未来智安CTO陈毓端精讲《XDR扩展威胁检测响应探索与实践》

7月22日，2022北京网络安全大会『BCS TALK虎符话安全­·安全运营』主题日活动正式开启，未来智安（XDR SEC）联合创始人兼CTO陈毓端受邀做客直播间，并发表主题演讲《XDR扩展威胁检测响应探索与实践》。

大家好，很高兴能参加2022北京网络安全大会，我是北京未来智安的陈毓端。

北京未来智安是一家聚焦在扩展威胁检测与响应赛道的网络安全公司，也是国内第一家发布XDR系统的安全厂商。今天我分享的主题是《XDR扩展威胁检测响应探索与实践》，也借此机会与大家分享一下我们未来智安在XDR领域的实践和一些思考。

未来智安决定进入XDR这个垂直的安全赛道，核心还是觉得安全的本身是对抗的过程，威胁检测与响应还是最直接最核心的安全价值。另一个层面是看到用户侧的一些安全痛点，我们将用户侧的安全痛点分成两个层面，也是XDR需要去解决的，一个是威胁检测类的挑战，另外一个是来自安全运营类的挑战。

威胁检测的挑战分成六个方面：

第一，漏洞和风险挑战，存在漏洞与风险量化盲点。比如漏洞与风险的评估，漏洞与资产、与业务系统、与威胁的关系等，都存在一定的量化难度和手段不足。

第二，影子资产类盲点。企业普遍存在影子资产的问题，比如员工私搭服务器，私自开放未经审核的端口等，都给企业带来严重的影子资产问题，从而带来严重的安全风险。

第三，安全数据价值盲点。企业在推进信息化建设的过程中，也会进行安全建设，采购各类安全防护产品，比如端点安全防护，像防病毒、HIDS、EDR，流量检测类像NDR、NTA，甚至是SOC和态势感知等，也在一定程度上进行了数据的统一收集和治理。但其中存在着一个普遍现象，虽然进行大量的数据收集，依然没有真正发挥数据的价值。比如从终端看到威胁之后，还需要在各类系统之间搜索、复制、取证，无法形成一体化的威胁防护体系，安全工具各自为政，数据沼泽现象严重。

第四，单点防护盲点。最典型的例子就是终端看不到流量，流量看不到终端。比如在流量层看到SQL注入后，无法看到端点发生了什么，无法判断是否发生数据库提权或其他异常行为，整体上缺乏统一的威胁视角。

第五，高级威胁挑战。攻击者往往通过各种手段进行绕过，同时威胁检测的规则需要下发到终端，存在一定的规则滞后性，无法在第一时间去应对威胁挑战。

第六，安全技能盲点。威胁总是在不断的发生变化，企业内缺乏高水平人才是常态，短时间内无法很好的解决人才问题。安全人员严重依赖各类安全防护产品，各种系统间的割裂加剧了威胁检测的挑战。

来自安全运营类的挑战也分成六个方面：

第一，运营挑战最典型的例子就是告警多，以我们的一个客户为例，每天告警量接近1,200万，导致安全分析师需要消耗大量的时间和精力去做告警研判。

第二，海量告警导致了高价值告警往往会被淹其中，无法第一时间分析、发现真正有价值的告警，从而错过了最佳的防御时间。

第三，上下文缺失，威胁可见性差。当攻击从边界打进来之后，往往会经过各种安全防护设备，而这些安全防护设备之间相互割裂，相关数据粒度又太粗，没有形成很好的支撑，安全分析需要的上下文信息缺失现象比较严重。

第四，无法很好的进行安全分析溯源，看不清完整的攻击链路，缺乏统一威胁视角。比如看不见黑客是如何打进来的？利用了什么漏洞？先打了哪台主机？在主机上做了什么事？有没有下载攻击载荷？什么时间发起的横向移动？什么时间发起的大面积的扩散？影响面有多大？损失有多大？这些都很难看见。

第五，处置效率低。前面提到海量告警、上下文缺失、攻击溯源难等，都给告警分析研判造成较大的时间消耗，影响整体的响应和处置效率。

第六，安全度量能力不足。面对新形势下的安全挑战，安全运营工作需要进一步的左移，需要具备提前发现潜在风险，提前做好威胁阻隔的安全策略，这就需要有细粒度的数据，提供有效的安全度量能力和手段。

准确的来说，XDR到目前为止还没有形成完整的业内在概念层面的共识，各家XDR的解决方案也存在比较明显的差异。

整体来说，我们将XDR划分为三个不同的技术流派，分别是“原生XDR”、“生态XDR”，以及“混合XDR”。

“原生XDR”，顾名思义，就是依靠厂商自己的安全防护能力、数据采集能力去实现XDR的方案。优点是实施方便，集成成本低，数据和响应能力可控。缺点是安全防护产品自身的数据能力、遥测能力可能存在不足或瑕疵，或将影响XDR的整体效果。

