安全运营“优选方案”:网御星云XDR技术赋能安全实战化场景
数字化转型背景下,XDR技术已成为综合性威胁分析与响应处置解决方案的一种关键技术。网御星云CSA-XDR“前哨”方案通过深度应用XDR技术,可为政企客户提供合规性和实战性兼顾的安全运营建设方案。
技术演进
XDR技术的方案成政企客户优选
在XDR市场定义迭代中,从2021年强调“特定供应商的内聚安全运营系统”,转变到2023年强调“通过多来源的威胁情报、监控数据和安全分析的集成”,可以看出,原生XDR方案正逐步过渡到混合XDR方案。混合XDR方案提供了更多维度安全告警、安全事件的情境和关联。同时,新一代XDR方案的最终目标是帮助安全运营团队优化安全决策:一方面通过组件的集中策略管理、集中数据存储达到有效地资源分配;另一方面,通过安全事件的多源集成、关联分析,IR的本地编排和自动化,与已有单点方案既相互独立,又相互补充。
因此,XDR技术理念的演进,使得其解决方案更适用于把网络安全视为有助于组织业务成功的战略投资的政企机构,这些组织正不断寻求更高的安全运营效率、更有效的可衡量运营结果、更少的安全运营人员,故XDR方案就顺其自然地成为安全运营优选解决方案。
定位“前哨”
支撑安全运营方案
何为“前哨”?百度百科解释为“从主力部队派往某处的兵站、宿营地或作战地点以防止敌人侦察或偷袭的防卫支队”,“可指支队岗哨或警戒站”,“在一些文学作品中也可指第一线”。
如何理解安全运营的“前哨”呢?国外安全运营的主流模式是SECaaS托管运营,允许安全数据离开本地网络,接入到服务商的远程安全托管运营中心,由运营团队实施远程管理。国内的远程托管更倾向于本地部署,运营人员通过专有可信通道接入到地端平台进行远程管理。而CSA-XDR基于其轻量化、可快速部署的特性,针对国内外运营场景提供了灵活可扩展的XDR解决方案,就成为了安全运营工作的第一线,即安全运营“前哨”。
图1 网御星云CSA-XDR前哨方案
在允许数据离场的安全运营场景中,作为“前哨”,CSA-XDR定位为本地的聚合、分析、转发系统;在数据不离场的安全运营场景中,CSA-XDR作为安全运营的分析、处置、流程管理系统;在云端多租户运营场景中,CSA-XDR作为支撑安全托管运营的必要组件之一。此外,在一些行业级运营场景下,基于行业特点和不同监管要求,CSA-XDR适用于二级单位的地端平台配合一级单位构建适合该行业特定环境的安全运营体系。
四大特色
全面支撑“前哨”方案
网御星云CSA-XDR“前哨”方案将平台化+AI+自动化作为核心能力,具备原生组件,可扩展第三方安全工具。方案以CSA-XDR为主体产品,综合了XDR技术和元数据驱动的设计理念,融合安全告警、流量日志、终端数据等丰富的数据源,多种安全分析引擎联合驱动,支持AI模型特性字段提取,具备“集中建模-分布式应用”的AI模型高效协同应用模式,内置数十种开箱即用的实战化分析场景,支持分析场景低代码快速构建,并配置自动化编排与响应能力,可联动几十种类型的安全设备,实现安全事件从多源数据采集、分析到响应的高效自动化闭环,是一套一体化、智能化、开箱即用的平台。
经场景迭代演化,方案已具备以下四大特色:
1.提供多云、云地混合网络场景环境下的威胁可见性方案
