Im Jahr 2017 schlug Gartner ein ausgefeiltes SOAR-Modell (Security Orchestration, Automation and Response) zur Orchestrierung automatisierter Reaktionen vor und schlug vor, Sicherheitsprodukte und Sicherheitsprozesse durch vordefinierte Workflows (Workflow) und Arbeitsskripte (Playbook) zu verknüpfen und zu integrieren, um das zu standardisieren Untersuchung und Bearbeitung von Unfällen und Verbesserung der Automatisierung und Ausführungseffizienz der Bedrohungsreaktion. Laut Bai Ri, einem leitenden Experten für Bedrohungsmanagement bei AsiaInfo Security, wurde das SOAR-Modell nach seiner Veröffentlichung von Anbietern von Informationssicherheit und den meisten Benutzern anerkannt. Die Gründe dafür sind folgende:
Verkürzen Sie die Zeit für Notfallreaktionen bei Sicherheitsvorfällen.
Reduzieren und optimieren Sie unnötige und redundante Arbeiten in herkömmlichen SOCs.
APIs für die Integration von Sicherheitsprodukten beschleunigen die Automatisierung.
Umfangreiche Sicherheitsdatendienste: Threat Intelligence Platform. TIPP.
Verbessern Sie die Qualität der Alarmanalyse und -erkennung. Fähigkeit zum Testen und Entdecken.
Verbessern Sie die Arbeit Genauigkeit, Dokumentation von Sicherheitsbetriebs- und -wartungsprozessen und Verwaltung von Beweisen
Reduzieren Sie die Kosten für die Schulung neuer Sicherheitsbetriebs- und -wartungsanalysten Verbessern Sie die
Gesamtfähigkeit zur Messung und Verwaltung von Sicherheitsbetriebs- und -wartungsvorgängen
Laut Bai Ri im Jahr 2018, in den frühen Tagen des Ausbruchs Auf dem Markt für Erkennung und Reaktion (Detection & Response) entstanden nacheinander Konzepte und Technologien wie SOAR, EDR, NDR, NTA, MDR und UEBA. Das Bedrohungsmanagement wurde einem umfassenden Upgrade unterzogen und das von EDR unterstützte XDR-System eingeführt und NDR als Technologie, MDR als Serviceunterstützung und SOAR automatisierte Präzisionsorchestrierung als Workflow-Unterstützung.
Welche Probleme kann XDR lösen?
Es sollte gesagt werden, dass das XDR-System den Widerspruch zwischen sich ständig weiterentwickelnden fortschrittlichen Bedrohungen und der Diskrepanz zwischen den Sicherheitsbetriebsfunktionen löst.
1. Sich ständig weiterentwickelnde fortgeschrittene Bedrohungen
Ob es sich um einen gezielten Angriff wie APT (Advanced Persistent Threat) oder einen groß angelegten Angriff wie Erpressung, Mining, Phishing und Werbebetrug handelt – Angreifer versuchen ständig, neue Angriffstechniken einzusetzen Um den herkömmlichen Erkennungsmechanismus zu umgehen und das Ziel anzugreifen, um einen bestimmten Zweck zu erreichen, bezeichnen wir diese Art von Bedrohung gemeinsam als „fortgeschrittene Bedrohung“.
Um die Beschreibung von Bedrohungen zu vereinheitlichen und zu vermeiden, dass Blinde wie ein Elefant über Bedrohungen sprechen, können die Bedrohungen wiederum in vier Ebenen unterteilt werden, nämlich das Bedrohungsbeschreibungs-Schichtenmodell, auch bekannt als Bedrohungsbeschreibung „Punkt, Linie, „Oberfläche und Körper“ Vier-Ebenen-Modell.