“生态XDR”，优点是包容度较高，对甲方前期的安全投入、安全建设具有一定的复用性。缺点是严重依赖第三方安全设备，整体的集成成本较高，数据质量、遥测能力、响应处置能力相对不可控，因为它依赖于第三方的安全设备，整体存在一定不可控的风险。

“混合XDR”，同时具备“原生”和“生态”XDR的优势，这也是未来智安XDR的技术方向。我们可以接入原生的自有安全组件EDR和NDR，也可以接入第三方安全防护产品，无论是数据还是安全能力，都可以通过混合模式XDR去做集成。

我们认为XDR中的“X”是指扩展，具备多维度的扩展属性，强调由孤立单点式威胁检测过渡到基于更多上下文数据，进行全面威胁检测的整体安全思路的转变。XDR不再单纯依赖于端点、网络或其他安全设备进行告警发现和安全事件的标记，重视底层的数据变化，比如主机上的权限变更、文件变更、账号体系变更、系统负载的变化等，从而研判企业网络的安全风险，为企业安全运营带来完整的上下文和可见性。

我们未来智安认为XDR最核心的是威胁检测能力，威胁检测能力带来的攻击发现依然是XDR最基本的安全能力。

XDR威胁检测能力的核心是打破盲点。从攻击的路径或者攻击模式来看，EDR具备端点的威胁检测能力，但对于一些高级攻击，EDR检测能力存在一定的不足。XDR具备防病毒、行为检侧等端点检测能力，以及流量侧的静态检测、动态检测、机器学习检测等能力。XDR检测的核心能力体现在依赖单点终端或全流量产品在面对高级攻击等绕过对抗场景下的威胁检测发现。XDR可以利用更多的上下文、遥测数据快速发现这些遗漏的攻击，去降低MTTD（威胁检测时间）和MTTR（威胁响应时间），提高MTTD和MTTR的效率。

未来智安XDR同时具备端点和流量的威胁检测与防护能力，支持Windows、Linux，以及凝思、麒麟、统信等信创操作系统的安全防护能力。在主机和流量发现告警之后进行告警的治理，将高价值的攻击场景、攻击告警进行关联，挖掘出需要重点关注的告警，避免企业的安全团队陷入花费大量时间去做告警的研判和分析的内耗中。同时，能将告警收敛为完整的攻击事件（Incidents）。完整的攻击事件能让企业的安全团队看清攻击的来龙去脉，比如攻击是怎么打进来的？用什么漏洞打进来的？背后用了哪些武器？什么时间发起的横向移动？影响面有多大等。

XDR核心要解决的是威胁检测和提高安全运营效率。我们将安全运营分成两个部分，一个偏向于IT侧的运营，比如资产清点、漏洞管理、基线检查等，这些都偏IT侧的。另一个偏向于安全侧的运营，比如告警分析、威胁分析、事件运营、基于SOAR的自动化编排，以及围绕企业自身业务特点做自定义的威胁检测等。

威胁检测是XDR最基本的能力，那么保障XDR的基本能力，核心是要看见更多的细节，看见终端和流量上更多的细节，需要更多上下文，这也是XDR概念里反复在强调的遥测能力，包括看见资产、看见异常、看见风险。遥测能力也是为安全度量提供基础的能力和手段。

遥测能力我们也称之为看见能力，未来智安XDR的实践过程分成几个层面。第一个层面就是通过攻击视角的遥测能力看见谁在发动攻击，通过什么进程、什么时间、什么地点、以什么载体攻击等。背后的技术思路是将XDR安全防护体系分为三大块。

一是通过入口类，通过用户外设网络会话等层面去看攻击的入口，如果攻击从入口突破之后进入到操作类或者行为类的安全防护阶段，XDR能围绕着进程去观测，看到进程有没有创建服务、操作文件、系统配置和账号体系的变更等。同时，也会结合操作系统的基础信息，如系统的负载、软件信息、硬件信息、漏洞风险等，去做好整体的安全防护。

