XDR助力改善安全態勢
通過創建系統安全策略或者利用合適的工具來幫助實現良好的安全態勢是非常困難的。在大多數情況下,組織所使用的工具之間往往無法彼此集成,并且對這些工具的購買和維護成本也是一筆不小的開銷。因此,許多組織都會選擇另辟其徑來尋找一個維持良好安全態勢的方法。
安全態勢管理是安全領域的一個專業術語,描述是識別和消除組織中錯誤的安全配置以及安全風險。為了維持良好的安全態勢,組織應至少完成以下幾項工作:
? 維護資產庫存:資產庫存是首要考慮的對象,它提供了一份關于哪些IT資產需要保護的全面清單,內容包括正在使用的硬件設備、應用程序以及相關的服務。
? 執行漏洞評估:第二步需要做的是執行漏洞評估,旨在識別應用程序和服務中的缺陷。并且,了解漏洞的相關信息有助于對風險優先級的確定。
? 確保系統配置的安全性:這包括對系統設置進行調整,為的是通過降低風險來提高系統的整體安全水平。諸如更改默認設置、識別和消除錯誤配置等操作有助于改善組織的安全態勢。
? 對所有資產進行監控以檢測攻擊:此外,組織還應該對所有的IT資產進行持續監控,從而對針對于基礎設施的攻擊進行檢測。這可以通過監控網絡、系統以及應用程序日志中的異常來實現。
XDR解決方案
2018年,Palo Alto Networks首席技術官Nir Zuk首次提出了XDR(擴展檢測和響應)的概念。XDR是一種基于SaaS的、綁定于特定供應商的安全威脅檢測和事件響應工具,它將多個安全產品集成到一個統一了所有許可安全組件的內聚安全運營系統中。
XDR解決方案會在組織想要監控的端點上部署代理。隨后,代理會從被監視的端點中收集安全事件的數據,并將它們轉發到XDR的服務器中,以進行日志分析、關聯以及預警的發布。
為了幫助改善組織的整體安全態勢,XDR解決方案往往會劃分為若干個不同功能的內置模塊。以下是一些典型的XDR模塊。
系統庫存模塊
XDR的系統庫存模塊負責從安裝有代理的受監控端點收集信息,包括以下類型:
? 硬件和操作系統信息。
? 已安裝的應用程序和軟件包。
? 網絡接口和開放的端口。
? 可被攻擊者利用的更新以及正在運行的程序。
此處獲取的信息后續會用于漏洞和威脅的檢測。例如,已安裝程序包的版本信息可以用來對它的風險程度進行評估。
漏洞檢測模塊
XDR的漏洞檢測模塊是用于檢測受監視端點的操作系統和應用程序中可能存在的漏洞。XDR 服務器首先會從公開可用的CVE庫中,構建一個全局漏洞數據庫。其中的信息隨后將會與端點庫存中的數據進行交叉關聯,從而進行漏洞檢測。根據其危害的嚴重程度,檢測到的漏洞通常會被賦予不同的風險等級。
安全配置評估(SCA)
XDR 的SCA模塊負責對系統配置進行評估,并在配置不符合所規定的系統安全策略時發出預警。理想的XDR通常會有開箱即用的SCA策略,用于檢查組織配置是否符合互聯網安全中心(CIS)的基準。同時,用戶也可以根據自己的需求,較為方便地對策略進行自定義,或對現有的策略進行拓展。
通過SCA模塊,組織能夠檢查錯誤配置和合規性是否符合各種監管框架(PCI DSS、GDPR和NIST等)。對于那些需要嚴格監管的行業來說, SCA模塊進行的合規性檢查至關重要。
威脅檢測與響應
通常,XDR代理會將安全事件數據轉發到服務器中,以檢測是否存在惡意軟件和其他異常。除此之外,代理還會對其監視的端點進行定期的掃描,旨在檢測是否存在rootkit惡意軟件。
然而,XDR的監控能力并不僅僅局限于 XDR代理。有些XDR產品還會為那些不支持代理程序安裝的設備(路由器、防火墻和交換機等)提供無代理的監控服務。
作為一個集多種安全組件于一體的平臺,不同來源的安全事件數據都會被轉發到XDR服務器中,以進行關聯和預警的生成。
當檢測到安全事件時,補救措施的采取是十分必要的。XDR能夠利用其主動響應模塊來實現補救措施的自動化實施。這可以幫助解決頻繁的威脅響應難題。在一定程度上,減輕了分析人員的工作負載。例如,主動響應腳本可以阻攔試圖進行SSH登錄的IP地址。并且也可以創建自定義的主動響應腳本,以便在觸發某些特定預警時執行。
相對與傳統的威脅檢測與響應技術,XDR提供了更為全面的且具有更高效率的解決方案來幫助組織維持良好的安全態勢。同時,它也進一步推動了安全運營流程的現代化、集成化以及自動化的發展進程。
數世點評:XDR技術的核心功能在于跨越不同的IT架構,深度集成各種安全組件,對不同來源的安全數據和事件進行針對性的關聯分析,進而實現風險檢測與響應的自動化進行。它匯集了EDR、SIEM以及SOAR等安全技術的功能優勢,具有一定的先進性,在一定程度上緩解了安全運營的“信息孤島”問題,幫助組織在大量的預警中找出有效的部分。然而理想的XDR技術目前依然處于概念階段,在落地過程中也暴露出許多新問題,如何使其完美落地是當前仍需面對的挑戰。
來源:數世咨詢
