ISC 2020 XDR分析檢測論壇:打破檢測孤島,看XDR如何應(yīng)對數(shù)字時代新威脅

數(shù)字孿生浪潮奔涌而至,“一切皆可編程、萬物均要互聯(lián)、大數(shù)據(jù)驅(qū)動業(yè)務(wù)、軟件定義一切”成為新數(shù)字的時代標(biāo)簽。以數(shù)字為主體的互聯(lián)網(wǎng)邊界得到實(shí)質(zhì)性地延申與拓展,與此同時,網(wǎng)絡(luò)空間的攻防對抗態(tài)勢也逐步升級。

尤其隨著國家級網(wǎng)絡(luò)部隊這一“大玩家”入局,網(wǎng)絡(luò)主權(quán)、網(wǎng)絡(luò)邊疆、網(wǎng)絡(luò)國防等新概念更是噴薄而出。如何在層層加碼的高級別網(wǎng)絡(luò)威脅之下,鍛造嚴(yán)守網(wǎng)絡(luò)空間安全防線的新質(zhì)國防力,成為全球各國亟待書寫的安全答卷。

風(fēng)起云涌之中,2020年8月13日,ISC 2020“XDR分析檢測”論壇重磅上線,聚焦數(shù)字孿生時代下的高級威脅檢測,立足全球網(wǎng)絡(luò)安全產(chǎn)業(yè)升級戰(zhàn)略視野,探索新數(shù)字浪潮下的網(wǎng)絡(luò)安全防御應(yīng)對之策。

蘋果資本合作人、全國信息網(wǎng)絡(luò)安全協(xié)會專家委員、中關(guān)村天使投資理事胡洪濤,安天集團(tuán)威脅情報部總監(jiān)沈長偉,IEEE Fellow、浙江大學(xué)美國西北大學(xué)互聯(lián)網(wǎng)安全聯(lián)合實(shí)驗(yàn)室主任、杭州奇盾信息技術(shù)有限公司創(chuàng)始人陳焰,360公司PC安全產(chǎn)品事業(yè)部主動防御團(tuán)隊技術(shù)負(fù)責(zé)人何博,360企業(yè)安全高級安全攻防專家、360靈騰實(shí)驗(yàn)室成員馮作瞳等一眾安全大咖,在本次論壇上圍繞“從投資角度看XDR產(chǎn)品演進(jìn)”、“威脅檢測引擎—最強(qiáng)勁的威脅情報發(fā)動機(jī)”、“基于實(shí)時系統(tǒng)級攻擊溯源的高級威脅檢測”、“企業(yè)內(nèi)網(wǎng)橫向滲透檢測和攔截實(shí)踐”等主題,展開了戰(zhàn)略級的巔峰對話。

“網(wǎng)絡(luò)安全產(chǎn)業(yè)正進(jìn)入指數(shù)型增長初級階段”

蘋果資本合作人、全國信息網(wǎng)絡(luò)安全協(xié)會專家委員,中關(guān)村天使投資理事胡洪濤在演講中,從投資的角度,歷數(shù)端點(diǎn)安全檢測產(chǎn)品的演進(jìn)與XDR安全產(chǎn)品的未來發(fā)展。

ISC 2020 XDR分析檢測論壇:打破檢測孤島,看XDR如何應(yīng)對數(shù)字時代新威脅

他指出,隨著世界從信息化到數(shù)字化的演進(jìn),企業(yè)面臨著前所未有的網(wǎng)絡(luò)安全風(fēng)險。安全廠商們不斷“推陳出新”,渴望通過新思路、新技術(shù)的應(yīng)用,幫助企業(yè)抵御一切網(wǎng)絡(luò)安全風(fēng)險。

Windows+PC的傳統(tǒng)互聯(lián)網(wǎng)時代,EPP(端點(diǎn)保護(hù)平臺)是政企事業(yè)單位安全防御的主力軍。EPP集殺毒、釣魚&間諜軟件防護(hù)、HIDS、未經(jīng)授權(quán)訪問、數(shù)據(jù)安全防護(hù)等多種組合安全解決方案于一身,立足“網(wǎng)絡(luò)威脅防御”理念,以單機(jī)工作模式,在病毒進(jìn)入保護(hù)范圍的第一時間攔截攻擊。

