持应用落地,让安全之力化为效能之力
很多时候,企业并不关心 XDR 的概念,也不关心 XDR 功能架构设计。关心的是如何从业务场景出发,构建经得起实践考验的细分场景应用。
极盾科技,从创立之初一直秉承着围绕业务场景构建检测和响应能力。因此,我们总结了以下 XDR 细分应用场景。
安全防护:告警降噪
极盾·析策聚合多个安全设备的告警数据和日志数据,在检测分析模块,进行归类、聚合和去重,通过诸如“是否只在单一设备发生,还是关联多个设备,过往是否持续被上报,是否在异常事件序列之中等”进一步分析告警可信度,减少无效告警,将成千上万的告警信息压缩至几十、上百条,大大降低安全运营工作量。
安全防护:单点设备增强
安全设备数据集成后,可以结合相应的安全场景进行分析,比如明确企业的网络拓扑结构,办公网和生产网检测场景各有侧重点;可以贴合客户业务特性进行分析,比如针对账号登陆、资源访问等,从时间、IP、部门等多维度构建行为特征。在极盾·析策检测分析模块,支持可视化灵活配置多维度指标特征和规则策略,实时配置实时生效。
安全防护:高级威胁挖掘
极盾·析策聚合多源(组织架构、审计日志等)多设备跨层数据,通过智能关联联想增强上下文,汇聚梳理时间线上的行为信息,识别异常行为序列,比如是否出现用户做了事件 1、之后事件 2 、事件 3、相比于个体基线和群体基线,识别用户行为模式改变,进行更深层次的威胁分析,比如异常时间登陆、访问大量资源、超出常用范围等。析策通过专家规则+机器学习模型综合分析快速从海量告警中找出最严重、最该关注的高效优先级事件。
安全防护:重保 HVV
l 数据实时汇集:各类安全设备日志、告警、流量统一汇集
l 威胁实时分析:已知威胁、未知威胁高效识别,深度告警降噪过滤
l 策略实时生效:风险策略实时配置、实时生效,高效攻防对抗
l 风险统一溯源:风险数据精准溯源,定位攻击链路
l 实时响应处置:实时自动响应处置 + 人工核实处置
数据安全:数据泄漏
l 通过业务系统审计日志、组织架构信息、VPN 日志等,检测用户主体在业务系统的异常行为,如账号盗用、暴力爆破、账号共享、特权账号等。
l 通过堡垒机日志、WAF 日志、API 网关流量信息,检测某个用户主体访问的内网资源、API 数量、敏感数据数量等是否有异常。
l 通过主机安全产品日志、VPN 日志等,检测某个用户主体在主机或服务器的操作异常,如文件传输数据量是否异常、访问行为是否异常等
l 通过数据库审计日志,检测已授权用户对数据库访问是否异常,如越权访问、已授权数据的恶意更改、滥用或拖库等
综上,我们相信,在实战驱动的大背景下。XDR,作为安全防御的“重装护甲”,必将迎来大爆发。
版权声明: 本文为 InfoQ 作者【极盾科技】的原创文章。
原文链接:【http://xie.infoq.cn/article/48af04458f70e95055c39b4f6】。文章转载请联系作者。
评论