XDR正在成為威脅檢測的演進(jìn)方向
Gartner分析師Mark Harris日前表示,網(wǎng)絡(luò)攻擊者已經(jīng)將攻擊重點(diǎn)轉(zhuǎn)移到實(shí)現(xiàn)其目標(biāo)上——從專注于感染文件到感染系統(tǒng),再到感染整個企業(yè)。作為網(wǎng)絡(luò)安全防御者,及企業(yè)安全專業(yè)人士,需相應(yīng)地改進(jìn)檢測方法,從跟蹤文件和哈希值并依靠簽名來阻止早期威脅,轉(zhuǎn)向跟蹤其他指標(biāo)以防止更復(fù)雜的攻擊。
現(xiàn)在,攻擊者正在滲透企業(yè)組織并橫向移動以完成其任務(wù)。無論是通過暗中偵察發(fā)動攻擊,還是鎖定端點(diǎn)和服務(wù)器以索取贖金,亦或是將一個企業(yè)作為進(jìn)入另一個企業(yè)的入口點(diǎn)展開攻擊,無不顯示出網(wǎng)絡(luò)攻擊者的這一趨勢特點(diǎn)。因此,我們必須持續(xù)改進(jìn)檢測方法,并意識到其不再只是找到觸發(fā)攻擊的一個控制點(diǎn)或系統(tǒng),而是涉及整個企業(yè)的多個點(diǎn)。企業(yè)安全團(tuán)隊需要能夠?qū)⑦@些點(diǎn)聯(lián)系起來,檢測來自不同系統(tǒng)和來源的信息,將數(shù)據(jù)和操作整合到一個視圖中,這樣就可以較全面地了解企業(yè)組織面臨的威脅并知道如何防御。
作為在企業(yè)全局啟用檢測和響應(yīng)的一種新模式,擴(kuò)展檢測和響應(yīng)(XDR)已經(jīng)引起了企業(yè)安全團(tuán)隊的極大興趣。XDR的擴(kuò)展檢測目標(biāo)是將來自內(nèi)部和外部的不同來源數(shù)據(jù)結(jié)合起來,并將來自各個系統(tǒng)的原子事件連接到單個事件中。正如咨詢公司Frost & Sullivan指出的那樣,“由于企業(yè)組織通常遵循同類最佳的原則,因此集成對于實(shí)現(xiàn)XDR愿景來說確實(shí)必不可少。” 企業(yè)組織的所有系統(tǒng)和來源必須能夠協(xié)同工作,從正確的工具中提取正確的數(shù)據(jù)來驗證檢測,并最終做出有效響應(yīng)。
這聽起來很簡單,但實(shí)際上是企業(yè)組織安全檢測能力的巨大轉(zhuǎn)變。就其本身而言,來自企業(yè)組織所有內(nèi)部數(shù)據(jù)源的事件,包括企業(yè)SIEM系統(tǒng)、日志管理存儲庫、案例管理系統(tǒng)和安全基礎(chǔ)設(shè)施、內(nèi)部和云端系統(tǒng)等表面看似乎都是獨(dú)立的。但是,如果企業(yè)安全團(tuán)隊可以匯總這些數(shù)據(jù),并使用多個來源(商業(yè)、開源、政府、行業(yè)和現(xiàn)有安全供應(yīng)商)的威脅數(shù)據(jù)自動對其進(jìn)行擴(kuò)充和豐富,就會看到完全不同的圖景。
當(dāng)所有這些數(shù)據(jù)相互關(guān)聯(lián)并顯示在一個屏幕上,并將不同系統(tǒng)看似孤立的事件聚集在一起,共同完成攻擊事件拼圖時,安全團(tuán)隊就可以識別整個企業(yè)的關(guān)系并檢測惡意活動。這種企業(yè)全局范圍內(nèi)的檢測活動,自然會推動企業(yè)安全團(tuán)隊深入了解并觸發(fā)進(jìn)一步調(diào)查。因此,我們對檢測的現(xiàn)代定義,還必須包括在該共享視圖中將相關(guān)數(shù)據(jù)與內(nèi)部資源(例如受影響用戶身份)關(guān)聯(lián)起來的能力。例如,如果網(wǎng)絡(luò)犯罪分子的攻擊目標(biāo)包括財務(wù)部門、人力資源或最高管理層,這可能表明企業(yè)組織存在更嚴(yán)重的威脅。
一些外部工具,例如MITRE ATT&CK等框架以及用于DNS查找、URL和惡意軟件分析的第三方工具,會顯示事件中的數(shù)據(jù)點(diǎn)是否具有共同指標(biāo)。利用這些工具,安全團(tuán)隊可以了解企業(yè)組織是否面臨更大規(guī)模的攻擊活動,以及需要尋找哪些指標(biāo)、策略和技術(shù)。通過內(nèi)外部數(shù)據(jù)聚合、相關(guān)性調(diào)查等,不斷更新對檢測的定義,以涵蓋更廣度和更深入的理解,為企業(yè)安全團(tuán)隊提供所需信息,以便其更快地執(zhí)行安全措施,就是我們持續(xù)改進(jìn)檢測方法的意義所在,這反過來又會影響我們對響應(yīng)的定義。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
