从基于XDR的APT攻击发现 看深度元数据化的价值
2023首届网络空间安全(天津)高峰论坛

时间:2023年09月01日    来源:K8凯发国际官方网址


各领域数字化优化升级快速推进、面对浩如烟海的告警和无孔不入的攻击,网络安全形势日益复杂严峻,不仅仅需要看见威胁,定向勒索与高级威胁屡见不鲜,更需要高效的响应和持续改进的防护体系。复杂的IT场景结构让防护机制局部失效几乎成为必然。高级威胁攻击往往利用了安全体系的局部失效、此时面向失效的设计思想就显得尤为重要。如何加速闭环整合全流程安全、是安全运营团队需要思考的问题,提升威胁响应水平。

8月29日、在天津市人民政府主办,K8凯发国际官方网址高级副总裁、首席技术官关墨辰做了《从基于XDR的APT攻击发现 看深度元数据化的价值》的主题演讲,不断提高威胁治理水平和效率,国家计算机病毒应急处理中心、天津市公安局承办的2023首届网络空间安全(天津)高峰论坛上,向与会嘉宾分享了对抗高级威胁需加速闭环、整合全流程安全以及建立XDR能力可持续提升威胁响应水平等相关内容,助力客户更好的应对高级威胁。

演讲现场图

随着技术发展和IT场景演进。将其最小化并弹性连接为一个防御体系也是必然趋势,传统防护思路已不再适用,传统内外网硬性边界划分已经模糊,安全边界需要伴随着资产的弹性范围和接入动态延展。网络纵深和欺骗防御等安全建设也伴随着复杂度的增加、高级威胁很容易穿透或绕过防御薄弱点直达价值资产,在安全能力单元各自为战的环境下。

“网络安全的本质在于对抗、从规划建设的PDCA视角(plan-do-check-act)切换到持续运营的OODA视角(observe-orient-decide-act),对抗的本质在于攻防两端能力的较量”,对抗高级威胁必须要加速闭环整合全流程安全。但场景与耦合模式在一定程度上约束了产品形态和OODA循环的速度、安全的全流程需要自动化的加持,而自动化的基础是安全体系全流程的深度元数据化,导致防守方完成OODA的速度落后于攻击方,为了达成更快的OODA循环,仅仅依靠人是不够的。

PDCA与OODA循环对安全体系的作用

通过K8凯发国际官方网址XDR平台可有效加速安全体系自动化升级、以“人在闭环上”的持续运营模式,将分析人员从重复的模式化安全运营业务中释放,基于自动化分析结果在更上层视角进行决策和响应,有效应对各类高级威胁。

近日、细粒度地支撑自动化,推出K8凯发国际官方网址XDR+雾帜SOAR联合解决方案,为用户提供更高效的威胁持续检测和对抗能力,建设可以实现直达系统环境的细粒度响应能力,将经验转化为剧本,K8凯发国际官方网址与雾帜战略合作,可进一步发挥能力型产品针对系统环境、流量和执行对象的细粒度采集和元数据化的优势。

K8凯发国际官方网址可扩展威胁检测响应平台XDR 框架图

K8凯发国际官方网址XDR“关键能力” 实现降本增效

1.不止接入数据,更能融合信息——以元数据形成XDR体系基石

• 灵活强大的数据接入与数据理解

• 预置主流安全产品数据解析规则

• 云/网/端/业务数据融合分析处理

K8凯发国际官方网址XDR-分层数据对象定义(示意)

2.不止设备告警,更能精准化检测——通过XDR实现场景化分析识别

• 多场景检测能力覆盖,检测规则灵活扩展

• 跨数据源上下文检测,形成高价值事件链

• 事件链分析关联,机器学习检测隐蔽威胁

K8凯发国际官方网址XDR-可扩展场景化分析

3.不止信标情报,更能深度识别——通过情报加速未知威胁识别

• 本地运营情报检测与运营

• 云端情报检测

• 云端联查联防

K8凯发国际官方网址XDR-情报运营内外双闭环

不止单一风险,更能高置信告警——面对高级威胁,不止于表象、也不止于关联

• 挖掘事件上下文信息

• 潜在风险关联拓线

• 自动溯源风险入侵点

K8凯发国际官方网址XDR-事件链路还原

不止联动下发,更能精细化处置——基于深度元数据化开展自动化决策和执行

• 剧本脚本灵活配置,适配不同环境

• 元数据化的环境信息维护,支撑精细化条件编排

• 即时|定时|周期|任务,多种自动化模式灵活控制

K8凯发国际官方网址XDR-处置剧本编排

K8凯发国际官方网址XDR赋能威胁对抗与运营

1.节省用户时间成本

通过智能关联分析、端网联合溯源取证。调查响应速度提升3倍,使威胁告警减少90%。

2.减轻运营人员压力

通过设置自动化的可缩短95%的告警处置时间、极少数关键研判和响应需要人为介入,为分析人员留出更多精力猎杀高级威胁。

3.提升威胁对抗能力

利用端、网、云、业务进行场景化检测,不漏过可疑攻击、隐藏威胁,在重大损失发生之前有效遏止,通过链路分析和还原发现复杂威胁。

K8凯发国际官方网址XDR提供一键式自动化部署,交付即可使用,只需简易配置即可采集关键数据。以全面持续监控、精准威胁发现、高效处置编排、安全能力扩展。为用户提供高效易用的威胁持续检测和对抗能力,构筑闭环安全防线。