Akteure komplexer Bedrohungen suchen immer nach Möglichkeiten, in die IT-Umgebungen von Unternehmen einzudringen, und einer der einfachsten Kanäle besteht darin, Schwachstellen auf Endpunkten auszunutzen. Daher sagte Bai Ri, dass viele Unternehmen viel Arbeit geleistet hätten, um die Theorie des „Baus von Mauern zur Verteidigung gegen den Feind“ zu unterstützen, sei es durch den Einsatz von Sicherheitsgeräten, die auf Richtlinien und Regeln basieren, wie Firewalls, Antivirenprogramme usw. und IPS oder auch Sicherheitssysteme, die auf Verhaltens- und Big-Data-Analysen basieren. Für die Beschaffung von Software ist die Methode der strikten Prävention und strikten Verteidigung jedoch offensichtlich nicht in der Lage, den aktuellen Sicherheitsanforderungen gerecht zu werden.
Dies ähnelt eher dem Wiederauftauchen der „Maginot-Verteidigungslinie“ in der Online-Welt: Obwohl Unternehmen an der Front eine solide Sicherheitsverteidigungslinie aufgebaut haben, nutzen Cyber-Angreifer hinterhältige Strategien, um hinter die Verteidigungslinie einzudringen und so die Sicherheit des Netzwerks zu gewährleisten System nutzlos.
Reife- und Fähigkeitslücke in vier Phasen des Sicherheitsbetriebs
Wie aus der obigen Abbildung ersichtlich ist, haben mehr als 90 % der Benutzer den Aufbau der Sicherheitsoperation in der „Blockierungs“-Phase abgeschlossen, etwa 60 % der Benutzer haben mit dem Aufbau der Sicherheitsoperation in der „Erkennungs“-Phase begonnen, aber nur weniger Mehr als 5 % der Benutzer verfügen über eingeschränkte Sicherheitsfunktionen in der „Reaktions“-Phase. Es ist nicht schwer festzustellen, dass es von der Phase der „Erkennung“ bis zur Phase der „Reaktion“ tatsächlich eine große „Fähigkeitslücke“ bei Sicherheitsoperationen gibt. Es ist diese Fähigkeitslücke, die dazu geführt hat, dass die Implementierung von Advanced Threat Governance auf einen realistischen Engpass stößt, und der Schlüssel zu XDR liegt darin, dieses praktische Problem zu lösen und die Lücke zu schließen.
Wir könnten also genauso gut zunächst untersuchen, welche Fähigkeiten von der „Entdeckung“ bis zur „Reaktion“ benötigt werden. Welche Schlüsselfunktionen fehlen, die den sicheren Betrieb der Benutzer beeinträchtigen?
Bai Ri wies später darauf hin, dass viele erfolgreiche Praktiken den Menschen sagen, dass die Zusammensetzung der Fähigkeiten von „Erkennung“ bis „Reaktion“ die folgenden vier Schritte umfasst: Der erste Schritt ist „Alarmakzeptanz“: Normalerweise werden Bedrohungsalarme
von verschiedenen Erkennungstools gesammelt Der nächste Schritt ist der Schritt „Alarmannahme
“ Schritt 1, „Qualitative Analyse“: Beurteilung der Authentizität der Bedrohung, Bestätigung der Art der Bedrohung und der Absicht des Angreifers; Schritt 3, „
Quantitative Analyse“: Rückverfolgung des Angriffsszenarios, Bewertung der Schwere, Auswirkung und des Umfangs der Bedrohung;
Schritt 4, „Reaktion“: Formulieren Sie gemäß dem Reaktionsskript die Reaktionsstrategie, führen Sie sie aus und schließen Sie die Reparatur und Abhilfe ab.
Der oben genannte Prozess erfordert den Einsatz von EDR, NDR, Threat Intelligence, Sandbox, ATT&CK und anderen verwandten Tools sowie MDR-Erkennungs- und Reaktionssicherheitsexpertendiensten, um spezifische Aufgaben wie automatische Alarmvorverarbeitung, Inspektion und Beweiserfassung sowie Formulierung durchzuführen und Umsetzung von Reaktionsstrategien. Der gesamte Prozess erfordert auch Prozesse wie Fallmanagement, Reaktionsplan und automatisierte Präzisionsvereinbarung als Garantien. Die Zusammenstellung dieser Inhalte bildet SOAR.
