數字化技術的不斷發展，讓網絡攻擊變得更加隱蔽和復雜。

　　面對內在脆弱性與外部威脅升級的雙重挑戰，企業試圖買辦一個機械化兵團，期待有一招制敵的能力。而現實是“多兵種配置”帶來的問題往往多到超出想象，更何況想要指揮運轉這個兵團更不容易。

　　于是越來越多的企業開始思考，在高級威脅隨時“空降”的高壓之下，應該如何在解決現有矛盾的基礎上提升關乎生命線的“應考”能力？

　　日前，在第十屆互聯網安全大會（ISC 2022）上，360數字安全集團副總裁余凱在演講時談到，XDR是實現企業安全運營“落一子而全盤活”的核心技術。

　　會后，安全419采訪到了余凱，邀請他就當前業內XDR發展現狀、360 XDR自身的技術優勢，圍繞威脅檢測技術的過去、現在和未來分享了他自身的理解和洞察。

　　安全運營三大挑戰

　　人員缺口大、產品碎片化、效果難度量

　　余凱首先拋出了他的觀點：當前安全運營面臨的挑戰實際上也是整個安全行業面臨的三大挑戰，人、技術和流程，人、技術和流程。

　　在人才方面，攻防經驗難以沉淀和安全人才培養難度大導致甲方長期缺乏安全運營專家，在重大活動保障期間只能臨時召集大量人員。但臨時拼湊的散裝戰隊水平參差不齊，難以持續維持安全運營質量。

　　在技術方面，購買大量安全產品的眾多客戶也面對著此起彼伏的告警風暴，真正面對攻擊卻還是后知后覺。試想，近期暴露的思科遭遇勒索事件，如果換成自己能及時看見并快速止損嗎？

　　在流程和管理方面，很多企業經過多年安全建設，依然難以回答哪些產品真的有用？自身缺乏哪方面的能力？同行發生的事故發生在自己身上能抵御嗎？未來應該將預算優先投資到哪個品類上？舊的方案很難量化、顯性地回答這些問題。

　　余凱指出，事實上無論是安全人員的短缺還是安全產品的碎片化，其背后的出發點仍然是想要解決“看不見高級威脅”和“告警風暴”這兩大核心矛盾。

　　“在我看來，安全運營既是一個管理問題也是一個技術問題，技術層面解決得不好，就會持續地加重管理負擔和管理成本。想要真正提升安全運營的效率，應該嘗試從根源上著手解決痛點。”

　　將上述三個挑戰拆解后可以發現，它們之間彼此影響，環環相扣。人的挑戰根因是：

　　01 安全建設較好的企業建立了安全運營團隊，但是小團隊的攻防認知上限決定了運營能力的天花板，個人最高水平成為團隊的峰值。

　　02 一方面安全建設碎片化堆砌了大量單品，為了對告警做出響應甲方需要大量的人來進行分段研判、處置這些碎片化的線索，重保期間更甚。

　　03 安全專家本來就難以招募，經過培養后流動性大，成為企業難以提升運營能力的攔路虎。

　　而產品和技術挑戰背后是攻防對抗不可能止于邊界。沒有攻不破的網絡，假定失陷（assume breach），敵已在我是不得不接受的現實。堆盒子的傳統模式其實是事件驅動的思路，當出現某個隱患或熱點時就增加一種設備來應對。從效果看收效已不及預期。

　　最后，也是最核心問題是：在具備人和技術的條件后，如何通過流程方式來驅動和串聯二者，使的真正提高安全運營能力？對于CSO來說，運營工作并不陌生但一直沒有很好地解決如何量化落地的問題。事實上面向合規建設能夠回答有或者沒有，卻無法明確運營有效性的問題，最終導致企業無法看到自身的短板，陷入了不知道如何持續改進的痛苦境地。

　　這三個問題其實相互糾纏的，不能孤立地解決。將人、技術和流程的問題進行整體看待進而尋求系統化設計才能抓住根本。“習慣上大家有個說法”3分技術7分管理“，我們很贊同安全運營并不是技術與管理的割裂，但是非常看重管理是因為以往缺乏好的抓手，缺乏緩解人才匱乏問題的技術，只能通過加強管理來補位。新的技術加持下，通過技術來引導管理體系的建設，管理保障技術的落地才是一個良性關系。”

