C114讯 12月7日消息(水易)十年前,高级持续性威胁(APT攻击)作为一种高度专业化、组织化,擅长隐匿行踪的攻击方式,已初步展现了其对企业数据与业务的重大威胁,通过十年不断的演化发展,APT已经成为较具攻击性、隐蔽性、破坏性的网络威胁。
“十年,高级威胁的演化,伴随着亚信安全一直以来对于威胁的不断演进来进行延伸对应的解决方案。”亚信安全产品总监白日表示,“在帮助组织、公众和自身不断提升APT治理能力的高级威胁治理1.0战略过程中,亚信安全逐步形成了“螺旋迭代”的高级威胁治理2.0战略。目前亚信安全从安全运营的角度出发,提出基于SOAR模型的精密编排的自动化检测及响应-XDR体系,这也是下一代威胁治理战略3.0的雏形。”
从螺旋迭代的威胁治理2.0战略到SOAR
据白日介绍,亚信安全的高级威胁治理战略2.0方法论模型包括一个中心四个过程,即以监控为中心,以侦测、分析、响应、预防为治理过程。通过侦测来检测攻击者所使用的,传统防御无法识别的恶意对象、通讯及行为等威胁;再通过分析威胁,来确认威胁是否发生,判断攻击的攻击者本质,回溯攻击场景,评估威胁的影响和范围;发现后及时响应,制定治理策略,执行补救措施清除威胁、实施联动保护,适应防护变化的要求;较后是预防,通过数据发掘、加密、防泄漏、应用控制、APT追踪等技术,防止信息资产被非法访问或外泄。
另外,在战略2.0中还提出了两大支撑体系:一是本地和云端威胁情报双回路体系,二是全面的威胁联动治理体系。此次发布的战略3.0正是在此基础上,针对检测、分析和响应这三个过程的安全运营所提出的第三个体系,即精密编排的自动化检测及响应-XDR体系。
白日表示,面对APT的不断演进,亚信安全提出了通过SOAR体系精密编排能力,利用精密编排的联动安全解决方案将安全产品以及用户的安全运营流程连接和整合起来,通过一整套专家模型及自动化事件响应脚本,将用户的海量SOC告警按照编排好的步骤和流程逐一分析并响应。
在白日看来,SOAR拥有众多优势,包括缩短应急处置安全事故的时间;减少和优化传统SOC中不必要和冗余的工作;安全产品整合的API加速了自动化;安全数据的丰富性服务:威胁情报平台TIP;提高告警分析的质量和侦测发现能力;提高工作精准度,安全运维流程的文档化以及证据的管理;减少培训新安全运维分析人员的代价;整体提高衡量和管理安全运维的能力。
对此,亚信安全通过一套联动的产品方案全面覆盖了SOAR体系。通过部署在云管端的相关产品发现可疑威胁日志,再通过派单将所有威胁告警进行提交。首先进行威胁分类,其次进行定性分析,判断威胁的真实性。再通过定量分析,回溯攻击场景、评估威胁的严重性、影响和范围。较后通过自动化下发并执行相应的响应策略来做阻断。
XDR落地,增强威胁治理响应能力
据介绍,安全运营包括阻断、发现、响应和预测四个发展阶段。白日表示,目前阻断和发现的技术成熟度较高,但从发现到响应和预测方面,用户存在较大的能力鸿沟。
白日称,从发现到响应能力的鸿沟主要包括,、告警受理,需要对威胁进行分类和优先级划分;第二、定性分析,判断威胁的真实性、确认威胁的本质和攻击者的意图;第三、定量分析,回溯攻击场景、评估威胁的严重性、影响和范围;第四、响应,完成定性和定量分析后,根据响应脚本执行响应策略。完成这四个步骤后,通过响应预案,精密编排、自动化和案件管理来实现整个的威胁治理。整个能力构成也被成为SOAR。
为了全面提升响应环节的效率,并将其做精、做细、做实,就必须将响应环节进化。作为亚信安全高级威胁治理战略3.0中极为重要的落地方案,XDR解决方案使得亚信安全SOAR精密编排的网络空间修复补救能力和响应再次提升。XDR将为客户代理依法合规、省钱省力、高效敏捷的精密编排能力,让安全团队和技术产品更快地发现更多威胁,然后加以阻止。这样才能跟上万物互联时代的发展,才能正在实现关口前移。
亚信安全的XDR方案包括了“准备、发现、分析、遏制、消除、恢复、优化”这7个阶段,准备阶段包括了针对每一种黑客攻击类型的标准预案,自发现威胁数据之后,将数据集中到本地威胁情报和云端威胁情报做分析,利用机器学习和专家团队,通过分析黑客进攻的时间、路径、工具等所有细节,其特征提取出来,再进行遏制、清除、恢复和优化。
较后,白日表示,威胁预测将成为众多客户的需求,亚信安全的下一个战略中将重点解决这一问题。 
