首页 > 其他分享 >XDR(eXtended Detection and Response,扩展的安全检测及响应)

XDR(eXtended Detection and Response,扩展的安全检测及响应)

时间:2024-03-04 10:47:23浏览次数:23  
标签:eXtended 遥测 响应 能力 Detection 安全 XDR MDR

一、什么是XDR

首先从EDR(Endpoint Detection&Response)说起,即端点安全检测及响应;还有NDR(Network Detection & Response),即网络安全检测及响应(类似NTA,不再赘述);以及MDR(Managed Detection and Response),即管理安全检测及响应,也就是安全运维服务。

于是,什么是XDR?就是将这些各种各样的DR综合起来,叫作XDR(eXtended Detection and Response,扩展的安全检测及响应),如下图所示。

如果将XDR体系分层,大致可以分为三层,即

  • 遥测探针层(包括EDR、NDR、系统日志DR、蜜罐DR等)
  • 计算平台层(安全能力中台)
  • 运维服务层

由这三层组成的XDR安全运营体系,可以有效提升企业的网络入侵风险防控能力。

 

二、 XDR安全运营体系

企业防入侵能力=MDR攻击面分析+XDR威胁检测能力+MDR实时遥测分析

企业在选购XDR解决方案时,乙方安全厂商往往会讲得天花乱坠。我们只要记住上面这个公式,然后围绕这个公式来评估安全厂商提供的核心能力,即两项MDR服务能力和一项XDR产品能力。

0x1:MDR攻击面分析

我们在做企业安全解决方案时,总是试图将威胁挡在事件发生之前,即梳理资产和盘点可能存在的风险点,也就是全面的攻击面分析。因此,在花大价钱购买XDR解决方案时,一定不要漏掉“MDR攻击面分析”定期服务,最好能够包括以下几个方面:

  • 1)基于终端安全产品(EDR等)的资产发现及漏洞扫描、基线扫描服务。不仅要把风险告警出来,还需要分析这些风险的危害等级(是否可以远程入侵、信息越权访问等)和暴露面(公网暴露、内网暴露、只是存在组件漏洞但未开启服务等)。对于危害较高且暴露在公网或内网的风险,应推动甲方及时修复。
  • 2)基于流量安全产品(NDR等)的资产发现及流量全景统计分析。识别并排除网络中的恶意流量,并建立流量基线。
  • 3)漏洞扫描服务。通过漏扫发现的风险,已经证明其真实存在,需要第一时间修复。
  • 4)基于终端安全产品(EDR等)和流量安全产品(NDR等)的网络端口收敛服务。通过EDR和NDR遥测到的全网终端网络端口活跃情况,对高危端口的使用情况进行分析、收敛、封禁、动态管理等。
  • 5)暴露信息收集服务。对应技战术中的“侦查发现”步骤,模拟攻击者从互联网收集暴露在外的信息,这些信息可能成为攻击者的突破口,因此,可以针对暴露在互联网的设备、服务、API、人进行重点布防。

0x2:XDR威胁检测能力

威胁检测能力是XDR产品比拼的焦点能力,也是MITRE ATT&CK的评测重点。检测能力包括两项核心能力:

  • 可见
  • 告警

攻击步骤可见是XDR安全运营体系的底座,如果可见能力不行,那么无论投入多少人力,都不能有效解决安全问题。威胁告警是XDR运营体系的保障,如果告警能力不行,则会产生大量的遥测行为日志需要人工分析,从经验来看,产生的任务量必定会对分析人员形成“DDoS攻击”。