随着政企客户越来越多地采用云化部署,甚至是多云部署、云地混合网络场景部署,对跨环境、全面统一视图可见性的需求愈加迫切。在数据源上,CSA-XDR支持收编更多种类的网络设备、安全设备、终端、云工作负载,甚至到应用层API数据,使用跨数据分析提升调查分析能力;在检测分析能力上,可使用流量、审计日志、告警等数据,支持更多维度的关联、检测、管理、配置能力,并和其他的单品工具集成配合;在自动化IT流程和处置闭环上,深度整合预置的原生组件,也可对接第三方安全工具,与客户现有部署环境下的安全工具建立连接,CSA-XDR本地分析引擎以AI为驱动,借助可组装、元数据驱动架构实现云端数据中心模型的快速更新,从而应对多变的攻击技术。CSA-XDR作为一个开放式的中央管理平台,充分考虑了多云适配、多云部署、云地部署场景差异性,通过集成网络、终端、云和第三方数据形成多数据源洞察。
2.提供大小模型联动的AI增强型方案
随着当前自动化安全运营助手中AI技术的应用,特别是大型运营模型(LLM)特性的出现,快速触发了CSA-XDR的AI增强特性,AI增强可以提升多数据源的关联识别及异常检测效果,一方面提供告警优先级排序,另一方面有助于预测潜在的威胁以及增强检测能力,从而帮助企业组织采取更加主动的防护策略。AI增强还可以应用于CSA-XDR的IR流程,通过AI助手能力简化安全事件响应工作流的用户界面操作,极大提升产品自动化和易用性能力。
3.提供多种安全产品能力剧本编排,策略联动方案
安全事件处置的最后一公里往往是艰难的,由于不同行业、企业业务的差异,导致在自动化调查和闭环响应方面存在定制化需求。当前,政企对于安全编排与自动化响应的关注度不断提高,将其视为提升网络弹性的关键技术和优选方案,从而实现更快的响应。CSA-XDR内置了多种跨厂商、跨类型的安全设备、办公工具协同的应用剧本以及一键封堵动作策略:聚合后的告警可导入剧本编排流程,通过剧本编排不同安全事件的调查、取证、人工确认等算子能力接口,快速完成各类型安全事件的处理;针对可自动化防御的告警类型,启用开箱即用的应用动作阻断或遏制攻击行为,达成自动响应能力。
4.提供多行业场景的安全威胁监控管理方案
根据行业特点和监管要求,不同行业核心客户群体的监测重点不同,需要构建特定的威胁监管方案,例如:政府行业数据涉及国家安全和公共利益,因此要确保门户网站的安全监测以及数据流转在安全的网络内;教育行业,作为挖矿木马高发区,需要关注内网的病毒扩散;金融机构关注金融业务交易中的风险与威胁;医疗卫生行业关注业务连续性,敏感数据保护等。因此,CSA-XDR 内置了典型的、高频的恶意程序以及安全漏洞、暴力破解、外联通信、挖矿等专项场景,同时具备低代码行为分析引擎,针对新专项场景,可先动态增加元数据字段,然后通过SQL操作新的场景字段,最后通过页面拖拉拽仪表盘方式快速构建新的场景页面,极大地提升场景扩展能力。
图2 CSA-XDR威胁建模机制
在XDR建模能力方面,CSA-XDR产品在组装式架构的基础上,创新性引入了实战特性的场景分析功能,系统目前已内置了20个场景。
图3 CSA-XDR场景分析
未来展望
AI大模型助力CSA-XDR
随着AI大模型能力的落地,CSA-XDR的场景化分析技术将与人工智能大语言模型相结合,通过自然语言问答,完成安全专题场景分析探索:基于用户的行业性或合规性要求,按照客户的问答方式,推荐自定义场景所需基础数据(资产、脆弱性、情报和攻击行为等)的数据库表和字段,并推荐生成SQL语句用于自动化生成运维场景仪表盘,帮助客户快速创建符合自身业务需求的安全可视化场景。
XDR中的X代表着安全能力的持续性扩展,结合安全数据中台技术、自动化编排技术以及安全降噪、溯源分析、威胁狩猎技术,形成面向多种及未知安全场景的综合型安全解决方案。网御星云CSA-XDR方案将面向未来多种可能性,围绕用户各类安全运营场景,持续提供可迭代可扩展的安全运营“前哨”方案。