Begrenzt durch den Mangel an Fachkompetenz im Bereich der Benutzersicherheit, den geringen Grad der Prozessautomatisierung und den Mangel an perfekter unterstützender Tool-Unterstützung können sich die Probleme in jedem der oben genannten Links jedoch ins Unendliche vergrößern und letztendlich zu Schwierigkeiten führen bei der Umsetzung der Strategie.
3. Falsche Denkweisen führen zu falschen Handlungen.
Beispielsweise denken viele Menschen auf dem Markt, dass sie rechtzeitig reagieren können, solange Bedrohungen erkannt werden. Für frühe Marktteilnehmer ist es einfach, den Übergang von „Erkennung“ zu akzeptieren. „Reaktion“ Die intuitivste Lösung, und diese Lösung entspricht in der Tat der Mehrheit der Unternehmen, insbesondere dem Status quo der Sicherheitsbetriebs- und -wartungsfähigkeiten kleiner und mittlerer Unternehmen. Viele Hersteller haben auch einfache Produktportfoliolösungen auf den Markt gebracht, um dieser frühen Nachfrage gerecht zu werden, und versuchen dabei, die beiden Prozesse „Erkennung“ und „Reaktion“ auf logische Weise zu überführen.
„Bevor die Benutzer diese Erkennungstechnologien einführten, waren sie vor fortgeschrittenen Bedrohungen größtenteils außer Sicht und Bewusstsein, aber nach der Einführung dieser Erkennungstechnologien begannen einige Benutzer aufgrund ihrer eigenen technischen Fähigkeiten, Wissensreserven, beruflichen Fähigkeiten und bestehenden Prozesse allmählich zu bereuen . Es reicht nicht aus, mit einer so großen Anzahl von Alarmen umzugehen. Selbst die überwiegende Mehrheit der Benutzer ist nicht bereit, mit diesen Alarmen umzugehen. Benutzer beginnen, am Wert dieser Erkennungsprodukte oder -lösungen zu zweifeln, und entscheiden sich daher dafür, solche Produkte auf Eis zu legen oder Lösungen, oder entscheiden Sie sich, die Warnung zu ignorieren“, sagte Bai Ri.
Viele Leute glauben, dass der Grund für die oben erwähnte Peinlichkeit darin liegt, dass die fortschrittliche Bedrohungserkennungstechnologie noch nicht ausgereift ist, was zu einer hohen Fehlalarmrate und der Unfähigkeit führt, Benutzern qualitativ hochwertige Alarme zu geben. Unabhängig von der Fachkenntnis eines Arztes ist es jedoch unmöglich, ohne die Hilfe professioneller Analysetools oder -techniken und ohne Rückgriff auf frühere Erfahrungen eine völlig korrekte Diagnose eines vermuteten Symptoms zu stellen. Tatsächlich ist die Ursache dieser Situation die vereinfachte Wahrnehmung der meisten Menschen in der frühen Phase des Marktes von „Erkennung“ bis „Reaktion“.
Von der „Erkennung“ bis zur „Reaktion“ darf die kritische Phase der „Analyse“ nicht umgangen werden. Allerdings geben weder Gartner noch die meisten Analyseberichte Dritter ausführliche Erklärungen für den „Analyse“-Link und beziehen „Analyse“ nicht einmal als Schlüsselphase seines adaptiven Modells ein. Aber auf jeden Fall beinhaltet die „Analyse“-Phase die Kerngeschäftslogik der „Erkennung und Reaktion“.
Die Kernzusammensetzung des XDR-Systems
Das ausgefeilt orchestrierte automatisierte Erkennungs- und Reaktionssystem bestehend aus EDR, NDR, MDR und SOAR hebt die Kernfunktionen des gesamten Prozesses von der „Erkennung“ über die „Analyse“ bis zur „Reaktion“ hervor und kann als XDR definiert werden, was AsiaInfo Advanced Threat Governance bedeutet Strategie Der Kern von 3.0.
