2022622日,西北工业大学发布《公开声明》,称该校遭受境外网络攻击,一石激起千层浪。同年9月,360公司协助国家有关监管部门发布了关于西北工业大学遭受境外APT攻击的调查报告,印证了这一情况。由于APT攻击隐蔽性强,通常会采用加密、混淆或代码重写等高级恶意软件技术隐藏自身活动,实现长期潜伏,因此危害性更大。而传统安全防御产品虽层层叠叠、星罗棋布,却存在一个最大的弊端,即“看不见”APT,导致谁进来了茫然无知,是敌是友分辨不清,更不知道攻击者究竟干了什么……
俗话说,兵来将挡,水来土掩。对于那些已知的攻击和安全威胁,我们总能想到办法,将它们封堵在安全边界之外。但是对于未知的、潜在的甚至是长久潜伏的安全攻击,因为“看不见”,所以不知从何入手排兵布阵,而一旦攻击发生,即使想亡羊补牢,也为时晚矣。
我们要用什么来筑起面向未来的数字安全防御体系呢?近日,
360
数字安全集团携手国际权威研究机构
Gartner
发布的《新一代
XDR
——面向未来的数字安全防御架构》白皮书给出了明确答案——以“打破安全孤岛,实现有效的检测与响应”为驱动力和指引的
XDR
,能够很好地解决数字时代新威胁格局下“看见”威胁的难题。


从以安全事件为驱动

到以终端为起点
我们已经习以为常的传统安全建设模式,通常以安全事件为驱动,通过“堆盒子”的方式来解决问题,一旦出现某个隐患或热点时,最直接的应对就是增加一种安全设备。尽管传统单点安全产品工具众多,但是集成复杂度不断增加、日志更难收集,只能依靠孤立的数据分析和碎片化的安全管理来防御现代系统化的网络攻击,越来越捉襟见肘。
“很多时候,客户自己也会感到茫然,到底哪一项技术才能最有效地解决安全问题呢?”360数字安全集团副总裁余凯讲述了他的洞察,“国内的威胁检测方案与国际上同类方案有一个巨大的差异,就是国内的解决方案一直以流量为中心去做威胁检测与响应,而国际上主流的厂商则是以终端为起点去构建检测与响应。以流量为中心构建检测与响应是一个理想化的方案,这是以我们能100%守住安全边界为前提的。国际上的主流厂商之所以提出以终端为核心构建XDR,就是因为‘世界上没有攻不破的防线’,而终端可以覆盖所谓ATT&CK矩阵中绝大多数技术点,也最容易‘看见’攻击。这就是面向未来的数字安全防御架构致力于实现的,即快速看见、快速处置,在攻击导致破坏之前就从源头及时斩断‘杀伤链’。”
当我们认知到终端的必要性和重要性,再去做检测与响应的选择,就会水到渠成,也会自然而然地演进到以终端为核心,基于大数据关联更多的数据源,从而形成更宽的数据视野,全面提升检测与响应的有效性。这也是360数字安全集团多年来潜心研究XDR总结出来的心得体会。
众所周知,当前企业对安全的投入越来越大,主要用于不停地追加新的单点安全产品。但从实践来看,将检测与响应完全押宝在流量上,随着加密流量的发展,这条技术路线遇到了难以突破的瓶颈,不仅导致了告警风暴,而且对于越来越猖獗的勒索软件、薅羊毛等问题也是束手无策。以终端为核心实现检测与响应虽然现在看道路有些艰难曲折,却是一条最有希望取得成功的道路。2022年,美国政府已全面在政府机构中部署EDR,并整合所有设备搭建XDR防御体系。从行业发展来看,XDR已经是大势所趋。
从安全运营的角度来审视,企业面临着“外部告警风暴无法应对、高级威胁无法看见、安全事件难以处置”三大困境,而企业自身又存在“安全人才短缺、安全技术碎片化、运营流程不能量化改进”三大瓶颈。这些矛盾让我们更加认清,对于安全运营来说,检测和响应问题是第一性的问题,而检测,即“看见”攻击,又是其中最大的挑战。XDR意为扩展检测响应,是能够“看见”攻击的关键性技术,所以也是第一性的技术。按照余凯的话来说,XDR对于企业安全运营来说是“落一子而全盘活”的关键技术。
安全集成、数据驱动

