從SOAR說起,亞信安全XDR如何治理高級威脅?

面對複雜多變的安全威脅，該如何有效地進行防禦？說起來，這個問題並沒有一個標準答案。

不過近年來，有一個安全防禦理念正在成為業內的共識，它就是SOAR。2015年，Gartner首次提出SOAR概念，而後不斷演進，SOAR有了如今的涵義，既安全編排（Security Orchestration）、自動化（Automation）和響應（Response）。

①

2017年，Gartner在一篇報告中指出，未來五年企業將改變他們的安全支出戰略，從僅採取阻止（prevent）措施而轉向更側重於檢測和響應。

的確，在今天，從一個威脅的發現到響應正在產生越來越大的鴻溝。很多企業已經在阻斷這一層面做了大量工作，無論是部署防火牆、防病毒、IPS等基於策略和規則的安全設備，甚至是基於行為和大數據分析等安全軟體的採購，然而卻在安全威脅處理和響應上的能力上仍然欠缺。

拿最近萬豪酒店數據洩露的事件舉例，自2014年起，就已經存在第三方對其旗下喜達屋酒店數據的未經授權訪問，然而直到2018年9月，萬豪才收到安全工具發出的非法訪問資料庫警報，進而採取調查並發現，約5億顧客信息遭洩露。

很多公司在很長時間內都找不出甚至無法發現潛藏在自己網絡中的威脅已然是個大問題。事實上，凡是對安全重視的公司並不缺乏安全警報，只是無法在大量告警中定位最準確的那一個。安全初創公司Demisto一項調查研究顯示，有公司的安全團隊疲於應付每周17.4萬條的安全警報，然而安全分析師每周能審查並響應的安全警報最多1.2萬個。

所以按此大膽估計，萬豪數據洩露事件起初也不見得沒有安全工具相關告警，也許安全人員並沒有在告警中對其準確定位。

安全運營視角的SOAR雛形

這也就有了SOAR的用武之地，它將安全產品以及安全流程連結和整合起來，並將人工安全專家的工作交給機器來執行，進而形成精密編排的聯動安全解決方案。總結起來說，SOAR平臺利用收集的安全數據和告警，通過使用人工專家以及機器的力量來進行事故分析。這樣可以定義問題的優先級，並通過標準的工作流來標準化事故的調查處置流程。

根據Gartner的預測，到2020年年底，擁有5人以上安全團隊的機構中將有15%利用SOAR工具進行編排和自動化操作。

②

近日，亞信安全舉辦高級威脅治理10年暨XDR戰略發布會，其依託SOAR理念正式發布XDR戰略，XDR以安全運營視角打造了一套精密編排的聯動安全解決方案。

亞信安全通用安全產品總經理童寧用「新木桶理念」來形容這一套方案的特別之處。新木桶理論強調的是產品之間和系統之間非常緊密地融合，然後能做到精密編排，出了問題大家知道人怎麼「跑出去」，知道怎麼用「消防設備」。

「新木桶理論下的桶可能有短板，但是下面的縫一定是堵上的，這樣的話，這桶水雖然不滿，但不會全漏掉。」童寧說。

所以，對應新木桶理念，亞信安全XDR實現的是產品和技術做到精密編排的聯動，也就是堵上了傳統安全防禦體系上的漏洞。

如何實現安全的精密編排與聯動，XDR從發現到響應分為四步：

1. 告警受理：對告警進行分類和優先級劃分；

2. 定性分析：判斷威脅的真實性，確認威脅的本質及攻擊者意圖；

3. 定量分析：回溯攻擊場景，評估威脅的嚴重性、影響和範圍；

4. 響應：根據響應腳本，執行響應策略。

具體來說，亞信安全的XDR方案包括了「準備、發現、分析、遏制、消除、恢復、優化」這7個階段，準備階段包括了針對每一種黑客攻擊類型的標準預案。自發現威脅數據之後，將數據集中到本地威脅情報和雲端威脅情報做分析，利用機器學習和專家團隊，通過分析黑客進攻的時間、路徑、工具等所有細節，其特徵提取出來，再進行遏制、清除、恢復和優化。

同時，XDR也是亞信安全下一代威脅治理戰略3.0的雛形，「威脅治理戰略3.0的目標正是有效縮短應急處置安全事故的時間，同時也減少和優化傳統SOC中不必要和冗餘的工作，提高工作精準度，安全運維流程的文檔化以及證據的管理，並且可以讓用戶在少量培訓的基礎上提高告警分析的質量和偵測發現的能力。」亞信安全產品總監白日說。

③

當然，無論是XDR還是下一代威脅治理戰略3.0，代表著亞信安全對高級威脅治理的新理解，如何對其進行落地？這背後既有技術手段，也有流程保障。

如同亞信安全通用產品管理副總經理劉政平所說，有了方法論還要有非常好的工具。

亞信安全SOAR產品方案

亞信安全XDR戰略中引入了EDR、NDR、MDR等新工具，包括深度威脅發現設備TDA、深度威脅分析設備DDAN、深度威脅安全網關Deep Edge、深度威脅郵件網關DDEI、伺服器深度安全防護系統 Deep Security，以及能夠統一聯動管理的控制管理中心Control Manager和APT治理專屬諮詢服務，進而實現威脅從發現、分析到響應的閉環。

「在一個網絡中，亞信安全通過終端、網絡端去發現威脅，然後進行自動化分析，並把分析結果反饋給各個系統，並且實現各系統協同處理威脅。所以它是一個發現、生成情報、聯動所有終端協同處理、精密編排、精密聯動的過程。」劉政平說。

除此之外，亞信安全還把人的經驗植入到XDR當中。也就是如上所說，亞信安全在威脅發生的準備階段提供了針對多項黑客攻擊類型的標準預案。目前，亞信安全共梳理了40多種攻擊場景，也就是提供了針對40多種攻擊場景的工作流預案，包括數據洩露、勒索病毒、社交工程郵件、零日漏洞攻擊等。

總之，面對不同的攻擊「門派」，要有不同的響應手段，亞信安全已經提供了標準的預案、專業的調查工具、以及安全響應專家保障，從而應對不斷爆發的高級威脅。

最後再來說以下XDR本身的涵義，當前安全市場EDR、MDR等技術概念尤為熱門。XDR中的「X」又代表何涵義？這裡代表安全的不確定性和變量，甚至未知。亞信安全希望在不確定的網絡安全世界裡，找到確定的方法，提升威脅的偵測、分析能力和網絡空間恢復補救能力，將APT治理能力進化到更高階段。