因此,XDR产品需要具备全面的遥测能力、可解释的检测能力、准确的调查能力、可靠的响应能力。

  • 1)全面的遥测能力。从安全设备来看,XDR产品体系应包括办公终端安全产品、主机安全产品、网络流量安全产品、蜜罐等。尤其是办公终端安全产品,需要具备完善的行为遥测能力,按个人经验评估,覆盖ATT&CK中70%的技术实例,攻击者将很难悄无声息地潜入和逃脱。就好比一个房子,从院子到门口、再到客厅、厨房、书房、卧室,都部署了满满的红外线探头,当对空间的覆盖达到70%时,该防线就很难被突破了。那么,为什么不是100%?考虑到开发的实现难度,有一些技术点是无法实现的,或者会较大地影响系统性能。
  • 2)可解释的检测能力。极端情况下,某安全产品把所有遥测行为都告警出来,那是令人崩溃的,告警太多和没有告警没什么区别,因为这些告警没人能够处理完,也没有人敢直接拦截。所以,产品告警一定需要有可解释性,比如,“某家族的勒索病毒正在操作某文件”,而不是“某进程正在操作某文件”。前者是可以指导处置的,如果足够自信,甚至可以调用自动响应流程进行自动拦截和修复操作。
  • 3)准确的调查能力。目前,调查能力的实现方式主要有两种:一种是基于时间线的关联行为调查模型;另一种是基于进程行为链和关系链的调查模型。前者称为“时序调查”,理论基础是攻击行为一般发生在相近的时间,结合行为的可解释性,可以取得不错的调查效果,但毕竟带有“猜测”成分,会掺杂一些“意外”行为,所以用于辅助人工调查比较实用,但指导自动响应是万万不能的。后者称为“因果调查”,即通过行为关系把行为路径刻画得清清楚楚,这种调查方式准确度高,但要求遥测行为数据足够丰富和完善,因此要实现全流程的自动化事件响应和处置,必须基于“因果调查”。
  • 4)可靠的响应能力。XDR自动响应和处置威胁事件,一方面要尽可能全面地清除恶意程序,另一方面要保障系统不会因为处置动作而发生异常。即便“因果调查”的结果完全准确,但如果有一个恶意操作是将恶意代码注入服务进程或写入系统文件,XDR的处置操作是结束该服务进程或者删除该系统文件,则可能导致业务终端或发生系统异常。XDR产品应该具备判断此类场景的能力。
  • 0x3:MDR实时遥测分析

实时遥测分析是另一项重要的MDR服务,是XDR安全运营体系的保底策略。它有两个前提条件:

  • 一是XDR产品应具备全面的遥测能力,即尽可能在攻击的某些阶段对一个或多个攻击步骤“行为可见”
  • 二是XDR产品的检测能力足够优秀且具备可解释性,即能够对大部分攻击行为进行识别,比如能够识别攻击源头、能够判断是否攻击成功、能够通过自动响应能力准确封禁大部分网络探测等

在满足这两个条件的情况下,一方面基本不会漏过可疑的攻击行为,另一方面待分析的“未知”遥测行为得到了初步收敛。

那么,为了进一步减轻实时遥测分析的工作压力,可以基于遥测数据建立行为基线,结合大数据分析技术,进一步收敛待分析的“异常”行为,比如可以使用组合计分模型,把一组遥测行为通过“时序调查”或“因果调查”组合成一个事件,然后对这个“未知事件”的每一个遥测行为进行投票计分,当得分大于阈值时,则认为是异常的,才需要进行人工排查分析。

综上所述,XDR安全运营体系期望通过“MDR攻击面分析”提前挡住大部分的网络攻击,通过“XDR威胁检测能力”精准阻击强行突破进来的“坏人”,通过“MDR实时遥测分析”人工排查触碰了红外探头的“伪装者”。

 

标签:eXtended,遥测,响应,能力,Detection,安全,XDR,MDR
From: https://www.cnblogs.com/LittleHann/p/18050905