一个也不能少
从国际上来看,XDR通常分成原生XDRNative XDR)和开放XDROpen XDR)或称异构XDRHybird XDR)。XDR虽然起源于原生XDR,但因其容易造成供应商绑定问题,所以客观上来讲比较适合中小型客户。为了有效解决供应商绑定的问题,开放XDR应运而生。国际上很多主流的安全厂商都提出了一套自己的XDR标准,同时开放自己的接口,通过开放接口形成开放的能力,打造一个整合的解决方案。在此基础上,XDR逐渐演进成一种安全架构。360数字安全集团既有原生XDR产品,同时面向大型组织也提供对开放XDR架构的支持。
余凯非常认同,XDR不是Next Generation(下一代)的技术,而是Cross Generation的技术,即跨世代的安全技术,是安全对抗技术的集大成者,亦是安全领域的一项复杂性系统工程。它不是某一项单点技术,而是需要很长时间的核心技术经验和知识积累。
360
数字安全集团对于
XDR
的研究及相关产品的开发,也经历了一个循序渐进、不断深化和演进的过程。最初,
360
和国际上一些主流安全厂商一样,也是从安全对抗、网络安全的角度出发,加速发展和创新终端安全技术与大数据分析技术。但在经过一段时间的研究和历练之后,
360
数字安全集团发现,在进入到组织之后,仅有终端上的视野是远远不够的。因此,
360
数字安全集团开始在组织内部引入流量的数据、浏览器的数据、主机的数据等,同时结合
360
云端大数据实现关联分析,拥有了更宽广的视野。
EDR
技术也随之跨入到
XDR
阶段。


“一个优秀的XDR的本质是什么?”余凯自问自答,就是对攻击链的检测。如果对于攻击链本身没有一个更加深刻和透彻的认知,仅仅是为了组合而组合,生硬地将各种安全产品组合到一起,闭门造车,这样的解决方案是没有生命力的。”360的作法是引入更多相关的安全能力,包括智能安全评估BAS技术和基于ATT&CK的攻防知识百科技术等。
安全评估BAS技术通过将过去的攻击杀伤链重放,以验证由XDR所构建的防御体系是不是做到了在那个点上看到了攻击,检测到了威胁,实现了XDR的有效性。而所谓攻防知识百科,是360将视野所及的攻击知识化,形成越来越多关于杀伤链的实际知识,并将其融入产品端,把需要检测什么样的攻击、需要获取什么样的数据,以及如何运营、如何响应等有机地串接起来。
360 XDR并不是一蹴而就的,而是通过在过去这些年中不断的摸索,将不同领域中各自发展的相关技术逐步集成并融为一体。2021年,Gartner提出了Consolidate Security(整合式安全)的概念,而XDR恰恰是整合式安全的一项代表性技术。正因为如此,《新一代XDR——面向未来的数字安全防御架构》白皮书中明确指出,XDR是终端安全、大数据处理、大数据分析、AI人工智能、智能安全评估BASAPT基因库和攻防知识百科、MDR安全运营和对抗专家服务等发展到高峰阶段相互融合,从而激发出的自然成果。
事实上,360新一代XDR数字安全防御架构正是安全技术及服务的集大成者:在终端安全方面,360 EDR拥有高质量的恶意行为捕获和对抗能力;在全网安全大数据方面,360汇聚超2EB安全大数据,融合本地与云端数据形成全网威胁图谱,从而更好地赋能XDR安全分析;在大数据处理及分析方面,360自研的运营商级别的流式实时分析引擎,全链路性能可达百万eps,并能支持跨多数据中心统一分析;在AI人工智能方面,360拥有全球最大样本和攻击数据训练的新一代人工智能反病毒引擎;在智能安全评估BAS方面,360凭借国内首创BAS产品实现自动化度量安全防御效能并持续改进;在APT基因库和攻防知识百科方面,360拥有独家扩展的APT技战术,能够呈现全面全覆盖实战攻防技战术全景;在MDR安全运营和对抗专家服务方面,360 XDR凭借更广视野、更多资源,以及世界顶级的专家团队,全面提升了客户的安全能力。
另外在白皮书中,Gartner也给出了应对数字时代高级威胁挑战的思路,即以数据为基础,分析还原攻击链,从而提升威胁应对能力。360 XDR可以从终端、流量、浏览器等多个来源收集数据,并基于从海量攻防数据中抽象出的威胁模型,进行自动化的高级威胁检测和响应处置。
一提到数据,人们很容易就联想到360数字安全大脑。实际上,360数字安全大脑就是基于XDR架构,并且源于一套来自实战的数据标准。余凯介绍说,360将过去20多年视野里看到的攻击,包括各种攻击技战术、杀伤链、APT上的各种技战术以及漏洞利用等进行知识化,储存在数字安全大脑中,并将其作为驱动数字安全大脑不断演进的动力。随着360的实战经验越来越丰富,数字安全大脑的安全防御有效性得到了充分验证并不断提升。
当数据积累到一定规模时,就会产生巨大的生产力价值。
360
数字安全大脑将
360
在云端捕捉的海量数据进行汇聚,并从中挖掘出攻击的线索。这相当于给了企业一双“跳出企业、看见全球”的“慧眼”,
360
云端庞大的数据与企业本身采集到数据相互关联,能够形成一个更大规模的
XDR
计算体系。
360
数字安全大脑在数据的规模与质量实现突破的基础之上,其相应的检测能力也实现了飞跃。


