极盾·析策,XDR的正确打开方式
日期:2022年08月24日 阅:100
近日, Gartner正式发布了2022安全运营技术成熟度曲线(Hype Cycle),正如大家所预测的那样,XDR终于站上了Peak of Inflated Expectations的顶端,成为安全运营体系中最炙手可热的技术之一,具体如下图所示:
当XDR成功登顶,国内安全产业如何抓住这次机会?
以新兴网络安全公司极盾科技为例,从成立伊始,就围绕业务场景构建检测和响应能力,打造了国内首个实时自适应XDR平台——极盾·析策。帮助企业提升已有安全设备的自动化运营能力、打造“以数据为驱动”的安全运营闭环。
当然,这一切并非一蹴而就。潜力和挑战,一个硬币的两面。
7月28日,【网安新视界】第一季第三课开讲,极盾科技产品负责人李方方带来了独家分享。这一次,一起聊聊XDR的正确打开方式。
四大业务流程模块,打造安全运营闭环
极盾·析策秉承零信任的理念,实时分析持续检测。支持多种安全数据聚合,深入细分场景,聚焦检测分析,及时、精准、高效地感知安全事件。
那么,这一切是如何实现的?
极盾·析策的业务流程主要分成四个模块,分别是数据接入、数据处理、检测分析和安全响应,组合形成XDR(扩展威胁检测及响应)产品体系。
第一个模块是安全设备数据接入,比如EDR、CASB、NTA 、WAF等安全设备。支持内置和自定义各类安全数据“一键”接入,包括但不限于 Syslog、Http API、kafka、文件、IMAP等多协议渠道灵活接入。
安全设备数据接入之后,会进入数据处理模块。通过数据处理模块,快速实现数据结构化标准化,针对不同的安全设备的跨源数据也能实现归一化,以进行后续关联检测分析。基本上对于业内常见的安全产品,以及CEF、JSON、KV等各种日志格式,包括各种非标数据,都能做到数据的结构化处理。数据结构化归一化之后,就可以对这些处理过的数据进行数据挖掘和特征提取。
数据处理完之后,就可以进入检测分析模块。极盾·析策的检测分析模块采用互补的两种思路:以机器学习模型为主进行异常检测,识别未知威胁,从防守者角度检测异常事件;同时以专家经验的规则策略为主进行攻击检测,识别已知威胁,也就是从攻击者角度检测安全事件。为了保证检测分析的效果,还会对整个策略模型做全生命周期的管理,对策略模型效果持续监控,持续迭代优化,保证检测分析的效果。
检测分析完成之后,下一步就是响应模块。可以做事件的响应,可以通过工作流、可视化、自动化来帮助企业实现自动化响应,通过动态告警系统,进行及时地告警。
聚焦检测分析,力求每个环节都做到极致
这四个模块环环相扣,又相互促进,形成“以数据为驱动”的安全运营闭环,从而帮助企业构建坚韧的纵深安全防御体系。
值得一提的是,极盾·析策会更多的关注安全检测分析,力求检测分析的每一个环节都做到极致。那么,一个强大的安全检测分析体系是如何炼成的?
1、深度数据挖掘构建行为特征
极盾·析策支持丰富的体系化的分析维度,构建用户实体(用户、设备、应用、主机等)行为特征。有了行为特征之后,可以完善各种机器学习模型,梳理出更多专家策略规则,从而更进一步进行检测分析。
以上的实现,依托于“高吞吐、高可靠、低延时、可扩展”的指标计算平台,该平台能够通过实时配置、实时生效、实时计算等方式,快速实现行为特征的计算,构建丰富的立体的用户的行为特征,支撑后续的检测分析。
2、深入细分场景提升检测精度
行为特征提取完之后,就是要深入细分场景构建策略和模型,来提升检测精度。极盾·析策沉淀了大量场景模版,包括海量的策略规则、场景模型,帮助企业多场景快速适配。
一些细分场景个性化需求,也支持快速定制、快速上线。方法有二。
第一,规则策略可视化配置。通过可视化界面可以零基础配置复杂规则,实时配置,实时生效。实际上通过规则策略可视化配置,能够快速响应很多定制化需求。比如说,可以在分钟级别就完成新识别出来的行为模式的配置,并针对所有的同种行为模式风险,都能够快速拦截,快速阻断。
第二,模型一键部署上线。模型训练完成后也可以通过配置快速上线,不需要开发,有利于模型快速迭代优化,分钟级别就可以部署上线。那同时也会做模型的监控,比如说模型性能的监控,模型效果的监控,以此来保证模型的稳定运行。
3、持续迭代优化保证检测效果
前面提到,用深度的数据挖掘数据分析,构建用户行为特征;用深入细分场景构建策略和模型,提升检测精度。这个过程之外,还要持续迭代优化,保证检测效果。
首先会依托策略、模型全生命周期管理机制来持续优化检测效果。同时也提供自适应学习、自适应调优模块,来降低迭代调优成本,提升调优的效率。
坚持应用落地,让安全之力化为效能之力
很多时候,企业并不关心XDR的概念,也不关心XDR功能架构设计。关心的是如何从业务场景出发,构建经得起实践考验的细分场景应用。
极盾科技,从创立之初一直秉承着围绕业务场景构建检测和响应能力。因此,我们总结了以下XDR细分应用场景。
安全防护:告警降噪
极盾·析策聚合多个安全设备的告警数据和日志数据,在检测分析模块,进行归类、聚合和去重,通过诸如“是否只在单一设备发生,还是关联多个设备,过往是否持续被上报,是否在异常事件序列之中等”进一步分析告警可信度,减少无效告警,将成千上万的告警信息压缩至几十、上百条,大大降低安全运营工作量。
安全防护:单点设备增强
安全设备数据集成后,可以结合相应的安全场景进行分析,比如明确企业的网络拓扑结构,办公网和生产网检测场景各有侧重点;可以贴合客户业务特性进行分析,比如针对账号登陆、资源访问等,从时间、IP、部门等多维度构建行为特征。在极盾·析策检测分析模块,支持可视化灵活配置多维度指标特征和规则策略,实时配置实时生效。
安全防护:高级威胁挖掘
极盾·析策聚合多源(组织架构、审计日志等)多设备跨层数据,通过智能关联联想增强上下文,汇聚梳理时间线上的行为信息,识别异常行为序列,比如是否出现用户做了事件1、之后事件 2 、事件 3、相比于个体基线和群体基线,识别用户行为模式改变,进行更深层次的威胁分析,比如异常时间登陆、访问大量资源、超出常用范围等。析策通过专家规则+机器学习模型综合分析快速从海量告警中找出最严重、最该关注的高效优先级事件。
安全防护:重保HVV
数据安全:数据泄漏
综上,我们相信,在实战驱动的大背景下。XDR,作为安全防御的“重装护甲”,必将迎来大爆发。
杭州极盾数字科技有限公司成立于2020年5月,创始团队来自阿里、美团点评、同盾等国内顶尖的互联网和独角兽企业。目前极盾科技已接受由同盾控股投资的千万元天使基金。伴随着各行业数字转型的深入,数据的分析和处理能力已经成为新时代企业安全防护的基石。极盾数字科技有限公司致力于利用最先进的机器学习,实时计算,知识图谱等技术,将丰富安全运营经验与海量数据分析能力深度融合,帮助企业有效降低安全运营成本,快速提升智能安全决策能力。