2020年,Gartner在《Top Security and Risk Management Trends》报告中提到的第一项技术和解决方案就是XDR,并表示XDR解决方案将提高检测准确性,并提高安全运营效率和生产率。在有科技产业界风向标之称的Hype Cycle中,端点安全和安全运维两个重点的Hype Cycle都提到了XDR这个关键技术,XDR成为网络安全领域的热词,作为SIEM和SOAR的综合方案出现在主流市场中。随着疫情持续,远程办公逐渐增加,网络威胁也带来了新变化,XDR的热度持续上升。
XDR(Extended Detection and Response)顾名思义,主要是三个部分。
一是扩展,XDR解决方案会大大扩展接入范围,包括多种端点、安全设备、网络、云端、应用数据、电子邮件等等,聚合不同层的数据,收集存储,进一步清洗提取处理,为接下来的查询和分析做好准备工作。
二是检测,基于收集到的处理好的大量数据,进行深度洞察,检测分析。不同层数据的归集支撑XDR可以进行关联调查,跨层分析,根据上下文进行情境化推演,将安全事件发生从前到后串联起来,形成安全事件业务链图。基于全局联动的理念,对日志和告警进行归类、聚合和去重,分析告警可信度,减少无效告警,可以大大降低安全运营工作量。同时,可以对有关联关系但是分散在各处的无风险或低风险信息进行关联分析,发现高级威胁,避免安全检测的遗漏。全局数据归集,以主体进行关联,可以引入UEBA用户行为分析和机器学习模型,提升安全检测效率和精度。
三是响应,当综合检测发现真正的威胁时,需要快速响应阻止风险事件的发生,能够提供多种响应方法,多种产品联动处理响应。
极盾析策(XDR)产品秉承零信任的理念,实时检测实时响应,聚焦场景分析,将已有的多个环节和工具联结到一起形成一个整体的安全检测体系。极盾析策(XDR)安全检测体系采用互补的两种思路,以模型为主进行异常检测,识别未知威胁,也就是从防守者角度检测异常事件;以规则策略为主进行攻击检测,识别已知威胁,也是从攻击者角度检测安全事件。两者相结合,一方面可以根据att&ck框架分析攻击路径和攻击阶段,识别到已知威胁后采取较为明确的响应措施,另一方面对于经验没有覆盖到或新型攻击可以通过异常检测识别未知威胁,及时告警,再进一步分析甚至直接采取一些响应方案。
上图基于ATT&CK框架模型框架,覆盖各个攻击阶段进行可视化链路分析
为了极盾析策(XDR)安全检测体系能够更好的落地,极盾构建了一套强大的实时的智能决策系统,融合流计算引擎+规则引擎+模型引擎+工作流引擎为一体的综合智能决策引擎。
极盾智能决策系统底层是以流计算引擎为核心构建的指标平台,处理海量数据,实时计算,多维度交叉分析构建关联特征、攻击行为特征、用户行为特征等,用于规则策略和检测模型。再上层是以规则引擎为核心构建的策略平台和以模型引擎为核心构建的机器学习平台,两大平台都可以使用原始数据和指标平台计算的特征数据进行检测分析,分析告警可信度排除无意义告警干扰,同时跨层整合分析识别高级威胁,提升安全检测效率和精度。最上层是以工作流引擎为核心构建的SOAR平台,支持以拖拉拽的方式进行调度编排,策略和模型作为条件组件,可以支持按照策略和模型的检测结果采取不同的响应措施,响应组件支持包括接口、脚本、邮件、常见安全设备等多种类型。
下面详细介绍下四大技术平台。
一、指标平台(极算 - 信鸽)最会计算
以流计算引擎为核心形成的指标平台,拥有全球首个XDR计算内核,支撑实时决策过程中规则和模型所需指标的计算,海量数据毫秒级响应。通过高度抽象形成较为通用的指标算子模版,指标平台可以支持低代码可视化的方式使用算子模版配置出所需指标,立刻可供规则和模型使用,让业务人员和运营人员不需要依赖开发即可完成指标的编辑、测试、上线、运行、评价、下线等全生命周期环节。极盾指标平台算子模版可以支持从时间维度、数量维度、时序维度、频次维度、连续性维度等多维度进行分析计算,也支持按照攻击技术分布、攻击技术数量、历史攻击行为、历史基线行为等进行分析计算,非常灵活,通过配置可以生成成千上万种所需指标,支持极盾析策(XDR)可以快速高效的进行深度关联计算,构建用户行为特征,支持UEBA的落地。在指标平台,所有指标统一管理,全局复用,避免不同业务场景重复开发相同的指标,降低运营成本和开发成本。同时,也可以提升决策效率,在一次决策过程中多个规则和模型可能使用同一指标,通过指标平台一次计算获取结果供多个规则和模型使用,不需在规则执行和模型执行的时候重复计算。
二、策略平台(极策 - 狼群)讲究策略
以规则引擎为核心形成的策略平台,统一管理安全检测策略,实时进行关联调查,跨层分析。围绕安全场景,策略平台支持低代码可视化的方式让安全运营人员快速配置规则,上下线策略。围绕策略规则全生命周期管理,建设了字段管理、策略管理、规则编辑、规则测试、规则发布、规则上线、策略监控、版本管理、策略模版、可视化报表等众多功能模块。支持多条规则组合使用,支持多条规则优先级排序,支持规则按照不同权重整体分析得到检测结果。策略规则支持实时调整实时生效,助力提升安全运营效率。
三、机器学习模型平台(极行 - 白鲨)识别
除了行业专家经验规则,引入了机器学习模型,构建了模型平台,支持安全检测模型、异常检测模型的实时检测分析,对参与决策的模型进行管理和监控。支持pmml、python包等多种形式模型文件的上传,模型开发或调优完成后,支持快速部署上线,简化上线流程,上传后即可运行使用,高效便捷。支持对模型统一管理,包含模型上传、模型测试预跑、模型部署运行、模型监控预警、模型下线管理、版本管理、权限管理等众多功能模块。
四、SOAR平台(极度 - 德牧)快速响应
极盾智能安全检测是一个复杂的过程,采用专家策略结合机器学习模型的方式,既可能采用串行的方式也可能采用并行的方式,多个策略和模型综合汇总分析出检测结果。不同的检测结果也会采取不同的响应措施。因此极盾智能决策系统以工作流引擎为核心构建了soar平台,支持以拖拉拽的方式进行灵活编排,策略和模型可以采用不同的组合方式调度使用,获取检测结果后,检测结果可以作为条件组件,支持条件组件不同的分支采取不同的响应措施。响应措施通过众多的响应组件实现,支持包括接口、脚本、邮件、常见安全设备对接等多种类型,响应组件也可以进行各种灵活编排。
极盾智能决策系统强大而完善的功能体系能够支撑极盾xdr产品