從EDR的火熱看安全產品的發展
2021年4月8日23:13
當開始寫這篇博客時,外面正是護網進行得如火如荼的時候。作為一個產品經理,在吃瓜的同時,也在思考着安全產品的發展。這幾年一些看得到的變化在深刻地影響着安全市場的發展,各種檢測技術的火熱就是其中之一。EDR、NDR、甚至XDR,開始大量的應用。大到咨詢機構的行業洞見,小到用戶的使用感言,都讓人熱血沸騰忍不住想要干點什么。同時也讓人產生疑問,憑什么EDR這么火?
先說出結論:檢測響應技術的流行,代表着安全防護關口前移,攻防研判代替運維管理成為安全團隊的首要職責。
安全防護的滯后性
要完全回答這個問題,或許我們得先往前看。時間回退幾年,大家還在比拼特征庫、規則庫數量的時候。安全事故是如何處理的?
首先新的攻擊手段或新的病毒出現。市面上的安全設備大部分都是失靈的,因為已有的規則庫肯定無法對其進行檢測。首批受害者遭受損失,開始要求安全服務商接入。安全廠商的一線人員介入后,獲取攻擊的樣本,並實施一些簡單的緩解措施,防止事件進一步惡化。安全廠商的分析人員通過一系列的工具對一線傳回的樣本進行分析,確定其危害。然后編寫出對應的防護規則,更新到安全設備中以實現對新型攻擊的防護。一線人員更新特征后,再徹底清除受害客戶環境中心殘留的痕跡、恢復業務。
這里簡化了流程,入侵過程和威脅分析的過程可以拆分出更多的步驟。入侵過程可以參考kill chain模型、威脅分析可以參考威脅捕獵環。
這一模式的問題很明顯:
1、通常在業務本身出現異常之前,很多管理員無法感知到當前系統是否已經被入侵。甚至可能入侵已經結束,用戶還渾然不知。
2、從第一批受害者出現,到一般用戶具備防護能力。這一過程通常長達數天(用戶發現、到安全分析人員制作查殺工具、更新規則都需要時間),這數天的時間內會不斷地有受害者出現。也正是在這個過程中,用戶失去對安全設備和廠商的信任。
3、即便事后恢復了業務的正常運行,但是安全事故給用戶業務中斷、數據丟失的損失已經無法挽回。
在這個階段,除了部分鳳毛麟角的企業,大部分企業都沒有自己的安全分析團隊,只能依靠廠商的設備才能實現基礎的防護。廠商之間只能比拼誰家的特征庫更全面,更新速度快,出事概率低。
那為何這種方法開始變得行不通?
1、業務中斷的損失已經變得越來越難接受。相比以前各個企業只有一兩個門戶網站。數字經濟的發展,讓非常多企業將業務搬到了互聯網上,業務中斷的風險對於用戶來說變得不可接受。核心數據受損,可能直接摧毀一個小型的互聯網企業。誰也不希望當新型攻擊的首批受害者。
2、為了盡最大可能保障業務安全,需要上大量的防護手段。廠商們為了在能力的比拼中獲得優勢,也開始越來越深入多底層應用。導致的問題就是,安全設備對業務的運行穩定性影響越來越大。防護手段越多,網絡、系統、應用層面受到的限制就越多,一旦業務與防護手段沖突,可能導致網絡訪問異常、系統不兼容。然后付出數天的時間定位問題,確認問題后再花費數周進行修復和升級。以至於業務團隊往往非常抗拒,安全團隊左右為難。
3、這幾年護網的進行極大地改變了安全建設的模式,安全產品也從“有”向“用”轉換。每年的通報和總結讓用戶的高層開始更為重視網絡安全的建設。滿足護網要求也成了很多企業建設網絡安全的源動力。
檢測響應技術的勝出之道
所以破局之道在於安全關口前移。原本安全廠家后端的分析人員的工作,前移到了一線的安全服務人員。以EDR為例:從名字可以看出,終端檢測和響應。檢測:用於發現主機上各種異常的指標(包含服務、進程、關鍵文件修改、命令執行、網絡訪問等)。響應:對異常行為中被認為是惡意的部分進行干預。
通過EDR、NDR在終端和網絡上實時監控各種異常行為,在業務受到影響之前,提前檢測到入侵者的行為。例如:進程的創建、漏洞利用、異常的網絡訪問。這樣安全調查分析的時間點大大提前,無需等到安全廠家一線、二線介入。有經驗的一線分析者看到各種指標就能判斷出是否這是否惡意行為,以及入侵者的意圖。