移動互聯(lián)網(wǎng)時代,網(wǎng)絡(luò)安全產(chǎn)業(yè)漸成體系。不同于EPP的防御機(jī)制, EDR智能端點(diǎn)響應(yīng)平臺則聚焦網(wǎng)網(wǎng)絡(luò)威脅監(jiān)測,旨在為政企客戶提供智能關(guān)聯(lián)分析、威脅溯源、自動化響應(yīng)解決方案。

而當(dāng)時間軸移至當(dāng)前的萬物互聯(lián)新時代,以數(shù)據(jù)采集監(jiān)控和事件關(guān)聯(lián)分析為核心的智能安全檢測體系XDR應(yīng)勢而生,融合多端點(diǎn)、網(wǎng)絡(luò)、服務(wù)器、應(yīng)用等海量數(shù)據(jù)源,恰到好處地接壤大安全陸地。

從Windows+PC時代下的EPP,到移動互聯(lián)網(wǎng)時代下的EDR,再到如今智能化萬物互聯(lián)浪潮中的XDR,安全產(chǎn)品發(fā)展的每一步都踏準(zhǔn)了時代節(jié)拍。而其清晰發(fā)展脈絡(luò)背后,是網(wǎng)絡(luò)安全產(chǎn)業(yè)逐步升級的最好見證。胡洪濤認(rèn)為,未來,網(wǎng)絡(luò)安全產(chǎn)業(yè)或?qū)⑦M(jìn)入指數(shù)級增長。

“威脅檢測引擎——最強(qiáng)勁的威脅情報發(fā)動機(jī)

就像汽車的發(fā)動機(jī)是汽車的核心動力來源一樣,威脅檢測引擎也是威脅檢測產(chǎn)品核心鑒定能力的提供者。安天集團(tuán)威脅情報部總監(jiān)沈長偉在演講中如是說。

他指出,通常情況下,威脅檢測引擎會基于覆蓋百億樣本的海量規(guī)則,以完整的預(yù)處理、深度解析、豐富的檢測方式,進(jìn)行動態(tài)化載荷威脅檢測。盡管其規(guī)則魯棒性較強(qiáng),但卻并未實(shí)現(xiàn)成體系的知識化輸出。

而威脅情報則是某種基于證據(jù)的知識。通過IOC規(guī)則來為高級威脅對抗提供更好的指向性,是當(dāng)前威脅情報的常態(tài)化應(yīng)用,但對超高能力且時刻變幻的網(wǎng)絡(luò)空間威脅活動,諸如國家級網(wǎng)絡(luò)攻擊,IOC規(guī)則幾乎無效。

面對這一局面,沈長偉認(rèn)為,威脅檢測引擎可通過開放情報承載能力,開放威脅情報輸入、輸出,在多種防御場景下,實(shí)現(xiàn)對高級威脅的發(fā)現(xiàn)、阻斷與揭示,并以此生產(chǎn)抗變性的威脅情報,構(gòu)建面向高級威脅的檢測能力閉環(huán)。

ISC 2020 XDR分析檢測論壇:打破檢測孤島,看XDR如何應(yīng)對數(shù)字時代新威脅

“傳統(tǒng)安全產(chǎn)品已無法有效防御高級持續(xù)威脅(APT)攻擊”

近年來,高級持續(xù)威脅(APT)攻擊愈演愈烈。通常,這類高級別黑客組織會利用遠(yuǎn)控RAT木馬,配合社會工程學(xué)手段入侵目標(biāo)系統(tǒng)并長期駐扎,進(jìn)而通過鍵盤紀(jì)錄、截圖、錄音等RAT木馬功能持續(xù)偵察,以進(jìn)行大規(guī)模情報竊取等惡意行為。

在這一過程中對APT攻擊進(jìn)行細(xì)粒度動態(tài)行為識別,態(tài)勢感知、溯源分析是應(yīng)對此類高級別網(wǎng)絡(luò)攻擊的重要手段。而傳統(tǒng)安全產(chǎn)品如反病毒,網(wǎng)絡(luò)側(cè)的檢測和沙箱已無法支撐上述系列威脅檢測。

