XDR助力改善安全态势

攻防
2年前

wazuh.jpg

  通过创建系统安全策略或者利用合适的工具来帮助实现良好的安全态势是非常困难的。在大多数情况下,组织所使用的工具之间往往无法彼此集成,并且对这些工具的购买和维护成本也是一笔不小的开销。因此,许多组织都会选择另辟其径来寻找一个维持良好安全态势的方法。

  安全态势管理是安全领域的一个专业术语,描述是识别和消除组织中错误的安全配置以及安全风险。为了维持良好的安全态势,组织应至少完成以下几项工作:

  • 维护资产库存:资产库存是首要考虑的对象,它提供了一份关于哪些IT资产需要保护的全面清单,内容包括正在使用的硬件设备、应用程序以及相关的服务。
  • 执行漏洞评估:第二步需要做的是执行漏洞评估,旨在识别应用程序和服务中的缺陷。并且,了解漏洞的相关信息有助于对风险优先级的确定。
  • 确保系统配置的安全性:这包括对系统设置进行调整,为的是通过降低风险来提高系统的整体安全水平。诸如更改默认设置、识别和消除错误配置等操作有助于改善组织的安全态势。
  • 对所有资产进行监控以检测攻击:此外,组织还应该对所有的IT资产进行持续监控,从而对针对于基础设施的攻击进行检测。这可以通过监控网络、系统以及应用程序日志中的异常来实现。

XDR解决方案

  2018年,Palo Alto Networks首席技术官Nir Zuk首次提出了XDR(扩展检测和响应)的概念。XDR是一种基于SaaS的、绑定于特定供应商的安全威胁检测和事件响应工具,它将多个安全产品集成到一个统一了所有许可安全组件的内聚安全运营系统中。

  XDR解决方案会在组织想要监控的端点上部署代理。随后,代理会从被监视的端点中收集安全事件的数据,并将它们转发到XDR的服务器中,以进行日志分析、关联以及预警的发布。

  为了帮助改善组织的整体安全态势,XDR解决方案往往会划分为若干个不同功能的内置模块。以下是一些典型的XDR模块。

系统库存模块

  XDR的系统库存模块负责从安装有代理的受监控端点收集信息,包括以下类型:

  • 硬件和操作系统信息。
  • 已安装的应用程序和软件包。
  • 网络接口和开放的端口。
  • 可被攻击者利用的更新以及正在运行的程序。

wazuh-1.jpg

  此处获取的信息后续会用于漏洞和威胁的检测。例如,已安装程序包的版本信息可以用来对它的风险程度进行评估。

漏洞检测模块

  XDR的漏洞检测模块是用于检测受监视端点的操作系统和应用程序中可能存在的漏洞。XDR 服务器首先会从公开可用的CVE库中,构建一个全局漏洞数据库。其中的信息随后将会与端点库存中的数据进行交叉关联,从而进行漏洞检测。根据其危害的严重程度,检测到的漏洞通常会被赋予不同的风险等级。

wazuh-2.jpg

安全配置评估(SCA)

  XDR 的SCA模块负责对系统配置进行评估,并在配置不符合所规定的系统安全策略时发出预警。理想的XDR通常会有开箱即用的SCA策略,用于检查组织配置是否符合互联网安全中心(CIS)的基准。同时,用户也可以根据自己的需求,较为方便地对策略进行自定义,或对现有的策略进行拓展。

wazuh-3.jpg

  通过SCA模块,组织能够检查错误配置和合规性是否符合各种监管框架(PCI DSS、GDPR和NIST等)。对于那些需要严格监管的行业来说, SCA模块进行的合规性检查至关重要。

wazuh-4.jpg

威胁检测与响应

  通常,XDR代理会将安全事件数据转发到服务器中,以检测是否存在恶意软件和其他异常。除此之外,代理还会对其监视的端点进行定期的扫描,旨在检测是否存在rootkit恶意软件。

  然而,XDR的监控能力并不仅仅局限于 XDR代理。有些XDR产品还会为那些不支持代理程序安装的设备(路由器、防火墙和交换机等)提供无代理的监控服务。

  作为一个集多种安全组件于一体的平台,不同来源的安全事件数据都会被转发到XDR服务器中,以进行关联和预警的生成。

wazuh-5.jpg

  当检测到安全事件时,补救措施的采取是十分必要的。XDR能够利用其主动响应模块来实现补救措施的自动化实施。这可以帮助解决频繁的威胁响应难题。在一定程度上,减轻了分析人员的工作负载。例如,主动响应脚本可以阻拦试图进行SSH登录的IP地址。并且也可以创建自定义的主动响应脚本,以便在触发某些特定预警时执行。

  相对与传统的威胁检测与响应技术,XDR提供了更为全面的且具有更高效率的解决方案来帮助组织维持良好的安全态势。同时,它也进一步推动了安全运营流程的现代化、集成化以及自动化的发展进程。

  数世点评:XDR技术的核心功能在于跨越不同的IT架构,深度集成各种安全组件,对不同来源的安全数据和事件进行针对性的关联分析,进而实现风险检测与响应的自动化进行。它汇集了EDR、SIEM以及SOAR等安全技术的功能优势,具有一定的先进性,在一定程度上缓解了安全运营的“信息孤岛”问题,帮助组织在大量的预警中找出有效的部分。然而理想的XDR技术目前依然处于概念阶段,在落地过程中也暴露出许多新问题,如何使其完美落地是当前仍需面对的挑战。


相关阅读
XDR只是炒作吗
XDR注定会失败吗?
超越XDR?安全观察、优先级与验证(SOPV)