在確定面對的是惡意的攻擊行為時,就可以展開處置行動了。相比傳統模式需要等安全廠家更新規則庫或特征庫而言。響應操作可以直接在現場進行,通過封堵IP、訪問控制、進程阻斷、惡意文件隔離等簡單的操作,即可完成大部分安全事件的緩解。后續人工可以進一步執行根除、重建的修復。
這么做優缺點都非常明顯。首先優點:
1、關口前移,檢防並重。相比單純使用特征庫進行精准的防護。重檢測和響應的思路,可以將不那么確定的灰度事件全部暴露出來,允許一線人員基於這些信息判斷這些行為是否惡意。雖然無法像專業的安全分析人員那么深入的分析和還原。但對於一線服務人員來說只要能區分善惡,以便進一步處置就足以滿足需求。一線人員從而具備未知威脅、新型特征的威脅的發現能力。
2、事件響應時間大大縮短。一線人員加上各種工具,在現場環境中基於安全事件上下文的數據直接進行分析研判和響應處置,省去了中間各個環節,大大節省了事件處置的時間。各廠家宣傳的提升時間處理優勢就在此了。
3、對於業務的侵占減少。檢測技術相比在業務上疊加多種防護模塊,對業務的限制更小,對業務穩定性的影響也更小,對於業務也更友好。
缺點:
1、安全團隊需要處理的問題顯著增多。入侵者大都善於隱藏自己的行為,這導致各種終端、網絡檢測產品對於大量無法確定的灰色事件,都會產生告警信息。傳統模式下特征庫精確匹配的才會告警,而現在檢測技術產生的數據可能是之前的十倍以上。
2、一線人員需要具備分析和溯源能力。一線人員需要學習使用whois、沙箱、SIEM、MITRE ATT&CK等分析工具對檢測設備拋出的各種異常數據進行分析,從而決定下一步的行動。並且部分行為的分析還需要對受影響業務系統的流程和行為有足夠的了解才能正確判斷。
現有的安全產品也會使用各種技術,盡量降低使用門檻、減少誤報。比如,在檢測階段使用機器學習的方式,增強對灰色事件的判斷能力。關聯告警數據,減少告警數量。集成威脅情報和常用分析工具,自動化地富化告警信息。這個過程中衍生出SOAR、XDR等產品。但即便這樣檢測響應技術依舊對使用者有着較高的技能要求。
各種DR之后將是什么?
EDR、XDR火了之后,下一個快速發展的領域是什么?不妨順着當前思路暢想一下:
1、用戶自建安全團隊。相比現在安全團隊而言,未來的安全團隊對安全事件分析、溯源能力要求更高,能夠使用各種工具盡可能完整、准確地分析出入侵者的攻擊鏈。在長期的對抗中,安全團隊能夠更加深入地了解入侵者。甚至能夠協助公安反制攻擊行為。
2、用戶安全團隊具備整合能力,熟練掌握編程語言,通過系統開發將多個廠家不同維度的檢測產品集成在一起。結合不同產品的優劣勢,優化它們在自身環境中的檢測表現。
3、安全團隊的地位發生變化。業務負責人無法承受業務損失帶來的風險,將主動請求內部防護團隊的協助。安全團隊成為內部風控部門。
4、安全產品的檢測能力和防護能力會並舉發展,但是防護功能的設計思路將有較大的轉變。過於“笨重”的防護模塊將被舍棄,一些簡單互通的指令將成為各個系統之間交互方案。
5、安全產品內部將內置各種工具,包括信息的富化、行為驗證、臨時數據管理、脫敏等。
6、部分安全產品將進入響應之后的恢復領域,提供自動化的配置修補、報告生成、情報共享、數據和業務的恢復等。
7、托管服務有極大的空間。上面這幾條要求,不是每個企業都有財力和能力建設完整的體系和團隊。托管服務對很多中小型企業都是最優的選擇。雲計算深遠地改變了IT。雲服務也將深遠地改變安全。依托於雲服務的遠程安全托管,蘊含着巨大的機會,並將誕生新的市場領導者。這也是為什么gartner等機構判斷安全服務增速快於產品增速的原因。