0
很久很久以前,希臘北部有一個彈丸小國在短短時間內成長為橫跨亞非歐的龐大帝國,這一切可能要歸功于從這個地方誕生的一個卓越軍事領袖和一種當時威力無窮的戰隊方陣布局,他就是亞歷山大大帝,一個常在你的撲克牌上出現的男子,它,就是馬其頓方陣。
【 圖片來源:dy.163.com 所有者:dy.163.com 】
馬其頓方陣在亞歷山大軍隊中占據絕對數量優勢,成了亞歷山大軍隊的主力。在亞歷山大的天才指揮下,龐大的帝國被區區4萬軍隊打得分崩離析。
【 圖片來源:喵說歷史 所有者:喵說歷史 】
正經來說,馬其頓方陣并不是亞歷山大創建的,而是他爸“發明”的。
在荷馬時代以前,步兵打起仗來像一窩蜂似地雜亂無章,亞歷山大的老爹腓力二世在當馬其頓的國王時,對馬其頓的軍務進行了全面改革,把多兵種混合成了一支完整的作戰部隊,還為步兵方陣配備了薩利沙長矛,結束了混亂的步兵作戰模式。
前人栽樹,后人爭氣,亞歷山大大帝后來將這種方陣運用得十分出色。
后來的戰爭就比這種馬其頓方陣更“先進”了,經過一代代進化,不僅有多兵種作戰,還有多武器裝備作戰。不得不說,將多個兵種有效融合,以少勝多打敗強大的對手,是一種牛逼的進步。
在看不見硝煙的賽博世界,各種“武器裝備”如同線下戰爭裝備發展一般蓬勃,核心目的是如何在網絡叢林里,面對危機四伏的嗜血攻擊者,守衛自身的安全。不過,花了很多錢囤積裝備的一些企業依然很苦惱,他們往往面臨這些關鍵問題:辛辛苦苦花金幣攢裝備,這些裝備到底怎么一起好好用,如何用,誰來用,誰會用?
也就是說,他們也面臨著初期混亂的“步兵”打法。
要用裝備的企業著急了,提供裝備的安全企業也著急。
亞信安全的掌門人,亞信安全總裁陸光明在今年5月宣布,亞信安全的公司戰略是“兩翼齊飛,四輪驅動”,現在, “XDR全景”是對亞信安全戰略的傳承。
簡而言之,亞信安全一直在研究,如何把混亂的“步兵”變成牛逼的方陣。
所謂“兩翼”,一為威脅防護視角的產品,二為針策略管理的產品,前者專注攻防,后者力求管控。“四輪驅動”則包括準化的威脅防護類產品、定制化的策略遵從產品、以威脅情報為核心的安全數據湖和以態勢感知為核心的安全運營管理中心。
可能是覺得這樣把武器明明白白地列出來還不夠,亞信安全首席研發官吳湘寧表示,升級后的“XDR戰略”強調了“威脅可感知、安全可運維”,核心其實只有一點——“實現多產品間的智能安全聯動”。
知道誰在盯著你,誰在攻擊你,就知道怎么還手。
XDR 實際是運用“精密編排策略”,通過網絡深度威脅發現、未知威脅分析、終端響應及阻斷、網絡威脅阻斷和威脅情報平臺,實現多智能安全聯動。
有一種“武器”與 XDR 有點類似——榮耀大神葉修的“千機傘”,亞信安全 XDR 全景也是各種武器的組合、變化,包括終端檢測及響應 EDR、網絡檢測及響應 NDR、高級威脅情報平臺 TIP 等專業的調查工具,應對各類高級威脅的標準化預案工作手冊,以及由安全響應專家團隊組成的托管檢測及響應 MDR 。
我們從 EDR 開始說起。
Gartner 于 2013 年 7 月首次創造了端點威脅檢測和響應 (ETDR) 這一術語,用來定義一種 “檢測和調查主機 / 端點上可疑活動(及其痕跡)” 的工具,后來通常稱為端點檢測和響應 (EDR),這是一種相對較新的終端安全解決方案。
第一,企業有沒有可以被攻擊的點,第二,如果被攻擊了,這次攻擊效果是否嚴重。第三,攻擊之后如何恢復。
亞信安全產品管理總經理汪晨認為,要達到上述目標,先要采集數據,再對數據進行檢測。
在很多城市,如果汽車沒有禮讓過斑馬線的行人,司機就會被扣分。但是,如何判斷司機到底是否應該被扣分呢?這也是一種收集數據的過程——比如后臺要基于攝像頭數據,判斷行人是否在斑馬線上,車輛是否停下來,通過特征點判斷司機有沒有違章。
同樣的是,EDR 有兩個檢測點:行為規則 IOA 和外部特征 IOC,IOC 主要檢測的是靜態特征,比如文件的一些哈希值,你可以把它理解為文件的“身份證”。檢測難度更大的是 IOA,也就是惡意行為的威脅情報。難點在于,要在攻擊行為發生之前就對 IOA 的情報進行檢測,發現其意圖。
檢測出“問題”的同時,要讓人真的能看到問題。就像病人去醫院看病,感覺胃部不舒服,到底是因為什么原因不舒服,醫生要給病人開出一些檢查單,通過“調查”,形成“檢測報告”,而且這些“檢測報告”要讓人看得懂,把相關的參數翻譯成直觀可讀懂的語言報告,第一時間判斷有沒有生病,病情嚴不嚴重,這就強調了 EDR 必須有很強的可視化能力。
知道了問題,就要遏制和修復,可能在調查之前,“醫生”就在做遏制這件事。比如你發高燒了,需要先做物理降溫再做“修復”。這一切的前提是必須有數據,要知道黑客怎么攻擊進來的,做了哪些事情,是修改了注冊表還是在啟動項生成了文件,才能形成精準的處置建議,通過這個過程形成 EDR 檢測、調查、遏制、修復的功能。
當然,這是 EDR 最基本的功能,怎么判斷是不是一個優秀的 EDR?