相关文章

  • MMFN论文阅读笔记(Multi-modal Fake News Detection on Social Media via Multi-graine
    论文标题:Multi-modalFakeNewsDetectiononSocialMediaviaMulti-grainedInformationFusion论文作者:YangmingZhou,YuzhouYang,QichaoYing,ZhenxingQian,XinpengZhang论文来源:ICMR2023,paper论文代码:暂无介绍目前的多模态方法主要集中在文本和视觉特征的融......
  • 李宏毅《机器学习》总结 - 2022 HW8(Anomaly Detection、ResNet) Strong Baseline
    重新学习了一下ResNet。。这作业平均一跑就是3、4个小时题目大意是让你做异常检测(anomalydetection),即给你一些正常的图片,再让你测试图片是正常的还是异常的(可以理解为2分类问题,只不过其中一个类别是无限大的)代码:https://www.kaggle.com/code/skyrainwind/hw8-anomaly-detec......
  • BEV-IO: Enhancing Bird's-Eye-View 3D Detection with Instance Occupancy
    通过显式和隐式的Occupancy预测来做3D检测,用Occupancy弥补了深度图的局限性。设计了3D几何分支和特征传播分支,预测depth-occupancy权重来实现3D检测,由于点级Occupancy的构建依赖于bbox,使整个感知模型与检测任务强相关。Abstract传构建BEV表示的方法是基于显式预测的深度分布,将2D......
  • 全流程机器视觉工程开发(四)PaddleDetection C++工程化应用部署到本地DLL以供软件调用
    前言我们之前跑了一个yolo的模型,然后我们通过PaddleDetection的库对这个模型进行了一定程度的调用,但是那个调用还是基于命令的调用,这样的库首先第一个不能部署到客户的电脑上,第二个用起来也非常不方便,那么我们可不可以直接将Paddle的库直接做成一个DLL部署到我们的软件上呢?答案是......
  • Jenkins插件Extended Choice Parameter
    1.安装ExtendedChoiceParameter插件 2.参数化构建过程中添加ExtendedChoiceParameteMulti-LevelSingleSelect多级单选:用户从下拉列表中选择一个选项,然后出现另一个下拉列表,其中的选项取决于第一个值,在第二次选择时,可能会出现第三个下拉列表,具体取决于前两个选择,依此类推......
  • [Typescript] Resolving the Block-scoped Variable Error in TypeScript (moduleDete
    constNAME="Matt";TypeScriptistellinguswecan'tredeclarethe name variablebecauseithasalreadybeendeclaredinsideof lib.dom.d.ts.The index.ts fileisbeingdetectedasaglobalscriptratherthanamodule.Thisisbecause,by......
  • tar 解压文件时提示 Ignoring unknown extended header keyword
    在Linux上使用tar解压文件时出现下列提示:tar:Ignoringunknownextendedheaderkeyword'LIBARCHIVE.xattr.com.apple.quarantine'tar:Ignoringunknownextendedheaderkeyword'LIBARCHIVE.xattr.com.apple.provenance'tar:Ignoringunknownextendedhea......
  • 全流程机器视觉工程开发(一)环境准备,paddledetection和labelme
    前言我现在在准备做一个全流程的机器视觉的工程,之前做了很多理论相关的工作。大概理解了机器视觉的原理,然后大概了解了一下,我发现现在的库其实已经很发展了,完全不需要用到非常多的理论,只需要知道开发过程就可以了,甚至paddlex已经直接有了傻瓜式模型训练的软件,所以我现在准备来做......
  • 全流程机器视觉工程开发(二)PaddleDetection:拉框,然后开始训练模型
    前言我现在在准备做一个全流程的机器视觉的工程,之前做了很多理论相关的工作。大概理解了机器视觉的原理,然后大概了解了一下,我发现现在的库其实已经很发展了,完全不需要用到非常多的理论,只需要知道开发过程就可以了,甚至paddlex已经直接有了傻瓜式模型训练的软件,所以我现在准备来做......
  • [论文阅读] Anomaly detection with domain adaptation
    Anomalydetectionwithdomainadaptation3.MethodologyProblemStatement我们研究了在领域适应设置中的半监督异常检测问题。在训练阶段,学习算法可以访问\(n\)个数据点\(\left\{\left(\boldsymbol{x}_{src}^{(i)},y_{src}^{(i)}\right)\right\}_{i=1}^n\in(X\time......