如今,360基于新一代XDR数字安全防御架构打造的以“看见”为核心的城市数字安全大脑,已经落地重庆、天津、青岛、苏州等地,帮助城市、政府、企业打造集态势感知、指挥控制、通报预警、信息共享、应急响应于一体的安全运营体系,构建“摸清家底、感知风险、看见威胁、处置攻击、提升能力”5大应对数字安全复杂威胁的完整能力。
Gartner充分肯定了360 XDR的演进思路,认为它可以将终端、主机、流量、资产、浏览器、第三方安全设备等多维数据融合汇聚,并结合业界领先的威胁情报和自动化抗攻击能力评估,体系化地提升客户的全局态势感知和主动防御能力,从而整合形成“管理+看见+处置”的核心能力,完全能够满足超大型企业客户多角色、高并发、分布式复杂管理、分析性能等多方面的需求,更好地帮助客户持续构建面向实战的安全运营能力。
SaaS XDR

星星之火可以燎原
从用户端来看,理解并接受XDR可能是一个相对较长的过程,在这个过程中可能会遇到这样或那样的问题,包括技术层面的,也包括业务层面的,甚至是企业战略层面的。相对来说,中小企业用户可能会更快地接受并实施XDR。因为中小企业看重的是结果、是性价比,而不是买一堆产品“盒子”。从这个角度来说,安全产品的SaaS化是一个不可逆转的方向。余凯对此深信不疑,并表示360将通过原生XDR产品,让中小客户真正感受到XDR带来的降本增效的价值,并在此基础上,逐渐引导客户采纳原生的SaaS XDR
一些大型企业可能对于SaaS化后的隔离,以及数据开放等问题仍心存芥蒂,但SaaS化的趋势不会动摇。余凯认为,只要大型企业能够看到SaaS XDR带来的业务价值,比如360 XDR的最佳实践就是很好的例证,就会慢慢转到这一方向上来。XDR由原生走向开放,并且成为安全本身的一个基础架构,而不仅仅是一个产品,这既是行业发展必然,也是360努力的目标。
所谓星星之火可以燎原,XDR这把数字安全时代的大火正越烧越旺。
往/期/回/顾
EDR“向未来” | 360 EDR实现SaaS化、智能化双轮驱动
EDR销冠是如何炼成的?
360打造“最强”核心安全大脑
继续阅读
阅读原文
关键词
产品
能力
数据
技术
厂商