1. Das Spiralmatrixmodell der XDR-Technologie
wurde bereits früher eingeführt. Das Bedrohungsbeschreibungsmodell umfasst vier Ebenen „Punkt, Linie, Oberfläche und Körper“, und das Bedrohungs-Governance-Modell umfasst vier Stufen „Erkennung, Analyse, Reaktion usw.“ Vorhersage". Wenn diese beiden Modelle dann überlagert werden, wird eine Spiralmatrix gebildet. Wenn die jedem Matrixraum entsprechende Schlüsseltechnologie markiert wird, wird das AsiaInfo XDR „Technologie-Spiralmatrixmodell" gebildet.
2. XDR-Kerngeschäftslogik und -Workflow
Das Produktspiralmatrixmodell veranschaulicht strukturell die Positionierung aller verwandten Produkte der Advanced Threat Governance-Strategie und die statische Beziehung zwischen ihnen. Die folgende Abbildung beschreibt die Kerngeschäftslogik und den Workflow von XDR:
XDR-Kerngeschäftslogik und -Workflow
3. Schlüsselelemente der XDR-Implementierung
Die XDR-Lösung umfasst drei Kernelemente: Standardpläne, professionelle Untersuchungstools und Experten für Sicherheitsreaktionen.
(1) Standardpläne
Ausgehend von der großen Anzahl von Notfallplänen, die kürzlich von AsiaInfo für Finanznutzer unterstützt wurden, haben die Pläne die 7 Schritte von XDR für jede Art von Hackerangriff übernommen, die „Vorbereitung, Entdeckung, Analyse, Eindämmung, Beseitigung“ umfassen , Wiederherstellung und Optimierung“-Strategien, um zu bestimmen, wie Benutzer mit verschiedenen Arten von Bedrohungen umgehen sollten.
Beispielsweise kam es in vielen Unternehmen zu Anomalien bei Terminal-Hosts und Netzwerkverkehr, normale Benutzer hatten jedoch keine offensichtlichen Netzwerkangriffe zu spüren. Zu diesem Zeitpunkt besteht die Methode von Eindämmen und beseitigen. , Wiederherstellung und Optimierung.
(2) Professionelle Untersuchungstools
Eine effiziente und genaue Notfallreaktion erfordert professionelle Tools und Geräteunterstützung. Diese Geräte können abnormale Phänomene auf Netzwerkebene, Server- und Terminal-Kernel-Ebene erkennen. Was und mit welchen Mitteln ist der Schlüssel.
Zu diesen professionellen Tools gehören: Advanced Threat Terminal and Host Detection System OSCE/DS, Terminal and Host Access Evidence System CTDI, Advanced Threat Network Detection System TDA, Advanced Threat Network Access Evidence System TRA, Advanced Threat Intelligence System TIP, Advanced Threat Analysis Device DDAN , das fortschrittliche, umfassende Forensik- und Analysesystem UAP für Bedrohungen und der „Dual-Loop“-Mechanismus der lokalen und Cloud-Bedrohungsintelligenz sind äußerst wichtige Werkzeuge der Lösung. Entdecken, sammeln, analysieren und reagieren Sie auf das charakteristische Verhalten fortschrittlicher Angriffe wie APT gezielte Angriffe und Ransomware.
Unter anderem übernimmt EDR von AsiaInfo Security auch die dynamische Untersuchungs- und Prüftechnologie DIA (Dynamic Investigation & Audit) durch Cloud- und lokale Bedrohungsinformationen „Dual Loop“, Sandbox-Analyse, Netzwerkforensik, Terminalforensik, Big-Data-Korrelationsanalyse und andere technische Mittel , basierend auf dem Netzwerk und dem Terminal, um das Verhalten von Hackern zu erfassen und zu analysieren, um die gerichtliche Wirksamkeit des Beweisinhalts und die Genauigkeit der internen Kontrollprüfung der illegalen Aktivitäten des Unternehmens sicherzustellen.