二是遥测能力。主要是从安全运营的视角去看攻击者是谁？攻击者是怎么打进来的？用什么漏洞打进来？用什么武器打进来的？攻击者拿下一台服务器之后，在服务器上做了什么事儿？有没有发生横向移动？有没有下载攻击载荷或者相关的攻击载荷？攻击过程中都产生了哪些关键的线索，如IP、域名、攻击样本，同时这些样本涉及到哪些进程、服务、端口和网络？哪些服务器受到影响、哪些数据被篡改了？那攻击背后都产生了哪些告警？有没有应急响应的处置方式？能不能和其他安全设备进行快速的联动和处置？最后一点就是攻击背后黑客所使用的攻击技术，比如说在ATT&CK上的攻击矩阵的分布，企业如何基于ATT&CK的战术、技术持续的提升安全防护能力？这些都是通过安全运营的视角去提升我们的遥测能力。

三是从资产风险和攻击面的角度去提升安全的遥测能力。未来智安XDR在攻击面视角通过几个维度去落实遥测能力。首先从外部入口到内部资产、再到应用环境的资产清点和风险发现与研判能力。比如网内有哪些没有被管理的资产和影子资产？哪些中间件的版本比较老？内网有没有log4j相关软件？某台主机突然间增加了高权限的账号，是不是存在风险？对外开放服务都遭受了哪些攻击？漏洞都影响了哪些资产？这些受影响的资产和哪些业务系统相关？主要发生在哪些部门？这些漏洞攻击面的修复策略和修复建议是什么？这些都是通过资产和攻击面视角去提升遥测能力。

四是基于ATT&CK的攻击检测发现所需要的数据源提升遥测能力。这里要求数据采集粒度要做到足够细，比如进程类，包括进程的启动、进程的退出，线程的启动、线程的退出，进程间的访问，进程的脚本执行等，这些都属于细粒度的采集和感知。

XDR的扩展价值主要是体现在遥测能力，为安全度量提供手段，提供完整的上下文，包括流量、包括终端，结合攻击面的评估，结合ATT&CK的攻击战术和技术进行细粒度的威胁检测的能力提升。

未来智安XDR的遥测能力和看见是基础，基于遥测能力第一时间感知变化更为重要，是检测能力的覆盖和持续安全防护能力的保障，即在看见之后，特别是各种绕过和对抗场景下，能第一时间感知风险、感知变化、感知攻击，这才是价值，这样也就避免了因采集大量的数据而沦为数据沼泽，一定要将采集到、感知到攻击作为整体威胁检测能力的提升。

未来智安XDR将感知能力分成三块：

第一，看见资产，比如看见主机上的进程、软件、开放的端口、数据库、环境变量、内核模块等。

第二，第一时间感知系统变化，比如新增账号文件权限的变更，并且能在第一时间去告知用户和安全团队。

第三，为了感知底层的安全变化，需要具备一定的敏感行为检测能力，比如说提权，高权限的账号。

目前未来智安XDR围绕ATT&CK覆盖了近万条的威胁检测规则，这些检测规则在传统的基于静态检测、基于特征检测的安全防护能力的产品中是不具备的。

看见威胁和攻击之后，如何让安全运营团队达到一个可运营的状态？未来智安XDR将这里分为五个层面。

第一，面对海量告警，能使安全运营团队达到一个可运营的状态，主要体现XDR的告警治理能力。

第二，在安全分析层面需要具备焦点，不盲目分析，不因为海量告警而选择性的放弃，体现了XDR对高价值攻击场景的挖掘能力。

第三，摸清攻击意图，看见受害者，评估受害程度和影响面，主要体现XDR的画像能力。

第四，看清攻击的来龙去脉，从攻击的入口点到进入主机后具体的行为到横向移动，最终呈现完整的攻击链条，主要体现XDR的事件化能力。

第五，具备自动化能力，具备告警分析和研判能力，辅助安全运营团队提升效率，释放安全运营压力，聚焦高价值的攻击场景，主要体现XDR的自动化能力。

未来智安XDR通过资产、漏洞、攻击、风险、告警、安全事件，整体呈现一个直观的威胁方向。我们可以看到攻击者数量、来自哪里、受攻击的资产、产生的告警、有多少完整的攻击事件、存在多少漏洞、高危端口和脆弱性配置等。通过多种维度看清攻击的本质，以提升整体的安全防护能力。

我们认为XDR告警治理的核心是发现高价值的告警，通过各种维度、各种模型去降低告警量。未来智安XDR告警治理首先通过对异构数据的治理，将各类安全设备产生的告警进行统一的数据治理，同时基于同源、同类型的攻击和攻击场景化，进行告警的收敛，之后进一步利用XDR事件引擎将零散的攻击告警提升为完整的攻击事件，这样就可以很好的回答攻击者是通过告警详情看清楚整个攻击过程。