　　“大家都說現在安全廠商不賺錢，我認為不賺錢的本質原因在于大家還沒有解決‘看見’的問題，如果能夠幫助企業看見威脅的話，那么一系列安全問題就可以通過流程、預案、組織、自動化甚至是強制解決的。正因為大家看不見或看不清威脅，安全就形成了一個黑洞，企業不知道還要在看見威脅這件事情上花費多少資源。很多時候就是因為不知道如何看見威脅，就只能盲目投入，只好不停地買設備，不停地投入安全專家去看無效的告警。但事實上，專家應該做的是跟和黑客對抗的事情，而不是去處理告警。”

　　他表示，每一次科技革命本質上都是通過一個技術創新高效地解決過去一個很費錢或者是投入資源太大的問題，而360正是想通過自身的探索和實踐，更高效地解決「看見」的問題，讓整個安全的投入變得更加可控。“未來安全投入不一定會很小，但它一定不是無底洞。”

　　XDR是數據質量與規模質變

　　而激發的能力質變

　　為了解決「看見」的難題，XDR（Extended Detection And Response：擴展檢測響應）作為一個新興的威脅檢測技術闖入了產業界的視野，受到行業普遍關注。

　　根據 Gartner 的定義，XDR是一個安全平臺，將特定供應商的多個安全產品，原生地集成到一個統一的安全運行系統中。在 Gartner 新發布的《擴展檢測和響應的市場指南》中，已經將 XDR 技術擴展至 EDR、NDR、SWG、UTM等能力的綜合體。

　　因此，XDR 中的“X”代表著以終端為起點的安全視野的持續擴展，結合數據湖技術、自動化編排技術及安全分析技術，形成面向多種甚至未知安全場景的綜合性安全解決方案。

　　想要打造出一款真正有效的XDR產品，更高效地解決「看見」的問題，數據無疑是一切的前提。當前，數據已經成為了數字經濟的關鍵生產要素，在安全的語境下，數據驅動安全在安全行業中也已成為共識。但在數據驅動安全的背后，？？數據的質量顯然成為了關鍵成功因素。

　　換而言之，當采集數據這件事情變成？？共識的時候，采集什么數據就變得至關重要。高質量的數據采集，是讓數據分析行為更加高效的必要條件。如果對于對到底要采集什么樣的數據沒有清晰的洞察和認知的話，就會陷入一個誤區，讓一堆的無效的垃圾數據占據大量的計算資源，幾乎無法從中發現有效的信息。

　　因此余凱提出，采集何種數據應該由實戰定義。

　　他表示，“實戰定義數據的本質是明確我們要去做什么樣的分析，？？我們到底要去檢測什么樣的攻擊。這背后的？？核心在于，在過去的這么多年里，我們到底有沒有看過足量的攻擊，有沒有看過？？歷史上一路走來攻擊方式的演變路徑。？正所謂”實踐是檢驗真理的唯一標準“，只有看過了足夠多的攻擊實例，同時以一種相對系統化的方式，把這些攻擊實例以知識化的方式把它沉淀記錄下來，我們才有可能？？針對每一個攻擊的手法、技戰術，去判斷如果我要去識別這個攻擊手法，我應該如何有效地去采集數據。？”

　　利用大數據技術是當下解決安全運營的主要方法之一，無論采集多少數據一個企業僅可以形成具備自我視角的“小數據”，但具備全行業乃至全國視角的真“大數據”是企業難以實現的。只有“小數據”+真“大數據”相結合才是未來的解決思路。

　　在360的視角看來，在全網全球超大規模海量數據中看到每一次攻擊活動都是一條“攻擊殺傷鏈”，當前多數組織部署的安全產品及其構建的縱深防御體系之所以檢測與響應能力不足，其根源在于大數安全產品都是在基于某一個技術點去做檢測和防御，沒有形成對攻擊殺傷鏈全景的視角。

　　余凱將這種防守方式比喻為“盲人摸象”，單個的安全產品只能在某個點上去做檢測，導致無法看到事件的全貌，自然難以對抗高級威脅的入侵。因此他再次強調這一觀點，只有系統性地將過去的攻擊實例以知識化的方式沉淀記錄下來，再基于技戰術去做推演，才能夠真正明確一條攻擊殺傷鏈涉及哪些資產、哪些漏洞，需要采集哪些數據來做檢測，而哪些安全設備能夠提供這樣的數據等等，做出一系列推演。

　　“安全行業常常講以攻促防或者未知攻焉知防，它其實不是一個自然而然的邏輯，不是說你懂了攻，？？你就一定能懂防，而是說你懂了攻，你能不能夠系統性地整理攻擊的知識。？？因為你有一套將攻擊的知識轉換成為防御策略的？？方法論和產品驗證的方式，最終才能夠真正地做到以攻促防。”

