XDR（eXtended Detection and Response，擴展的安全檢測及響應）

一、什麼是XDR

首先從EDR（Endpoint Detection&Response）說起，即端點安全檢測及響應；還有NDR（Network Detection & Response），即網絡安全檢測及響應（類似NTA，不再贅述）；以及MDR（Managed Detection and Response），即管理安全檢測及響應，也就是安全運維服務。

於是，什麼是XDR？就是將這些各種各樣的DR綜合起來，叫作XDR（eXtended Detection and Response，擴展的安全檢測及響應），如下圖所示。

如果將XDR體系分層，大致可以分爲三層，即

• 遙測探針層（包括EDR、NDR、系統日誌DR、蜜罐DR等）
• 計算平臺層（安全能力中臺）
• 運維服務層

由這三層組成的XDR安全運營體系，可以有效提升企業的網絡入侵風險防控能力。

 

二、 XDR安全運營體系

企業防入侵能力=MDR攻擊面分析+XDR威脅檢測能力+MDR實時遙測分析

企業在選購XDR解決方案時，乙方安全廠商往往會講得天花亂墜。我們只要記住上面這個公式，然後圍繞這個公式來評估安全廠商提供的核心能力，即兩項MDR服務能力和一項XDR產品能力。

0x1：MDR攻擊面分析

我們在做企業安全解決方案時，總是試圖將威脅擋在事件發生之前，即梳理資產和盤點可能存在的風險點，也就是全面的攻擊面分析。因此，在花大價錢購買XDR解決方案時，一定不要漏掉“MDR攻擊面分析”定期服務，最好能夠包括以下幾個方面：

• 1）基於終端安全產品（EDR等）的資產發現及漏洞掃描、基線掃描服務。不僅要把風險告警出來，還需要分析這些風險的危害等級（是否可以遠程入侵、信息越權訪問等）和暴露面（公網暴露、內網暴露、只是存在組件漏洞但未開啓服務等）。對於危害較高且暴露在公網或內網的風險，應推動甲方及時修復。
• 2）基於流量安全產品（NDR等）的資產發現及流量全景統計分析。識別並排除網絡中的惡意流量，並建立流量基線。
• 3）漏洞掃描服務。通過漏掃發現的風險，已經證明其真實存在，需要第一時間修復。
• 4）基於終端安全產品（EDR等）和流量安全產品（NDR等）的網絡端口收斂服務。通過EDR和NDR遙測到的全網終端網絡端口活躍情況，對高危端口的使用情況進行分析、收斂、封禁、動態管理等。
• 5）暴露信息收集服務。對應技戰術中的“偵查發現”步驟，模擬攻擊者從互聯網收集暴露在外的信息，這些信息可能成爲攻擊者的突破口，因此，可以針對暴露在互聯網的設備、服務、API、人進行重點佈防。

0x2：XDR威脅檢測能力

威脅檢測能力是XDR產品比拼的焦點能力，也是MITRE ATT&CK的評測重點。檢測能力包括兩項核心能力：

• 可見
• 告警

攻擊步驟可見是XDR安全運營體系的底座，如果可見能力不行，那麼無論投入多少人力，都不能有效解決安全問題。威脅告警是XDR運營體系的保障，如果告警能力不行，則會產生大量的遙測行爲日誌需要人工分析，從經驗來看，產生的任務量必定會對分析人員形成“DDoS攻擊”。

因此，XDR產品需要具備全面的遙測能力、可解釋的檢測能力、準確的調查能力、可靠的響應能力。

• 1）全面的遙測能力。從安全設備來看，XDR產品體系應包括辦公終端安全產品、主機安全產品、網絡流量安全產品、蜜罐等。尤其是辦公終端安全產品，需要具備完善的行爲遙測能力，按個人經驗評估，覆蓋ATT&CK中70%的技術實例，攻擊者將很難悄無聲息地潛入和逃脫。就好比一個房子，從院子到門口、再到客廳、廚房、書房、臥室，都部署了滿滿的紅外線探頭，當對空間的覆蓋達到70%時，該防線就很難被突破了。那麼，爲什麼不是100%？考慮到開發的實現難度，有一些技術點是無法實現的，或者會較大地影響系統性能。
• 2）可解釋的檢測能力。極端情況下，某安全產品把所有遙測行爲都告警出來，那是令人崩潰的，告警太多和沒有告警沒什麼區別，因爲這些告警沒人能夠處理完，也沒有人敢直接攔截。所以，產品告警一定需要有可解釋性，比如，“某家族的勒索病毒正在操作某文件”，而不是“某進程正在操作某文件”。前者是可以指導處置的，如果足夠自信，甚至可以調用自動響應流程進行自動攔截和修復操作。
• 3）準確的調查能力。目前，調查能力的實現方式主要有兩種：一種是基於時間線的關聯行爲調查模型；另一種是基於進程行爲鏈和關係鏈的調查模型。前者稱爲“時序調查”，理論基礎是攻擊行爲一般發生在相近的時間，結合行爲的可解釋性，可以取得不錯的調查效果，但畢竟帶有“猜測”成分，會摻雜一些“意外”行爲，所以用於輔助人工調查比較實用，但指導自動響應是萬萬不能的。後者稱爲“因果調查”，即通過行爲關係把行爲路徑刻畫得清清楚楚，這種調查方式準確度高，但要求遙測行爲數據足夠豐富和完善，因此要實現全流程的自動化事件響應和處置，必須基於“因果調查”。
• 4）可靠的響應能力。XDR自動響應和處置威脅事件，一方面要儘可能全面地清除惡意程序，另一方面要保障系統不會因爲處置動作而發生異常。即便“因果調查”的結果完全準確，但如果有一個惡意操作是將惡意代碼注入服務進程或寫入系統文件，XDR的處置操作是結束該服務進程或者刪除該系統文件，則可能導致業務終端或發生系統異常。XDR產品應該具備判斷此類場景的能力。

• 0x3：MDR實時遙測分析

實時遙測分析是另一項重要的MDR服務，是XDR安全運營體系的保底策略。它有兩個前提條件：

• 一是XDR產品應具備全面的遙測能力，即儘可能在攻擊的某些階段對一個或多個攻擊步驟“行爲可見”
• 二是XDR產品的檢測能力足夠優秀且具備可解釋性，即能夠對大部分攻擊行爲進行識別，比如能夠識別攻擊源頭、能夠判斷是否攻擊成功、能夠通過自動響應能力準確封禁大部分網絡探測等

在滿足這兩個條件的情況下，一方面基本不會漏過可疑的攻擊行爲，另一方面待分析的“未知”遙測行爲得到了初步收斂。

那麼，爲了進一步減輕實時遙測分析的工作壓力，可以基於遙測數據建立行爲基線，結合大數據分析技術，進一步收斂待分析的“異常”行爲，比如可以使用組合計分模型，把一組遙測行爲通過“時序調查”或“因果調查”組合成一個事件，然後對這個“未知事件”的每一個遙測行爲進行投票計分，當得分大於閾值時，則認爲是異常的，才需要進行人工排查分析。

綜上所述，XDR安全運營體系期望通過“MDR攻擊面分析”提前擋住大部分的網絡攻擊，通過“XDR威脅檢測能力”精準阻擊強行突破進來的“壞人”，通過“MDR實時遙測分析”人工排查觸碰了紅外探頭的“僞裝者”。