面对复杂多变的安全威胁,该如何有效地进行防御?说起来,这个问题并没有一个标准答案。
不过近年来,有一个安全防御理念正在成为业内的共识,它就是SOAR。2015年,Gartner首次提出SOAR概念,而后不断演进,SOAR有了如今的涵义,既安全编排(Security Orchestration)、自动化(Automation)和响应(Response)。
①
2017年,Gartner在一篇报告中指出,未来五年企业将改变他们的安全支出战略,从仅采取阻止(prevent)措施而转向更侧重于检测和响应。
的确,在今天,从一个威胁的发现到响应正在产生越来越大的鸿沟。很多企业已经在阻断这一层面做了大量工作,无论是部署防火墙、防病毒、IPS等基于策略和规则的安全设备,甚至是基于行为和大数据分析等安全软件的采购,然而却在安全威胁处理和响应上的能力上仍然欠缺。
拿最近万豪酒店数据泄露的事件举例,自2014年起,就已经存在第三方对其旗下喜达屋酒店数据的未经授权访问,然而直到2018年9月,万豪才收到安全工具发出的非法访问数据库警报,进而采取调查并发现,约5亿顾客信息遭泄露。
很多公司在很长时间内都找不出甚至无法发现潜藏在自己网络中的威胁已然是个大问题。事实上,凡是对安全重视的公司并不缺乏安全警报,只是无法在大量告警中定位最准确的那一个。安全初创公司Demisto一项调查研究显示,有公司的安全团队疲于应付每周17.4万条的安全警报,然而安全分析师每周能审查并响应的安全警报最多1.2万个。
所以按此大胆估计,万豪数据泄露事件起初也不见得没有安全工具相关告警,也许安全人员并没有在告警中对其准确定位。
安全运营视角的SOAR雏形(图/亚信安全)
这也就有了SOAR的用武之地,它将安全产品以及安全流程链接和整合起来,并将人工安全专家的工作交给机器来执行,进而形成精密编排的联动安全解决方案。总结起来说,SOAR平台利用收集的安全数据和告警,通过使用人工专家以及机器的力量来进行事故分析。这样可以定义问题的优先级,并通过标准的工作流来标准化事故的调查处置流程。
根据Gartner的预测,到2020年年底,拥有5人以上安全团队的机构中将有15%利用SOAR工具进行编排和自动化操作。
②
近日,亚信安全举办高级威胁治理10年暨XDR战略发布会,其依托SOAR理念正式发布XDR战略,XDR以安全运营视角打造了一套精密编排的联动安全解决方案。
亚信安全通用安全产品总经理童宁用“新木桶理念”来形容这一套方案的特别之处。新木桶理论强调的是产品之间和系统之间非常紧密地融合,然后能做到精密编排,出了问题大家知道人怎么“跑出去”,知道怎么用“消防设备”。
“新木桶理论下的桶可能有短板,但是下面的缝一定是堵上的,这样的话,这桶水虽然不满,但不会全漏掉。”童宁说。
所以,对应新木桶理念,亚信安全XDR实现的是产品和技术做到精密编排的联动,也就是堵上了传统安全防御体系上的漏洞。
如何实现安全的精密编排与联动,XDR从发现到响应分为四步:
1. 告警受理:对告警进行分类和优先级划分;
2. 定性分析:判断威胁的真实性,确认威胁的本质及攻击者意图;
3. 定量分析:回溯攻击场景,评估威胁的严重性、影响和范围;
4. 响应:根据响应脚本,执行响应策略。
亚信安全SOAR产品方案原理(图/亚信安全)
具体来说,亚信安全的XDR方案包括了“准备、发现、分析、遏制、消除、恢复、优化”这7个阶段,准备阶段包括了针对每一种黑客攻击类型的标准预案。自发现威胁数据之后,将数据集中到本地威胁情报和云端威胁情报做分析,利用机器学习和专家团队,通过分析黑客进攻的时间、路径、工具等所有细节,其特征提取出来,再进行遏制、清除、恢复和优化。
同时,XDR也是亚信安全下一代威胁治理战略3.0的雏形,“威胁治理战略3.0的目标正是有效缩短应急处置安全事故的时间,同时也减少和优化传统SOC中不必要和冗余的工作,提高工作精准度,安全运维流程的文档化以及证据的管理,并且可以让用户在少量培训的基础上提高告警分析的质量和侦测发现的能力。”亚信安全产品总监白日说。
③
当然,无论是XDR还是下一代威胁治理战略3.0,代表着亚信安全对高级威胁治理的新理解,如何对其进行落地?这背后既有技术手段,也有流程保障。
如同亚信安全通用产品管理副总经理刘政平所说,有了方法论还要有非常好的工具。
亚信安全SOAR产品方案(图/亚信安全)
亚信安全XDR战略中引入了EDR、NDR、MDR等新工具,包括深度威胁发现设备TDA、深度威胁分析设备DDAN、深度威胁安全网关Deep Edge、深度威胁邮件网关DDEI、服务器深度安全防护系统 Deep Security,以及能够统一联动管理的控制管理中心Control Manager和APT治理专属咨询服务,进而实现威胁从发现、分析到响应的闭环。
“在一个网络中,亚信安全通过终端、网络端去发现威胁,然后进行自动化分析,并把分析结果反馈给各个系统,并且实现各系统协同处理威胁。所以它是一个发现、生成情报、联动所有终端协同处理、精密编排、精密联动的过程。”刘政平说。
除此之外,亚信安全还把人的经验植入到XDR当中。也就是如上所说,亚信安全在威胁发生的准备阶段提供了针对多项黑客攻击类型的标准预案。目前,亚信安全共梳理了40多种攻击场景,也就是提供了针对40多种攻击场景的工作流预案,包括数据泄露、勒索病毒、社交工程邮件、零日漏洞攻击等。
总之,面对不同的攻击“门派”,要有不同的响应手段,亚信安全已经提供了标准的预案、专业的调查工具、以及安全响应专家保障,从而应对不断爆发的高级威胁。
最后再来说以下XDR本身的涵义,当前安全市场EDR、MDR等技术概念尤为热门。XDR中的“X”又代表何涵义?这里代表安全的不确定性和变量,甚至未知。亚信安全希望在不确定的网络安全世界里,找到确定的方法,提升威胁的侦测、分析能力和网络空间恢复补救能力,将APT治理能力进化到更高阶段。