在此背景下,基于系統(tǒng)底層數(shù)據(jù),可做到對威脅準(zhǔn)確、快速、全面檢測、監(jiān)控和響應(yīng)的EDR(終端檢測與響應(yīng)系統(tǒng))是滿足當(dāng)下網(wǎng)絡(luò)安全市場的最佳選擇。

IEEE Fellow,浙江大學(xué)美國西北大學(xué)互聯(lián)網(wǎng)安全聯(lián)合實(shí)驗(yàn)室主任、杭州奇盾信息技術(shù)有限公司創(chuàng)始人陳焰認(rèn)為,EDR 像人體的免疫系統(tǒng)一樣,實(shí)時收集主機(jī)系統(tǒng)運(yùn)行的數(shù)據(jù),利用惡意程序和正常程序產(chǎn)生的大量、底層內(nèi)核數(shù)據(jù),使用機(jī)器學(xué)習(xí)方法找出惡意程序攻擊行為模式(IOA)。

ISC 2020 XDR分析檢測論壇:打破檢測孤島,看XDR如何應(yīng)對數(shù)字時代新威脅

“嚴(yán)守內(nèi)網(wǎng)防線,是APT攻擊防御的重要一環(huán)”

在各類高級別APT攻擊中,橫向滲透是進(jìn)入內(nèi)網(wǎng)環(huán)境后,利用漏洞武器等手段擴(kuò)大控制權(quán)、實(shí)現(xiàn)最終攻擊目標(biāo)的關(guān)鍵。對各政企事業(yè)單位來說,在這一過程中,及時發(fā)現(xiàn)和識別橫向滲透行為,確定攻擊范圍和影響,并對其進(jìn)行攔截和后續(xù)溯源,是應(yīng)對APT攻擊防御中的重要一環(huán)。

ISC 2020 XDR分析檢測論壇:打破檢測孤島,看XDR如何應(yīng)對數(shù)字時代新威脅

360公司PC安全衛(wèi)士事業(yè)部主動防御團(tuán)隊技術(shù)負(fù)責(zé)人何博,360企業(yè)安全高級安全攻防專家、360靈騰實(shí)驗(yàn)室成員馮作瞳基于多年攻防經(jīng)驗(yàn),在“XDR威脅檢測”論壇上,分享了如何通過網(wǎng)絡(luò)側(cè)、終端側(cè)多維分析模型,利用網(wǎng)絡(luò)流量、終端日志、機(jī)器學(xué)習(xí),以及結(jié)合現(xiàn)有安全基礎(chǔ)設(shè)施等手段,進(jìn)行APT高級威脅攻擊“企業(yè)內(nèi)網(wǎng)橫向滲透檢測和攔截實(shí)踐”。

ISC 2020 XDR分析檢測論壇:打破檢測孤島,看XDR如何應(yīng)對數(shù)字時代新威脅

實(shí)戰(zhàn)是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)。在該套安全檢測方法論下,安全專家已累計處理169萬條真實(shí)攻擊數(shù)據(jù),產(chǎn)出17.5萬條IOC,成功歸類171個家族、組織,在威脅之前準(zhǔn)確預(yù)警大量僵尸網(wǎng)絡(luò)、勒索病毒、漏洞攻擊,并追蹤溯源APT攻擊多達(dá)40余起。

數(shù)字孿生大廈起,網(wǎng)絡(luò)安全威脅至。隨著全球數(shù)字化轉(zhuǎn)型的加速,網(wǎng)絡(luò)空間已成為國與國對抗的核心戰(zhàn)場。而這其中,國家級APT攻擊正是大國網(wǎng)絡(luò)戰(zhàn)的重要體現(xiàn),其攻擊目標(biāo)更是涉及政治、經(jīng)濟(jì)、情報等多個重要板塊。

而如何在這一戰(zhàn)場中,掐準(zhǔn)APT高階威脅對抗的“七寸”命脈,趕在攻擊來臨之前,扭轉(zhuǎn)對抗局面,守好數(shù)字孿生新陣地的安全防線,與危共存,履危而安,是值得當(dāng)下每個安全廠商深思的問題。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )