ISC 2020 XDR分析檢測論壇：打破檢測孤島，看XDR如何應(yīng)對數(shù)字時代新威脅

數(shù)字孿生浪潮奔涌而至，“一切皆可編程、萬物均要互聯(lián)、大數(shù)據(jù)驅(qū)動業(yè)務(wù)、軟件定義一切”成為新數(shù)字的時代標(biāo)簽。以數(shù)字為主體的互聯(lián)網(wǎng)邊界得到實(shí)質(zhì)性地延申與拓展，與此同時，網(wǎng)絡(luò)空間的攻防對抗態(tài)勢也逐步升級。

尤其隨著國家級網(wǎng)絡(luò)部隊(duì)這一“大玩家”入局，網(wǎng)絡(luò)主權(quán)、網(wǎng)絡(luò)邊疆、網(wǎng)絡(luò)國防等新概念更是噴薄而出。如何在層層加碼的高級別網(wǎng)絡(luò)威脅之下，鍛造嚴(yán)守網(wǎng)絡(luò)空間安全防線的新質(zhì)國防力，成為全球各國亟待書寫的安全答卷。

風(fēng)起云涌之中，2020年8月13日，ISC 2020“XDR分析檢測”論壇重磅上線，聚焦數(shù)字孿生時代下的高級威脅檢測，立足全球網(wǎng)絡(luò)安全產(chǎn)業(yè)升級戰(zhàn)略視野，探索新數(shù)字浪潮下的網(wǎng)絡(luò)安全防御應(yīng)對之策。

蘋果資本合作人、全國信息網(wǎng)絡(luò)安全協(xié)會專家委員、中關(guān)村天使投資理事胡洪濤，安天集團(tuán)威脅情報(bào)部總監(jiān)沈長偉，IEEE Fellow、浙江大學(xué)美國西北大學(xué)互聯(lián)網(wǎng)安全聯(lián)合實(shí)驗(yàn)室主任、杭州奇盾信息技術(shù)有限公司創(chuàng)始人陳焰，360公司PC安全產(chǎn)品事業(yè)部主動防御團(tuán)隊(duì)技術(shù)負(fù)責(zé)人何博，360企業(yè)安全高級安全攻防專家、360靈騰實(shí)驗(yàn)室成員馮作瞳等一眾安全大咖，在本次論壇上圍繞“從投資角度看XDR產(chǎn)品演進(jìn)”、“威脅檢測引擎—最強(qiáng)勁的威脅情報(bào)發(fā)動機(jī)”、“基于實(shí)時系統(tǒng)級攻擊溯源的高級威脅檢測”、“企業(yè)內(nèi)網(wǎng)橫向滲透檢測和攔截實(shí)踐”等主題，展開了戰(zhàn)略級的巔峰對話。

“網(wǎng)絡(luò)安全產(chǎn)業(yè)正進(jìn)入指數(shù)型增長初級階段”

蘋果資本合作人、全國信息網(wǎng)絡(luò)安全協(xié)會專家委員，中關(guān)村天使投資理事胡洪濤在演講中，從投資的角度，歷數(shù)端點(diǎn)安全檢測產(chǎn)品的演進(jìn)與XDR安全產(chǎn)品的未來發(fā)展。

他指出，隨著世界從信息化到數(shù)字化的演進(jìn)，企業(yè)面臨著前所未有的網(wǎng)絡(luò)安全風(fēng)險。安全廠商們不斷“推陳出新”，渴望通過新思路、新技術(shù)的應(yīng)用，幫助企業(yè)抵御一切網(wǎng)絡(luò)安全風(fēng)險。

Windows+PC的傳統(tǒng)互聯(lián)網(wǎng)時代，EPP(端點(diǎn)保護(hù)平臺)是政企事業(yè)單位安全防御的主力軍。EPP集殺毒、釣魚&間諜軟件防護(hù)、HIDS、未經(jīng)授權(quán)訪問、數(shù)據(jù)安全防護(hù)等多種組合安全解決方案于一身，立足“網(wǎng)絡(luò)威脅防御”理念，以單機(jī)工作模式，在病毒進(jìn)入保護(hù)范圍的第一時間攔截攻擊。