　　因此，360基于過去17年專注網絡安全技術產品和服務，以及在安全大數據、知識庫、安全專家方面的積累，將過往看到的APT攻擊、黑客滲透、惡意軟件等多種威脅事件分門別類地進行了梳理和沉淀，圍繞每一條攻擊殺傷鏈的全過程，包括入侵，橫移、逃逸、竊取數據每一個過程記錄和整理出來，形成了360核心的攻防知識圖譜，而這套知識圖譜也是驅動360 XDR不斷成長和進化的核心資源。？？

　　“根據360記錄的這些技戰術，我們就可以去明確，針對這些技戰術我需要怎樣的數據源，？？如何去做檢測分析，如何準備應急預案。同時因為我們看過這些攻擊，便可以將這些攻擊通過一種？？滅活重放的方式去做覆蓋性的評測，通過一套系統性的方式？？去度量企業的縱深防御體系下面的每個安全產品，在對應的那個點上面有沒有成功抵擋到攻擊？？殺傷鏈上本應該擋住的那一環，這個時候就形成了一個度量標準，以這樣的方式去幫助企業在根因上面去看見差距，持續改進。”

　　余凱將這個度量和驗證能力稱為“抗攻擊能力評估”，當前國際上一線的安全廠商，都已經具備了類似的能力，而微軟正是其中的佼佼者。

　　作為當前全球隱形的網絡安全巨頭，雖然微軟并未對外界過多宣講自家XDR產品，但事實上微軟看到的這些攻擊實例要遠遠超過常人所想，通過它的操作系統和云服務，微軟能夠拿到的？？數據量級也超乎所想。海量的威脅數據決定了微軟能夠站在更高的山巔上，以更高維度的視野俯瞰全貌，進而更全面的構建自身XDR的完整體系，這一優勢是其他中小規模廠商所無法比擬的，而這也與360一路走來20年實踐殊途同歸。

　　XDR能為我們做什么？

　　360 XDR如何做到落一子而全盤活？

　　在過往的威脅檢測與響應技術中，NDR（網絡威脅檢測與響應）的出現彌補了傳統IDS/IPS安全解決方案留下的網絡側安全盲點，用更先進的分析技術來檢測網絡可疑流量，極大的提升了檢測和阻止網絡威脅的能力。

　　EDR（端點安全檢測與響應）的出現，因為終端能獲得高質量數據，并壓倒性覆蓋攻擊殺傷鏈的關鍵技戰術，則更直接有效增強了企業「看見」威脅的能力。

　　而XDR的誕生，則實現了對NDR、EDR、SIEM、SOAR等安全產品的有機整合，在各臺設備傳輸過來的安全大數據賦能下，XDR能夠比任何一個安全設備都更快、更深入、更有效的實現檢測與響應威脅，從更廣泛的來源收集和整理數據，以更高的全局視角看清每一次攻擊殺傷鏈的全貌。

　　余凱表示，過去大家沒辦法將攻擊手法、攻擊實例一條條地梳理積累下來，就很難工程化的去做產品，這樣就會造成對于安全專家個人能力的依賴，需要某一個人來指出，當前哪里存在風險需要加固、發現了哪幾個高危動作可能存在攻擊風險等等。但在攻防知識圖譜的賦能下就能夠做出一款工程化的XDR產品，根據這套知識庫去做持續的更新，去評估和驗證整個產品布防體系有效性。

　　“抗攻擊能力評估帶給我們的價值是，當一次新的攻擊事件發生后，我能夠迅速地通過滅活重放的方式做覆蓋性評測，去驗證當前的防御力量到底夠不夠強大？是不是每一個安全設備都采集到了它需要的數據，檢測到了它需要檢測到的攻擊？如果沒有，我需要補充什么樣的能力到XDR體系？”

　　余凱將這個過程比喻為高考，在這場關乎企業生命線的大考真正到來之前，每一名合格的考生首先應該做的事情是不斷地刷題，把往屆考過的每一個知識點都掌握得爛熟于心。

　　“我們可能會問，在屬于我們自己的考卷中一定會碰到之前刷過的題型嗎？不一定。但至少刷過的這些題型會讓你更有底氣。但我們行業中無論是安全的甲方還是乙方，大家都沒有認真地經歷這個刷題的過程，換句話說，大家都在猜題。”

