XDR正在成为威胁检测的演进方向
日期:2021年11月17日 阅:108
Gartner分析师Mark Harris日前表示,网络攻击者已经将攻击重点转移到实现其目标上——从专注于感染文件到感染系统,再到感染整个企业。作为网络安全防御者,及企业安全专业人士,需相应地改进检测方法,从跟踪文件和哈希值并依靠签名来阻止早期威胁,转向跟踪其他指标以防止更复杂的攻击。
现在,攻击者正在渗透企业组织并横向移动以完成其任务。无论是通过暗中侦察发动攻击,还是锁定端点和服务器以索取赎金,亦或是将一个企业作为进入另一个企业的入口点展开攻击,无不显示出网络攻击者的这一趋势特点。因此,我们必须持续改进检测方法,并意识到其不再只是找到触发攻击的一个控制点或系统,而是涉及整个企业的多个点。企业安全团队需要能够将这些点联系起来,检测来自不同系统和来源的信息,将数据和操作整合到一个视图中,这样就可以较全面地了解企业组织面临的威胁并知道如何防御。
作为在企业全局启用检测和响应的一种新模式,扩展检测和响应(XDR)已经引起了企业安全团队的极大兴趣。XDR的扩展检测目标是将来自内部和外部的不同来源数据结合起来,并将来自各个系统的原子事件连接到单个事件中。正如咨询公司Frost & Sullivan指出的那样,“由于企业组织通常遵循同类最佳的原则,因此集成对于实现XDR愿景来说确实必不可少。” 企业组织的所有系统和来源必须能够协同工作,从正确的工具中提取正确的数据来验证检测,并最终做出有效响应。
这听起来很简单,但实际上是企业组织安全检测能力的巨大转变。就其本身而言,来自企业组织所有内部数据源的事件,包括企业SIEM系统、日志管理存储库、案例管理系统和安全基础设施、内部和云端系统等表面看似乎都是独立的。但是,如果企业安全团队可以汇总这些数据,并使用多个来源(商业、开源、政府、行业和现有安全供应商)的威胁数据自动对其进行扩充和丰富,就会看到完全不同的图景。
当所有这些数据相互关联并显示在一个屏幕上,并将不同系统看似孤立的事件聚集在一起,共同完成攻击事件拼图时,安全团队就可以识别整个企业的关系并检测恶意活动。这种企业全局范围内的检测活动,自然会推动企业安全团队深入了解并触发进一步调查。因此,我们对检测的现代定义,还必须包括在该共享视图中将相关数据与内部资源(例如受影响用户身份)关联起来的能力。例如,如果网络犯罪分子的攻击目标包括财务部门、人力资源或最高管理层,这可能表明企业组织存在更严重的威胁。
一些外部工具,例如MITRE ATT&CK等框架以及用于DNS查找、URL和恶意软件分析的第三方工具,会显示事件中的数据点是否具有共同指标。利用这些工具,安全团队可以了解企业组织是否面临更大规模的攻击活动,以及需要寻找哪些指标、策略和技术。通过内外部数据聚合、相关性调查等,不断更新对检测的定义,以涵盖更广度和更深入的理解,为企业安全团队提供所需信息,以便其更快地执行安全措施,就是我们持续改进检测方法的意义所在,这反过来又会影响我们对响应的定义。