流量、终端、用户、应用……更完备的检测与响应体系将延伸到哪?

首页 / 业界 / 资讯 /  正文
作者:西西
来源:安全419
发布于:2023-02-01
企业开展网络安全工作,无论面对何种场景,能够发现问题、解决问题是其最本质的诉求。因此,长期以来,威胁检测与响应一直是网络安全最底层的逻辑链路,由此发展产生的技术体系与工具产品覆盖到安全建设及运营环节的方方面面。
 
早年间,用于检测网络流量上的行为、数据特征的IDS(Intrusion Detection System,入侵检测系统)广泛应用,好比给企业装上了一套监视系统。但由于IDS偏向于被动,仅在恶意流量传送时发出警报,很难定位真正的威胁或实现闭环处置,倾向于提供主动防护的IPS(Intrusion Prevention Systems,入侵防御系统)配套而来,可以预先对入侵活动和攻击性网络流量进行拦截。
 
仅基于规则库匹配并不完备,NTA(Network Traffic Analysis,网络流量分析)通过监控网络流量、连接和对象来识别恶意的行为迹象,弥补传统检测设备重检测、轻分析的缺陷。随后出现的NDR(Network Detection and Response,网络威胁检测与响应)进一步升级,检测能力融合机器学习、威胁情报等多维度的能力,并增加了响应与防御功能。
 
威胁不仅出现在网络流量侧,硬件、服务器、中间件等主机终端同样需要重视。传统的杀毒软件以及HIDS(Host-based Intrusion Detection System,主机型入侵检测系统)主要采用特征库比对的检测模式,很难应对病毒软件的变种和绕过。EDR(Endpoint Detection & Response,端点检测与响应)作为主机侧的安全利器,多通过人工智能引擎和威胁情报赋予终端更为精准、持续的检测,同时增强防护属性,发出告警的同时也会自动智能响应处理掉恶意行为。
 


目前,网络攻击正在变得更加隐蔽和复杂。Gartner早在2017年就指出,未来5年企业的网络安全支出战略、预算结构将发生重大改变,重心将从阻止向检测和响应倾斜。从ESG的研究发现,83%的受访企业预计在未来12-18个月将增加在威胁检测与响应技术、服务和人员方面的支出。与之相对的是,尽管企业在安全技术上花费颇多,但仍然无法在合理的时间内检测或是有效应对网络攻击,甚至因为勒索攻击、APT攻击等威胁的加剧,企业面临的安全环境更为糟糕。
 
为了寻求出路,业内将目光转向了XDR(Extended Detection and Response,扩展检测与响应)。这项由Palo Alto首席技术官Nir Zuk于2018 年提出的技术体系,在RSA 2019大会上开始讨论开始升温,此后,Gartner将其列为2020年第一大安全技术趋势,并在2020-2022年连续入选Gartner端点安全、安全运营技术成熟度曲线,目前处于快速成长阶段。
 
XDR 中的“X”代表着安全能力的持续扩展,其联动EDR、NDR、SIEM、SOAR等不同层面的安全产品的能力,实现跨产品、跨层级的安全数据获取、威胁检测和事件响应。同时,基于大数据分析和机器学习能力,强化对高级威胁的分析,以及攻击杀伤链的理解和还原,让安全人员可以真正聚焦在数量有限且真正具备影响力的安全事件上。此外,XDR可以提供自动化响应威胁的技术和工具,让用户对文件、权限、主机和网络执行经过预先设计编排过的手动和自动的补救措施,提高局部威胁发现、全局快速响应的能力,并减少对高水平安全运维人员的依赖。最终形成面向多种甚至未知安全场景的综合型安全解决方案。
 
国际上,思科、微软、Palo Alto等科技厂商已经探索出了相对成熟的XDR解决方案,国内对XDR技术的实践也从2018年左右开始起步,包括深信服、启明星辰、奇安信、亚信安全等综合性安全企业均推出了相关解决方案。另外,一部分以流量检测、威胁情报、攻击防御等技术起家的专业型厂商,也将XDR列为未来发展战略方向。
 
根据安全419此前报道,比如未来智安(XDR SEC),在2021年1月推出其XDR平台,内置EDR与NDR能力,基于丰富的遥测数据更细粒度的感知底层数据变化从而研判用户侧网络安全风险,实现跨端跨流量的立体化威胁检测。基于多维度拓线关联分析技术,将任意类型的告警行为作为线头进行模拟攻击、威胁狩猎,实现对攻击事件的多维度分析挖掘。平台从底层提供检测与分析能力的接入和扩展,通过编排实现半自动协助决策或全自动响应处置,实现联防联控。



在上文提到的Gartner安全运营技术成熟度曲线中,EDR、NDR和XDR作为常客经历了多个技术发展阶段,不断接受市场验证。在2022年版本的技术曲线中,我们还观察到另一项检测与响应技术——ITDR(Identity Threat Detection and Response,身份威胁检测和响应),正处于快速上升的技术萌芽期。ITDR是一系列包括威胁情报、最佳实践、知识库、工具和保护身份系统的流程,通过实施检测机制、调查可疑的姿态变化和活动,以及随时应对攻击来保持身份基础设施的完整性。
 
