基于原生安全数据体系构建的扩展检测响应平台.docx

?

?

基于原生安全数据体系构建的扩展检测响应平台

?

?

【摘要】网络安全事件层出不穷，网络安全问题呈现出多元化的发展趋势，传统的安全解决方案发展过于缓慢，目前主流的应对方案依然是基于大量安全产品的简单组合，存在较多的不足。本文非常详细的介绍了银行XDR（扩展检测响应平台）的构建：通过原生的流量采集工具与端点采集工具将关键数据聚合在XDR平台，通过云端专家服务提供威胁分析研判及狩猎能力，提供本地化分布式部署或者SAAS化交付方式实现在线化效果，为用户带来深度检测、精准响应、持续生长的价值。

一、背景概述

1.1背景

网络安全是一个事关国家安全的重大战略性问题，“没有网络安全就没有国家安全”、“安全是发展的保障，发展是安全的目的”、“加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力”，为网络安全工作指明了方向。关键信息基础设施“不出问题则已，一出就可能导致交通中断、金融紊乱、电力瘫痪等问题，具有很大的破坏性和杀伤力”。

从外部威胁和事件影响角度来看，随着攻防新技术的发展和应用、APT与未知威胁的增多、0day漏洞频繁爆发、护网行动等造成网络安全威胁和风险日益突出，引起的网络安全事件的影响力和破坏性正在加大，并向政治、经济、文化、社会、国防等多领域传导渗透，对网络空间安全建设提出了更高的挑战与要求。

1.2新的形势

互联网技术的飞速发展使得互联网承载的价值越来越多、网络的规模和复杂度越来越大，因此，黑客有了越来越多的动机和手段来窃取企业的机密信息和资源，甚至是对企业资产造成破坏。

1）外部威胁不断变化，网络空间对抗态势进一步加剧

安全的本质是对抗，网络空间对抗态势进一步加剧。其中，黑产对抗升级，以勒索、挖矿为代表的黑产恶意软件同比增长31%，政府和能源同比增长25%；漏洞收录递增态势，漏洞收录较去年增加14%，2019年下半年网站攻击增长59％；APT攻击快速增长，2020年政府、能源、金融以及国家基建等APT攻击行为同比增长33%，大量0day利用攻击同比增长49%。

2）国家重视监测预警和信息通报，合规监管趋严

从合规合法角度看，2017年6月1日，《中华人民共和国网络安全法》正式施行，其中，第五十一条，国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息；第五十二条，负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警与信息通报制度，并按照规定报送网络安全预警信息。

并且，等级保护2.0相关政策条例的修订与出台、也提出了一些新的安全要求，应依据国家网络安全等级保护政策和标准，开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。

3）网络攻防不对等，安全运营能力缺失

Verizon对安全事件进行了调查，得出的结论是：不计算前期侦察与信息获取的过程，攻击者从实施攻击到入侵得手仅需花费数小时的时间，相比之下，62%以上的企业需要花上数周甚至超过一个月的时间才能发现黑客攻击，随后还需要数天至数周的时间完成响应和补救工作；在另外一项统计调查中，PonemonInstitute从全球252个机构的1928起攻击事件的中发现，攻击事件的平均解决时间为46天，而每延迟发现和解决攻击事件一天，企业就会损失21155美元。

▲图1-1攻防不对等（数据来源：Verizon2019数据泄露调查报告）

传统体系安全验证方法，包含标准规范、合规检查、安全基线、渗透测试和配置核查等。这些方法论，都有一个假设前提条件，IT信息系统存在的风险和威胁，是可以经过评估和充分地认知，从而被发现处置。但在如今不断发展的网络威胁和IT环境中，这些假设均不成立，0day漏洞攻击和APT高级可持续威胁攻击一直存在，漏洞永远存在而且未知。

由此可见，在网络复杂性极大、网络弱点极多的今天，想利用边界防护设备阻止黑客进入企业内网是难以做到的，出现了攻防不对等的情况。并且，0day和APT攻击的出现，传统的安全验证体系不完善，导致安全运营能力的缺失。

二、需求分析（存在的痛点、难点等）

网络安全事件层出不穷，网络安全形势也愈来愈复杂和严峻。在黑色产业链的利益驱使下，黑客的手段越来越成熟，各种基于社会工程学、0day漏洞和绕过攻击等新型手段发起的攻击不断出现，网络安全问题呈现出多元化的发展趋势。面对网络安全问题的快速变化，传统的安全解决方案发展却过于缓慢。目前主流的应对方案依然是基于大量安全产品的简单组合，存在较多的不足：

1）安全设备孤岛式分布，无法真正协同工作

一次安全事件会同时在多个点留下痕迹，但安