移動互聯(lián)網(wǎng)時代，網(wǎng)絡(luò)安全產(chǎn)業(yè)漸成體系。不同于EPP的防御機(jī)制， EDR智能端點(diǎn)響應(yīng)平臺則聚焦網(wǎng)網(wǎng)絡(luò)威脅監(jiān)測，旨在為政企客戶提供智能關(guān)聯(lián)分析、威脅溯源、自動化響應(yīng)解決方案。

而當(dāng)時間軸移至當(dāng)前的萬物互聯(lián)新時代，以數(shù)據(jù)采集監(jiān)控和事件關(guān)聯(lián)分析為核心的智能安全檢測體系XDR應(yīng)勢而生，融合多端點(diǎn)、網(wǎng)絡(luò)、服務(wù)器、應(yīng)用等海量數(shù)據(jù)源，恰到好處地接壤大安全陸地。

從Windows+PC時代下的EPP，到移動互聯(lián)網(wǎng)時代下的EDR，再到如今智能化萬物互聯(lián)浪潮中的XDR，安全產(chǎn)品發(fā)展的每一步都踏準(zhǔn)了時代節(jié)拍。而其清晰發(fā)展脈絡(luò)背后，是網(wǎng)絡(luò)安全產(chǎn)業(yè)逐步升級的最好見證。胡洪濤認(rèn)為，未來，網(wǎng)絡(luò)安全產(chǎn)業(yè)或?qū)⑦M(jìn)入指數(shù)級增長。

“威脅檢測引擎——最強(qiáng)勁的威脅情報(bào)發(fā)動機(jī)”

就像汽車的發(fā)動機(jī)是汽車的核心動力來源一樣，威脅檢測引擎也是威脅檢測產(chǎn)品核心鑒定能力的提供者。安天集團(tuán)威脅情報(bào)部總監(jiān)沈長偉在演講中如是說。

他指出，通常情況下，威脅檢測引擎會基于覆蓋百億樣本的海量規(guī)則，以完整的預(yù)處理、深度解析、豐富的檢測方式，進(jìn)行動態(tài)化載荷威脅檢測。盡管其規(guī)則魯棒性較強(qiáng)，但卻并未實(shí)現(xiàn)成體系的知識化輸出。

而威脅情報(bào)則是某種基于證據(jù)的知識。通過IOC規(guī)則來為高級威脅對抗提供更好的指向性，是當(dāng)前威脅情報(bào)的常態(tài)化應(yīng)用，但對超高能力且時刻變幻的網(wǎng)絡(luò)空間威脅活動，諸如國家級網(wǎng)絡(luò)攻擊，IOC規(guī)則幾乎無效。

面對這一局面，沈長偉認(rèn)為，威脅檢測引擎可通過開放情報(bào)承載能力，開放威脅情報(bào)輸入、輸出，在多種防御場景下，實(shí)現(xiàn)對高級威脅的發(fā)現(xiàn)、阻斷與揭示，并以此生產(chǎn)抗變性的威脅情報(bào)，構(gòu)建面向高級威脅的檢測能力閉環(huán)。

“傳統(tǒng)安全產(chǎn)品已無法有效防御高級持續(xù)威脅（APT）攻擊”

近年來，高級持續(xù)威脅(APT)攻擊愈演愈烈。通常，這類高級別黑客組織會利用遠(yuǎn)控RAT木馬，配合社會工程學(xué)手段入侵目標(biāo)系統(tǒng)并長期駐扎，進(jìn)而通過鍵盤紀(jì)錄、截圖、錄音等RAT木馬功能持續(xù)偵察，以進(jìn)行大規(guī)模情報(bào)竊取等惡意行為。