(3) MDR-Service für leitende Sicherheitsexperten
Eine erfolgreiche XDR-Anwendung ist untrennbar mit einem professionellen Service für leitende Sicherheitsexperten verbunden. Im Gegensatz zu herkömmlichen MSSPs, die Kunden hauptsächlich bei Sicherheitsbetrieb und -wartung sowie bei der allgemeinen Reaktion auf Sicherheitsvorfälle unterstützen, ist Trend Micro MDR im Wesentlichen ein hochrangiger Sicherheitsexpertendienst, bei dem Angriff und Verteidigung im Mittelpunkt stehen. Dieser Dienst zielt darauf ab, wichtige Kunden in Schlüsselindustrien zu unterstützen und Kernwerte zu schützen . Bewältigen Sie gezielte Angriffe (Targeted Attack). AsiaInfo Security MDR ist der Top-Stern im XDR-Weihnachtsbaumsystem. Es ist das Bindeglied mit den höchsten Anforderungen an offensives und defensives Know-how in der gesamten technischen und Fähigkeitsunterstützung von „Erkennung“ bis „Reaktion“. Es ist der Eckpfeiler des Herstellers Fähigkeiten und der letzte Ausweg für Kunden. Eine Verteidigungslinie.
Trend Micro MDR bietet eine Reihe von Sicherheitsdiensten wie Bedrohungserkennung, Analyse, Gegenmaßnahmen, Schadensinspektion, Beweissammlung sowie Reparatur und Behebung vor, während und nach größeren Bedrohungen, einschließlich, aber nicht beschränkt auf das Blockieren von Eindringlingen, die Bestimmung des Einflussbereichs usw Helfen Sie dabei, die Produktion wiederherzustellen, untersuchen und sammeln Sie Beweise und geben Sie Vorschläge zur Behebung.
In der Vorbereitungsphase verwenden Sicherheitsexperten Forensikprodukte und -tools, um den Hackerangriffsprozess und den Angriffspfad zu verstehen und wichtige Hinweise auf den Angriff zu finden. Vollständige
Beweiskette.
In der Endphase erstellt das Serviceteam einen vollständigen Hacking-Bericht und führt diesen Originaldaten und forensische Daten in den Akten. Kunden können Folgebehebungspläne nutzen, um zu verhindern, dass ähnliche Angriffe erneut passieren.
Im Jahr 2017 schlug Gartner ein ausgefeiltes SOAR-Modell (Security Orchestration, Automation and Response) zur Orchestrierung automatisierter Reaktionen vor und schlug vor, Sicherheitsprodukte und Sicherheitsprozesse durch vordefinierte Workflows (Workflow) und Arbeitsskripte (Playbook) zu verknüpfen und zu integrieren, um das zu standardisieren Untersuchung und Bearbeitung von Unfällen und Verbesserung der Automatisierung und Ausführungseffizienz der Bedrohungsreaktion. Laut Bai Ri, einem leitenden Experten für Bedrohungsmanagement bei AsiaInfo Security, wurde das SOAR-Modell nach seiner Veröffentlichung von Anbietern von Informationssicherheit und den meisten Benutzern anerkannt. Die Gründe dafür sind folgende:
Verkürzen Sie die Zeit für Notfallreaktionen bei Sicherheitsvorfällen.
Reduzieren und optimieren Sie unnötige und redundante Arbeiten in herkömmlichen SOCs.
APIs für die Integration von Sicherheitsprodukten beschleunigen die Automatisierung.
Umfangreiche Sicherheitsdatendienste: Threat Intelligence Platform. TIPP.
Verbessern Sie die Qualität der Alarmanalyse und -erkennung. Fähigkeit zum Testen und Entdecken.
Verbessern Sie die Arbeit Genauigkeit, Dokumentation von Sicherheitsbetriebs- und -wartungsprozessen und Verwaltung von Beweisen
Reduzieren Sie die Kosten für die Schulung neuer Sicherheitsbetriebs- und -wartungsanalysten Verbessern Sie die
Gesamtfähigkeit zur Messung und Verwaltung von Sicherheitsbetriebs- und -wartungsvorgängen
Laut Bai Ri im Jahr 2018, in den frühen Tagen des Ausbruchs Auf dem Markt für Erkennung und Reaktion (Detection & Response) entstanden nacheinander Konzepte und Technologien wie SOAR, EDR, NDR, NTA, MDR und UEBA. Das Bedrohungsmanagement wurde einem umfassenden Upgrade unterzogen und das von EDR unterstützte XDR-System eingeführt und NDR als Technologie, MDR als Serviceunterstützung und SOAR automatisierte Präzisionsorchestrierung als Workflow-Unterstützung.