可运营的另外一个层面是如何利用科学的手段进行安全事件分析，包括IOC、威胁狩猎等，XDR分析的最核心、最根本、最有价值的部分是通过根因分析，看到完整的攻击事件。

看清告警的来龙去脉，是XDR运营的一项关键能力。我们认为端点和流量的边界防护是XDR必备的核心组成。例如从外网突破到内网的挖矿事件，我们看到黑客从边界突破进来之前进行端口扫描，这时未来智安XDR的探针能发现端口扫描行为，并发出告警，可以看到Struts2的漏洞命令执行，同时利用命令从外网下载挖矿程序和横向移动的程序并启动，紧接着发生横向移动，进行跨网段的扩散。

XDR系统中形成的事件，能结合终端和流量，实现完整攻击路径的捕获和回溯，这时安全人员可以基于完整的事件进行安全运营，而无需面对海量的零散的告警，只需围绕安全事件进行分析，达到整体提升安全运营的效率的效果。

可运营的另外一个维度是看清攻击者的意图，看清受害者、评估受害影响面，即XDR的画像能力，主要包括两个层面：一个是攻击者画像，一个是受害者画像。

攻击者画像，主要通过钻石模型去看攻击者的IP、国家、攻击组织、受影响行业等信息，摸清攻击者的身份。另外，从攻击者采用的攻击策略、战术、技术，采用的工具、利用的漏洞，去摸清攻击者背后的攻击能力。同时，利用数据分析能力，挖掘出攻击背后的基础设施，同时也可以结合第三方安全防护设备进行联防联控，这一切都可以通过未来智安XDR内置的SOAR安全编排自动化去完成

未来智安XDR提供受害者画像，看清被攻击者的情况，受影响面，并提供安全防御手段和修复方案。站在受害者的角度，我们通过内外两个维度做画像呈现。

一个维度是看清资产的安全状态，包括资产是否遭受外部攻击，是否存在内部渗透行为，是否失陷，是否遭受APT。也会结合资产的安全防护情况，比如是否安装了防病毒、EDR，是否属于影子资产，是否属于未列入管理的资产，是否安装了安全防护产品，以及资产背后的历史攻击告警情况。同时结合资产的基础环境做风险状态评估，如漏洞数、系统风险、应用风险、弱口令、基线检查等。还会结合资产的使用情况，看清资产上安装了哪些应用软件、中间件，是否存在着web服务、web站点，这些web服务、web站点背后是否存在webshell，以及开放端口的情况等。结合资产的使用状态去做受害者画像呈现。

另外一个维度是通过资产结合攻击者视角进行画像的呈现。主要包括攻击者的基本情况，以及所处的攻击阶段。利用数据分析的能力去挖掘攻击背后的关键线索，包括完整的攻击链条，攻击过程中所涉及到的样本、文件、哈希、域名，以及攻击过程中是否创建服务，是否有增加高权限账号，是否存在着提权的行为等。也会结合攻击造成的危害，去看本次攻击是否存在文件篡改、文件加密、反弹Shell等，是否基于这台资产进行横向移动，有没有存在数据外发行为。最终未来智安XDR会给出修复、加固和处置建议，包括漏洞、资产安全的修复，攻击面的评估和资产行为的审计。

XDR通过发现资产、资产评估、风险评估，基于风险做告警运营，接下来的关键能力就是拉通企业内不同角色、不同分工的人员，进行统一的安全作战，包括安全能力协同，工单分配，可以围绕着某一告警和攻击事件进行快速的调查响应和处置。

这里最核心的一点是需要调用内置的、丰富的安全剧本，比如当怀疑某一台主机被黑客入侵，这时候就可以到作战指挥室里去调用一些工具，看这台主机是否存在开放端口，是否存在异常行为等，这些都可以通过统一的作战指挥室去实现，以提高安全运营的效率。

如何保障XDR的有效性？未来智安XDR从产品设计到研发阶段，都遵循着一个模型，即 TDIR模型。

首先“TD”就是威胁检测能力，必须具备跨平台、跨边界的安全防护，这里要具备覆盖终端、覆盖流量的威胁检测能力。同时具备异构化的能力，能接入第三方的安全防护设备，去实现整体联防的联控，打破安全防护设备的盲点。除了端点的威胁检测、流量的威胁检测之外，还需要具备自定义的威胁检测能力，可以为客户提供符合企业或者客户行业特点的增强威胁检测和防护手段。

第二，具备丰富的遥测能力，能将海量告警进行收敛、提升为完整的攻击事件的能力。未来智安XDR在这里能将告警量缩减到每天几十条的安全事件，大大减轻了安全运营的压力。

第三，自动化的安全运营能力，具备对告警的自动化分析、研判、取证能力，实现自动化的安全设备联防联控能力。未来智安XDR能将原来数天、数小时的安全运营的工作量降低到分钟级，大大提升整个安全运营的效率。

—— END ——