晨6:09分,一封疑似釣魚郵件被DDEI網關發現,隨後“可疑物”被送進沙箱進行甄別;6:17分,檢測完成,確認為最新未知勒索病毒。根據事前預案,針對此勒索病毒形成的威脅情報,同步被自動發送至雲、管、端等各節點;6:19分,數幾十萬臺終端設備已完成部署,形成防護能力。
“XDR全景”不僅是產品
這不是演習,而是6個月前發生的真實案例,雖然客戶名稱已被隱去,但還是能從緊湊的“劇情”中,體驗到亞信安全環環相扣的業務邏輯。當然,如果換做另一種輕鬆的心情。上述案例也可以理解為亞信安全交響樂隊,演出的曲目之一:《XDR全景之勒索病毒落網記》。而除此之外,XDR全景擅長的曲目還包括:防數據洩露、抗DDoS攻擊,以及應對木馬、挖礦、0Day漏洞、永恆之藍等安全攻擊。
言歸正傳,亞信安全已正式發佈“XDR全景”,而就在此前一年,亞信安全首次發佈XDR戰略。這標誌著XDR理念,被正式引入中國安全市場;也標誌著,亞信安全將應對APT高級威脅治理的最佳實踐應用落地。
簡單解釋XDR的含義:“X”代表智能世界的多樣的應用場景,“D”代表檢測,即“雲、管、端”均需要建立不同的監控機制,以及數據還原機制;“R”則代表快速響應,藉助SOAR框架,實現精密編排的聯動響應。
而“XDR全景”則是在此基礎上的繼續延伸,是亞信安全“產品+解決方案+服務+最佳實踐”的能力組合。其包含了終端檢測及響應EDR、網絡檢測及響應NDR、高級威脅情報平臺TIP等專業的調查工具,應對各類高級威脅的標準化預案工作手冊,以及由安全響應專家團隊組成的託管檢測及響應MDR。
XDR全景有何價值?
話題由此展開,XDR全景有何價值?至少護網行動已經驗證,並不是購買了等保目錄中的產品,就可以高枕無憂地享受免責。用戶投入巨大資源構建了立體式、縱深式的安全架構,但依然受到威脅騷擾。
究其原因,傳統安全架構模型,以及安全運維理念,均存在諸多槽點。例如重檢測、缺響應;重建設、輕運維;重告警,輕過濾;只看見能力短板,而無視架構縫隙;只進行產品堆砌,而忽視方案聯動。而XDR全景的價值即在於此:威脅可感知,安全可運維。
可如此解釋,大型交響樂隊通常由絃樂、管樂、打擊樂三大聲部組成。與此類似,亞信安全XDR全景包括了終端檢測及響應EDR、網絡檢測及響應NDR、高級威脅情報平臺TIP等專業的調查工具。
除此之外,XDR全景還包括應對各類高級威脅的標準化預案工作手冊,這就相當於演奏樂譜。以及由安全響應專家團隊組成的託管檢測及響應MDR,這就相當於首席小提琴演奏家。當然,揮灑自如、指點江山的指揮家,必然是交響樂隊的靈魂,而對比XDR全景的技術理念,則是藉助SOAR框架,實現精密編排的聯動響應。
傳統EDR技術孤掌難鳴
再逐一進行說明。亞信安全XDR全景與其三年前已提出的“定製化+標準整體解決方案”戰略一脈相承,貫穿了亞信安全“兩翼齊飛、四輪驅動”的全部能力。在安全業內,似乎也只有亞信安全具備此能力基因。
其中,可首先關注終端檢測及響應EDR。早期端點安全理念,多是基於靜態庫的被動式安全防護。2013 年,Gartner首次定義了ETDR(端點威脅檢測和響應)概念,此後該概念又被正式命名為EDR,即“檢測和調查主機 / 端點上可疑活動”。
然而,在面對無服務計算、容器、數據整合、檢測分析,以及“看到”未知威脅這些應用需求時,EDR技術往往孤掌難鳴。“因此,能夠實現跨越安全層,達成關聯分析,歸併離散的威脅告警,提煉帶有上下文擴展屬性的安全事件,優先聯動處理,將是下一代威脅治理技術的關鍵所在。”亞信安全首席研發官吳湘寧說。
具體來看,亞信安全終端檢測及響應EDR,突出“檢測、調查、遏制、修復”四大基本功能,具備操作系統行為內核態高清記錄能力,以及歷史數據可回溯、攻擊可視化等特點。也就是說,EDR的價值更類似攝像頭,而且是智能攝像頭。不僅能看見,而且能看懂。任何異常行為的蛛絲馬跡,都將被記錄在案,而且可實時開始干預。
牽一髮而動全身
當然,攝像頭可以降低犯罪率,但不能指望門戶大開的環境下,僅靠攝像頭就能抓住黑客。配合EDR的應用,XDR全景還包括一系列產品和服務,而且“產品+解決方案+服務+最佳實踐”均已實現精密編排的聯動,牽一髮而動全身。
其中,NDR(網絡檢測及響應系統)相當於“千里眼”,可24小時不停監視來往行人(流量);TIP(高級威脅情報平臺)相當於“聚寶盆”,可匯聚全球化、全行業、運營商海量威脅情報;UAP(高級感知運維平臺)相當於“千手觀音”,可自動化地進行威脅檢測與共享,且所有信息集中呈現,集中分析;應急響應預案相當於“武功秘籍軍師”,提供各種最佳實踐;MDR相當於“智囊團”,出謀獻策提供強大的後援保障。
亞信安全的作品
上述即是亞信安全“XDR全景”,也是亞信安全的交響樂隊。可以說,“XDR全景”並不是產品,而是作品,是亞信安全11年來,高級威脅治理經驗集大成的作品。“XDR全景”也不是“解決方案+服務”,而是理念,甚至將成為全行業認可的理念。只是該理念由亞信安全最早提出,也特別適合亞信安全的獨特基因。
而對此,亞信安全總裁陸光明最後表示:“未來,亞信安全將繼續通過理念與技術的迭代創新,協助用戶從被動安全事件處理向主動態勢感知轉變,全面提升高級威脅治理中的恢復補救能力,使用戶真正具備高適應性能力、風險預測能力、遭受入侵後的對抗能力、被攻擊後的恢復能力,確保數據洩露損失最小化,共迎數字風險,共贏數字紅利。”
作者 | 張戈 (公眾號ID:TechECR)
【TechECR】關注科技企業生態體系建設,這裡有思考、有觀點;有點頭咂嘴,也有會心一笑。創始人:張戈,曾任《商業夥伴》、《電腦商報》副總編,不碼字,不寫稿子、只輸出有質感的文章。以生態合作為視角,研究IT產業18年,常年保持對ICT企業、IT方案商、IT渠道商保持高頻度採訪。同名專欄現已入駐各大主流媒體平臺。合作聯繫:[email protected]
目前已同步入駐:百家號、頭條號、一點號、搜狐號、企鵝號等自媒體平臺。
閱讀更多 TechECR 的文章