现代企业依赖其身份基础设施来实现协作、远程工作和客户访问服务,这使得身份系统成为攻击者的主要目标。调查统计显示,在2021年,凭证滥用是最常见的安全漏洞利用途径,用于售卖盗取的凭证的IAB市场高度活跃。针对多因素身份验证的攻击已经众所周知,而成熟的攻击者现在将目标锁定在IAM基础设施本身。因此,随着攻击链路越来越复杂,身份将是一个核心的链路点,更是关键的检测点与阻断点。
 
目前该技术赛道在国外发展极快,Gartner在报告中推荐了CorwdStrike、Tenable、Illusive、Silverfort等一众厂商,为ITDR的落地实践提供参考和指引。与此同时,随着ITDR的市场价值得到更多头部安全厂商的认同,生态合作也逐步涌现。美国网络安全平台SentinelOne宣布收购身份安全和横向移动保护公司Attivo Networks,其指出ITDR是整体XDR和零信任策略中缺失的一环,两者的合作将补齐安全能力,帮助企业用户在攻击生命周期的每个阶段免受威胁。同样,谷歌也宣布以54亿美元收购身份安全公司Mandiant。
 
国内ITDR发展尚属于起步阶段,安全419此前采访到专注在该赛道的身份安全厂商中安网星,其表示,从用户应用需求方面看,未来1到2年内ITDR的关注应用会进入火热阶段,因为其解决的问题是绝大多数安全事件的主因。在生态价值方面,现阶段已经显现,比如中安网星正与多家头部身份认证管理厂商开展相关合作。据悉中安网星建立了ITDR平台,集中分析企业所有身份数据,达到身份安全统一审计、统一分析、统一运营。从落地实现角度来看,技术独立的ITDR可以更好地融入到众多应用场景当中,针对不同场景的身份基础设施提供检测和响应,而非这些身份基础设施(厂商)独立集成。
 


无独有偶,伴随边界模糊、业务开放、攻击升级而带来的高级威胁不仅仅反映在网络、终端、用户行为等等层面,也早已潜入了万千应用内部。一项以Web应用为核心的技术体系——ADR(Application Detection and Response,应用检测与响应)逐渐走入更多人的视野。根据《应用检测与响应ADR能力白皮书》,ADR以RASP为主要安全能力切入点,通过对应用流量数据中潜在威胁的持续检测和快速响应,帮助用户应对来自业务增长、技术革新和基础设施环境变化所产生的诸多应用安全新挑战。
 
究其需求点与价值,一方面,用户在实战化安全能力需求中,迫切需要一个专门针对应用的行之有效的解决方案,加入安全运营体系中,从而实现应用运行时的安全检测与响应能力。另一方面,之前的应用安全技术能力,虽然从开发阶段到生产运行阶段都有涉及,但能力点是分散的,例如只关注应用的漏洞检测,或是只关注应用攻防场景下的自我防护,很少将应用的安全检测与事件响应结合起来,形成闭环。
 
根据报告分析,在安全检测方面,ADR基于网格化的流量采集,通过应用资产数据、应用访问数据、上下文信息等,结合外部威胁情报数据,高效准确检测0day漏洞利用、内存马注入等各类安全威胁;在安全响应方面,ADR基于场景化的学习模型,实现应用资产的自动发现与适配,自动生成应用访问策略,建立可视化的应用访问基线,发现安全威胁时,通过虚拟补丁、访问控制等安全运营处置手段,有效提高事件响应的处置效率。
 
国际上,包括RSAC 2022创新沙盒10强Araali Network、以色列安全公司Reveal Security等是目前ADR领域的代表性厂商;在国内,边界无限基于RASP技术,打造了Web应用全方位安全检测与响应的解决方案,在流量安全方面,基于网格化流量采集,通过联动应用端点数据、应用访问数据,高效准确防御0day漏洞利用、内存马注入等各类安全威胁;在API安全方面,通过建立自主学习模型,实现API的自动发现,漏洞挖掘;自动生成API访问策略,通过调用追踪的方式建立可视化的API风险见解;在数据安全方面通过数据审计、治理、脱敏等安全技术,有效实现数据安全风险态势的把控。
 
发展至今,企业用户已经逐渐在流量、终端、主机等维度逐渐形成了NDR、EDR等检测与响应能力,有效提升了安全检测的覆盖度与应急响应时效。XDR、MDR以及ITDR、ADR等更多“DR”能力的出现及运用,更加关注威胁本身,更加聚焦攻击链路,更加贴近业务发展,更大程度提升可见性,有效补全检测与响应机制在其他环节的不足。未来,将有越来越多企业用户将更加完善的检测与响应能力作为必备技能,形成完备的安全检测与响应体系。