ISC 2020 XDR分析检测论坛:打破检测孤岛,看XDR如何应对数字时代新威胁
2020-08-14
数字孪生浪潮奔涌而至,“一切皆可编程、万物均要互联、大数据驱动业务、软件定义一切”成为新数字的时代标签。以数字为主体的互联网边界得到实质性地延伸与拓展,与此同时,网络空间的攻防对抗态势也逐步升级。
尤其随着国家级网络部队这一“大玩家”入局,网络主权、网络边疆、网络国防等新概念更是喷薄而出。如何在层层加码的高级别网络威胁之下,锻造严守网络空间安全防线的新质国防力,成为全球各国亟待书写的安全答卷。
风起云涌之中,2020年8月14日,ISC 2020“XDR分析检测”论坛重磅上线,聚焦数字孪生时代下的高级威胁检测,立足全球网络安全产业升级战略视野,探索新数字浪潮下的网络安全防御应对之策。
苹果资本合作人、全国信息网络安全协会专家委员、中关村天使投资理事胡洪涛,安天集团威胁情报部总监沈长伟,IEEE Fellow、浙江大学美国西北大学互联网安全联合实验室主任、杭州奇盾信息技术有限公司创始人陈焰,360公司PC安全产品事业部主动防御团队技术负责人何博,360企业安全高级安全攻防专家、360灵腾实验室成员冯作瞳等一众安全大咖,在本次论坛上围绕“从投资角度看XDR产品演进”、“威胁检测引擎—最强劲的威胁情报发动机”、“基于实时系统级攻击溯源的高级威胁检测”、“企业内网横向渗透检测和拦截实践”等主题,展开了战略级的巅峰对话。
网络安全产业
正进入指数型增长初级阶段
苹果资本合作人、全国信息网络安全协会专家委员,中关村天使投资理事胡洪涛在演讲中,从投资的角度,历数端点安全检测产品的演进与XDR安全产品的未来发展。
他指出,随着世界从信息化到数字化的演进,企业面临着前所未有的网络安全风险。安全厂商们不断“推陈出新”,渴望通过新思路、新技术的应用,帮助企业抵御一切网络安全风险。
Windows+PC的传统互联网时代,EPP(端点保护平台)是政企事业单位安全防御的主力军。EPP集杀毒、钓鱼&间谍软件防护、HIDS、未经授权访问、数据安全防护等多种组合安全解决方案于一身,立足“网络威胁防御”理念,以单机工作模式,在病毒进入保护范围的第一时间拦截攻击。
移动互联网时代,网络安全产业渐成体系。不同于EPP的防御机制, EDR智能端点响应平台则聚焦网网络威胁监测,旨在为政企客户提供智能关联分析、威胁溯源、自动化响应解决方案。
而当时间轴移至当前的万物互联新时代,以数据采集监控和事件关联分析为核心的智能安全检测体系XDR应势而生,融合多端点、网络、服务器、应用等海量数据源,恰到好处地接壤大安全陆地。
从Windows+PC时代下的EPP,到移动互联网时代下的EDR,再到如今智能化万物互联浪潮中的XDR,安全产品发展的每一步都踏准了时代节拍。而其清晰发展脉络背后,是网络安全产业逐步升级的最好见证。胡洪涛认为,未来,网络安全产业或将进入指数级增长。
威胁检测引擎:
最强劲的威胁情报发动机
就像汽车的发动机是汽车的核心动力来源一样,威胁检测引擎也是威胁检测产品核心鉴定能力的提供者。安天集团威胁情报部总监沈长伟在演讲中如是说。
他指出,通常情况下,威胁检测引擎会基于覆盖百亿样本的海量规则,以完整的预处理、深度解析、丰富的检测方式,进行动态化载荷威胁检测。尽管其规则鲁棒性较强,但却并未实现成体系的知识化输出。
而威胁情报则是某种基于证据的知识。通过IOC规则来为高级威胁对抗提供更好的指向性,是当前威胁情报的常态化应用,但对超高能力且时刻变幻的网络空间威胁活动,诸如国家级网络攻击,IOC规则几乎无效。
面对这一局面,沈长伟认为,威胁检测引擎可通过开放情报承载能力,开放威胁情报输入、输出,在多种防御场景下,实现对高级威胁的发现、阻断与揭示,并以此生产抗变性的威胁情报,构建面向高级威胁的检测能力闭环。
传统安全产品已无法
有效防御高级持续威胁(APT)攻击
近年来,高级持续威胁(APT)攻击愈演愈烈。通常,这类高级别黑客组织会利用远控RAT木马,配合社会工程学手段入侵目标系统并长期驻扎,进而通过键盘记录、截图、录音等RAT木马功能持续侦察,以进行大规模情报窃取等恶意行为。
在这一过程中对APT攻击进行细粒度动态行为识别,态势感知、溯源分析是应对此类高级别网络攻击的重要手段。而传统安全产品如反病毒,网络侧的检测和沙箱已无法支撑上述系列威胁检测。
在此背景下,基于系统底层数据,可做到对威胁准确、快速、全面检测、监控和响应的EDR(终端检测与响应系统)是满足当下网络安全市场的最佳选择。
IEEE Fellow,浙江大学美国西北大学互联网安全联合实验室主任、杭州奇盾信息技术有限公司创始人陈焰认为,EDR 像人体的免疫系统一样,实时收集主机系统运行的数据,利用恶意程序和正常程序产生的大量、底层内核数据,使用机器学习方法找出恶意程序攻击行为模式(IOA)。
严守内网防线
是APT攻击防御的重要一环
在各类高级别APT攻击中,横向渗透是进入内网环境后,利用漏洞武器等手段扩大控制权、实现最终攻击目标的关键。对各政企事业单位来说,在这一过程中,及时发现和识别横向渗透行为,确定攻击范围和影响,并对其进行拦截和后续溯源,是应对APT攻击防御中的重要一环。
360公司PC安全卫士事业部主动防御团队技术负责人何博,360企业安全高级安全攻防专家、360灵腾实验室成员冯作瞳基于多年攻防经验,在“XDR威胁检测”论坛上,分享了如何通过网络侧、终端侧多维分析模型,利用网络流量、终端日志、机器学习,以及结合现有安全基础设施等手段,进行APT高级威胁攻击“企业内网横向渗透检测和拦截实践”。
实战是检验真理的唯一标准。在该套安全检测方法论下,安全专家已累计处理169万条真实攻击数据,产出17.5万条IOC,成功归类171个家族、组织,在威胁之前准确预警大量僵尸网络、勒索病毒、漏洞攻击,并追踪溯源APT攻击多达40余起。
数字孪生大厦起,网络安全威胁至。随着全球数字化转型的加速,网络空间已成为国与国对抗的核心战场。而这其中,国家级APT攻击正是大国网络战的重要体现,其攻击目标更是涉及政治、经济、情报等多个重要板块。
而如何在这一战场中,掐准APT高阶威胁对抗的“七寸”命脉,赶在攻击来临之前,扭转对抗局面,守好数字孪生新阵地的安全防线,与危共存,履危而安,是值得当下每个安全厂商深思的问题。