汪晨對雷鋒網提到了三個“考核指標”:第一,它需要具備操作系統行為內核態高清記錄能力——是不是認真記住了行為。第二,告警行為日志長期存儲三個月以上,因為黑客滲透進來需要花一定時間,如果沒有相應的歷史數據,很難回溯。第三,攻擊可視化,讓用戶能明明白白地看到問題。
最后,EDR 還有一個關鍵組成部分:Threat Hunting的服務,安全可運維,根據行為準則判斷信息觸發事件,相當于專業的安全運維人員 24 小時根據提交采集的數據匹配信息,來判斷是否被攻擊。
前面說到,確認被攻擊后,EDR 要想遏制和修復問題,需要技術能力和相應的工具,這就要用到 XDR 使用的另一個技術:精密編排。
交響樂團要想演奏一首樂曲,首先要配置好演員和完整的樂器。第二,要有樂譜,第三,要聽指揮。
能被精密編排的前提與交響樂團正常工作的原理類似,首先,產品線要是整齊的,除了終端安全產品EDR,還要有 NDR(網絡檢測及響應)和(TIP)高級威脅情報平臺,除了有外部的威脅情報之外,還要有以沙盒為中心的本地威脅情報,這樣才能提供足夠專業的調查工具。
第二,要有標準的工作手冊應對各種威脅的預案。第三,所有產品必須具備聯動性,能被“編排”。
為了做到這一點,雷鋒網注意到,亞信安全在 XDR 里布置了一款負責托管檢測和響應的 MDR,來完成安全協同自動化和預先編排。
支撐上述核心技術的是亞信安全四大類產品:
檢測類:深度威脅發現設備TDA、深度威脅回溯設備TRA、高級威脅終端檢測及響應系統CTDI;
分析類:深度威脅分析設備DDAN、高級威脅終端檢測及響應系統CTDI、深度威脅回溯設備TRA;
響應類:網絡防護網關AE、終端防護系統OfficeScan、服務器深度安全防護系統 Deep Security、深度威脅郵件網關 DDEI;
集中管控類:威脅運維平臺(UAP)、控制管理中心TMCM。
“第一,產品線各個產品端都要有對應的的產品,比如網絡側有TDA,檢測設備,DDAN是網絡側的沙盒,是本地情報中心的核心,網關側的AE,防火墻和防毒墻。郵件這一塊是DDEI,應對郵件安全問題,端點側有OSCE&CTDI,OSCE是終端防護類產品,CTDI是EDR的產品。云主機側有Deep Security,所以整個云管端都具備這個能力,就像一個交響樂團,每一個演奏單元都具備。”汪晨說。
OSCE是終端安全的產品,CTDI 是 EDR 重要的模塊,TDA 是網絡檢測設備,這些聯動起來就不一樣了,OSCE+CTDI形成了完整的 EDR,TDA+CTDI是形成完整的 NDR,TDA可以直接調用 CTDI 形成驗測報告。這個報告可以直接被用戶讀懂:黑客怎么攻進來的,你需要做什么樣的處置,通過這些割裂產品,按照精密編排的方式提供了完整的對抗方法。
汪晨透露,亞信安全以后還要給 XDR 加入托管的運維服務——畢竟不是每一個用戶都有充足的運維人員7×24小時勞作,他希望,能盡量減輕運維壓力和難度。
在雷鋒網看來,亞信安全最重要的一個觀點是—— “如果今天連門都沒鎖,靠攝像頭抓壞人,這不是很奇怪的一件事嗎?我們在郵件、網絡、端點、服務器、云主機、容器都有攔截類的產品,通過這些產品第一時間做了相應的阻斷和攔截。”
基于此,需要一個依賴于產品自身的能力形成的運維管理中心,這就是威脅運維平臺 UAP,最終,亞信安全交付給用戶以及用戶能直接看到的冰山上的一切就是 UAP,但藏在冰山下的能力由這些產品支撐。
你也可以把 UAP 理解成一個善于調兵遣將的將軍,在 XDR 全景視圖中,能被用戶直接看到的 UAP 將發揮至關重要的聯動作用——它知道什么時候該派出最合適的兵種,什么時候應該用什么樣的武器。
這就是“馬其頓方陣”能成功的終極奧義。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