在這一過程中對APT攻擊進(jìn)行細(xì)粒度動態(tài)行為識別，態(tài)勢感知、溯源分析是應(yīng)對此類高級別網(wǎng)絡(luò)攻擊的重要手段。而傳統(tǒng)安全產(chǎn)品如反病毒，網(wǎng)絡(luò)側(cè)的檢測和沙箱已無法支撐上述系列威脅檢測。

在此背景下，基于系統(tǒng)底層數(shù)據(jù)，可做到對威脅準(zhǔn)確、快速、全面檢測、監(jiān)控和響應(yīng)的EDR(終端檢測與響應(yīng)系統(tǒng))是滿足當(dāng)下網(wǎng)絡(luò)安全市場的最佳選擇。

IEEE Fellow,浙江大學(xué)美國西北大學(xué)互聯(lián)網(wǎng)安全聯(lián)合實(shí)驗(yàn)室主任、杭州奇盾信息技術(shù)有限公司創(chuàng)始人陳焰認(rèn)為，EDR 像人體的免疫系統(tǒng)一樣，實(shí)時收集主機(jī)系統(tǒng)運(yùn)行的數(shù)據(jù)，利用惡意程序和正常程序產(chǎn)生的大量、底層內(nèi)核數(shù)據(jù)，使用機(jī)器學(xué)習(xí)方法找出惡意程序攻擊行為模式(IOA)。

“嚴(yán)守內(nèi)網(wǎng)防線，是APT攻擊防御的重要一環(huán)”

在各類高級別APT攻擊中，橫向滲透是進(jìn)入內(nèi)網(wǎng)環(huán)境后，利用漏洞武器等手段擴(kuò)大控制權(quán)、實(shí)現(xiàn)最終攻擊目標(biāo)的關(guān)鍵。對各政企事業(yè)單位來說，在這一過程中，及時發(fā)現(xiàn)和識別橫向滲透行為，確定攻擊范圍和影響，并對其進(jìn)行攔截和后續(xù)溯源，是應(yīng)對APT攻擊防御中的重要一環(huán)。

360公司PC安全衛(wèi)士事業(yè)部主動防御團(tuán)隊(duì)技術(shù)負(fù)責(zé)人何博，360企業(yè)安全高級安全攻防專家、360靈騰實(shí)驗(yàn)室成員馮作瞳基于多年攻防經(jīng)驗(yàn)，在“XDR威脅檢測”論壇上，分享了如何通過網(wǎng)絡(luò)側(cè)、終端側(cè)多維分析模型，利用網(wǎng)絡(luò)流量、終端日志、機(jī)器學(xué)習(xí)，以及結(jié)合現(xiàn)有安全基礎(chǔ)設(shè)施等手段，進(jìn)行APT高級威脅攻擊“企業(yè)內(nèi)網(wǎng)橫向滲透檢測和攔截實(shí)踐”。

‘

實(shí)戰(zhàn)是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)。在該套安全檢測方法論下，安全專家已累計(jì)處理169萬條真實(shí)攻擊數(shù)據(jù)，產(chǎn)出17.5萬條IOC，成功歸類171個家族、組織，在威脅之前準(zhǔn)確預(yù)警大量僵尸網(wǎng)絡(luò)、勒索病毒、漏洞攻擊，并追蹤溯源APT攻擊多達(dá)40余起。

數(shù)字孿生大廈起，網(wǎng)絡(luò)安全威脅至。隨著全球數(shù)字化轉(zhuǎn)型的加速，網(wǎng)絡(luò)空間已成為國與國對抗的核心戰(zhàn)場。而這其中，國家級APT攻擊正是大國網(wǎng)絡(luò)戰(zhàn)的重要體現(xiàn)，其攻擊目標(biāo)更是涉及政治、經(jīng)濟(jì)、情報(bào)等多個重要板塊。

而如何在這一戰(zhàn)場中，掐準(zhǔn)APT高階威脅對抗的“七寸”命脈，趕在攻擊來臨之前，扭轉(zhuǎn)對抗局面，守好數(shù)字孿生新陣地的安全防線，與危共存，履危而安，是值得當(dāng)下每個安全廠商深思的問題。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）