Welche Probleme kann XDR lösen?
Es sollte gesagt werden, dass das XDR-System den Widerspruch zwischen sich ständig weiterentwickelnden fortschrittlichen Bedrohungen und der Diskrepanz zwischen den Sicherheitsbetriebsfunktionen löst.
1. Sich ständig weiterentwickelnde fortgeschrittene Bedrohungen
Ob es sich um einen gezielten Angriff wie APT (Advanced Persistent Threat) oder einen groß angelegten Angriff wie Erpressung, Mining, Phishing und Werbebetrug handelt – Angreifer versuchen ständig, neue Angriffstechniken einzusetzen Um den herkömmlichen Erkennungsmechanismus zu umgehen und das Ziel anzugreifen, um einen bestimmten Zweck zu erreichen, bezeichnen wir diese Art von Bedrohung gemeinsam als „fortgeschrittene Bedrohung“.
Um die Beschreibung von Bedrohungen zu vereinheitlichen und zu vermeiden, dass Blinde wie ein Elefant über Bedrohungen sprechen, können die Bedrohungen wiederum in vier Ebenen unterteilt werden, nämlich das Bedrohungsbeschreibungs-Schichtenmodell, auch bekannt als Bedrohungsbeschreibung „Punkt, Linie, „Oberfläche und Körper“ Vier-Ebenen-Modell.
Akteure komplexer Bedrohungen suchen immer nach Möglichkeiten, in die IT-Umgebungen von Unternehmen einzudringen, und einer der einfachsten Kanäle besteht darin, Schwachstellen auf Endpunkten auszunutzen. Daher sagte Bai Ri, dass viele Unternehmen viel Arbeit geleistet hätten, um die Theorie des „Baus von Mauern zur Verteidigung gegen den Feind“ zu unterstützen, sei es durch den Einsatz von Sicherheitsgeräten, die auf Richtlinien und Regeln basieren, wie Firewalls, Antivirenprogramme usw. und IPS oder auch Sicherheitssysteme, die auf Verhaltens- und Big-Data-Analysen basieren. Für die Beschaffung von Software ist die Methode der strikten Prävention und strikten Verteidigung jedoch offensichtlich nicht in der Lage, den aktuellen Sicherheitsanforderungen gerecht zu werden.
Dies ähnelt eher dem Wiederauftauchen der „Maginot-Verteidigungslinie“ in der Online-Welt: Obwohl Unternehmen an der Front eine solide Sicherheitsverteidigungslinie aufgebaut haben, nutzen Cyber-Angreifer hinterhältige Strategien, um hinter die Verteidigungslinie einzudringen und so die Sicherheit des Netzwerks zu gewährleisten System nutzlos.
Reife- und Fähigkeitslücke in vier Phasen des Sicherheitsbetriebs
Wie aus der obigen Abbildung ersichtlich ist, haben mehr als 90 % der Benutzer den Aufbau der Sicherheitsoperation in der „Blockierungs“-Phase abgeschlossen, etwa 60 % der Benutzer haben mit dem Aufbau der Sicherheitsoperation in der „Erkennungs“-Phase begonnen, aber nur weniger Mehr als 5 % der Benutzer verfügen über eingeschränkte Sicherheitsfunktionen in der „Reaktions“-Phase. Es ist nicht schwer festzustellen, dass es von der Phase der „Erkennung“ bis zur Phase der „Reaktion“ tatsächlich eine große „Fähigkeitslücke“ bei Sicherheitsoperationen gibt. Es ist diese Fähigkeitslücke, die dazu geführt hat, dass die Implementierung von Advanced Threat Governance auf einen realistischen Engpass stößt, und der Schlüssel zu XDR liegt darin, dieses praktische Problem zu lösen und die Lücke zu schließen.