　　他認為，安全的甲方應該在安全建設中做到有所為有所不為，通俗來講就是，甲方安全負責人應該只采購“與我相關”的安全產品，去驗證“與我相關”的工具和攻擊，去修補“與我相關”的漏洞，去優化“與我相關”的XDR縱深防御檢測與相應體系。

　　如果缺乏這一套攻防知識驅動，持續迭代優化的XDR技術，企業就會陷入到最初探討的三大挑戰中，需要依賴安全專家個人的能力，但有經驗的安全專家可遇而不可求；只能去猜測自己需要哪些安全產品盲目采購，帶來告警風暴的難題；而缺乏度量評估改進則又無法站在巨人的肩上看到高級威脅。

　　因此余凱認為，安全專家應該從海量的告警工單中的得到解放，并重新回到與攻擊者高效對抗的維度上來，而這依賴當前安全運營體系可以自動化應對龐雜的史上曾經發生的分門別類各種攻擊行為，也就是“與我相關”的實戰題庫。

　　針對龐大的“實戰題庫”，360 XDR在落地的過程中如何打通各個廠商之間的數據壁壘，做到“落一子而全盤活”？

　　余凱介紹，為了解決用戶本地安全產品各自為戰的痛點，360目前已經探索總結出來了一套賦能安全廠商的數據標準。簡單來說，360打造了一個安全分析工具作為中間件，通過這個中間件將用戶本地各種產品各種品牌的設備協同起來，幫用戶做統一分析，并且把360多年積累的大數據、分析研判、高級威脅情報等能力直接賦能給用戶，來自各家廠商的這些網絡安全設備的流量、日志、告警、樣本文件等都可以收集到這一套安全分析平臺進行分析。同時以抗攻擊能力評估做整體效能度量和優化改進。

　　360正在向所有的生態合作伙伴免費提供這套分析平臺，通過鏈接這個分析平臺，安全廠商能夠把數據？？共享到我們的分析平臺上面，與360形成一個作戰體系閉環。目前該平臺已經支持國內外主流的二三百家安全廠商的上千種設備。

　　通過這樣的方式，360正在快速地推動形成這套數據標準化的生態，推動這個生態下的每家安全廠商在開發時有規范，保證產品落地后的效果。

　　XDR未來在何方？要到哪里去？

　　作為一項新興技術，盡管XDR已經在國內外成為行業主流選項，但仍然處于技術發展百家爭鳴探索階段，未來還存在廣闊的提升空間。在采訪最后，我們邀請余凱就XDR未來將向哪些方向拓展的話題分享了自己的看法。

　　余凱表示，一個優秀的XDR方案是終端安全技術、大數據分析技術、？？抗攻擊能力評估技術以及攻防知識庫建設發展到高峰的一個自然成果。這四項支柱型核心技術是一個XDR廠商能夠看清攻擊殺傷鏈的先決條件。同時，也只有先將這四項技術做深做實，才能夠去討論下一步XDR發展方向的話題。

　　在他看來，下一步XDR技術將會與資產以及全網情報數據深度結合，并向云地一體化運營轉變。持續提升“看見”威脅能力和對抗效率。

　　攻擊殺傷鏈的核心是威脅、資產和漏洞。因此，將資產攻擊面管理引入到XDR中形成作戰地圖十分重要。“如果企業能夠詳細掌握自身的資產情況，那么當一次攻擊事件發生時，結合資產的情況能判斷攻擊事件從哪里來，進行到了哪里，當前的影響面是怎樣的，接下來還有多少資產可能存在風險，以及應該迅速做出什么樣的應對方案及時止損，確保核心資產的安全性得到保障。”？？

　　在全網情報數據的維度上，假使能夠將每一次攻擊事件與攻擊者畫像相結合，并通過全網情報數據了解到攻擊者常用的工具、技戰術、過往或正在實施的攻擊活動等，那么就能夠在第一時間根據相關信息調整事件等級、調配所需投入的資源，應急響應力度，在整個攻擊事件中搶到先機。

　　云地一體化運營的關鍵是將“看見”威脅的不確定性進一步依賴云端以更廣視野，更大資源和更強能力解決。托管檢測和響應（MDR, managed XDR）可以最大限度提升安全運營效率效能。

　　“全網情報數據能夠告訴我們，與攻擊者畫像相關的一切信息，他可能是誰，他所在的地域、常用的武器和攻擊方式。而資產就是本次攻擊殺傷鏈所在的戰場。安全終究是要回到攻防上面來，而只有知己知彼方能百戰不殆。”

更多信息可以來這里獲取==>>電子技術應用-AET<<