Wir könnten also genauso gut zunächst untersuchen, welche Fähigkeiten von der „Entdeckung“ bis zur „Reaktion“ benötigt werden. Welche Schlüsselfunktionen fehlen, die den sicheren Betrieb der Benutzer beeinträchtigen?
Bai Ri wies später darauf hin, dass viele erfolgreiche Praktiken den Menschen sagen, dass die Zusammensetzung der Fähigkeiten von „Erkennung“ bis „Reaktion“ die folgenden vier Schritte umfasst: Der erste Schritt ist „Alarmakzeptanz“: Normalerweise werden Bedrohungsalarme
von verschiedenen Erkennungstools gesammelt Der nächste Schritt ist der Schritt „Alarmannahme
“ Schritt 1, „Qualitative Analyse“: Beurteilung der Authentizität der Bedrohung, Bestätigung der Art der Bedrohung und der Absicht des Angreifers; Schritt 3, „
Quantitative Analyse“: Rückverfolgung des Angriffsszenarios, Bewertung der Schwere, Auswirkung und des Umfangs der Bedrohung;
Schritt 4, „Reaktion“: Formulieren Sie gemäß dem Reaktionsskript die Reaktionsstrategie, führen Sie sie aus und schließen Sie die Reparatur und Abhilfe ab.
Der oben genannte Prozess erfordert den Einsatz von EDR, NDR, Threat Intelligence, Sandbox, ATT&CK und anderen verwandten Tools sowie MDR-Erkennungs- und Reaktionssicherheitsexpertendiensten, um spezifische Aufgaben wie automatische Alarmvorverarbeitung, Inspektion und Beweiserfassung sowie Formulierung durchzuführen und Umsetzung von Reaktionsstrategien. Der gesamte Prozess erfordert auch Prozesse wie Fallmanagement, Reaktionsplan und automatisierte Präzisionsvereinbarung als Garantien. Die Zusammenstellung dieser Inhalte bildet SOAR.
Begrenzt durch den Mangel an Fachkompetenz im Bereich der Benutzersicherheit, den geringen Grad der Prozessautomatisierung und den Mangel an perfekter unterstützender Tool-Unterstützung können sich die Probleme in jedem der oben genannten Links jedoch ins Unendliche vergrößern und letztendlich zu Schwierigkeiten führen bei der Umsetzung der Strategie.
3. Falsche Denkweisen führen zu falschen Handlungen.
Beispielsweise denken viele Menschen auf dem Markt, dass sie rechtzeitig reagieren können, solange Bedrohungen erkannt werden. Für frühe Marktteilnehmer ist es einfach, den Übergang von „Erkennung“ zu akzeptieren. „Reaktion“ Die intuitivste Lösung, und diese Lösung entspricht in der Tat der Mehrheit der Unternehmen, insbesondere dem Status quo der Sicherheitsbetriebs- und -wartungsfähigkeiten kleiner und mittlerer Unternehmen. Viele Hersteller haben auch einfache Produktportfoliolösungen auf den Markt gebracht, um dieser frühen Nachfrage gerecht zu werden, und versuchen dabei, die beiden Prozesse „Erkennung“ und „Reaktion“ auf logische Weise zu überführen.
„Bevor die Benutzer diese Erkennungstechnologien einführten, waren sie vor fortgeschrittenen Bedrohungen größtenteils außer Sicht und Bewusstsein, aber nach der Einführung dieser Erkennungstechnologien begannen einige Benutzer aufgrund ihrer eigenen technischen Fähigkeiten, Wissensreserven, beruflichen Fähigkeiten und bestehenden Prozesse allmählich zu bereuen . Es reicht nicht aus, mit einer so großen Anzahl von Alarmen umzugehen. Selbst die überwiegende Mehrheit der Benutzer ist nicht bereit, mit diesen Alarmen umzugehen. Benutzer beginnen, am Wert dieser Erkennungsprodukte oder -lösungen zu zweifeln, und entscheiden sich daher dafür, solche Produkte auf Eis zu legen oder Lösungen, oder entscheiden Sie sich, die Warnung zu ignorieren“, sagte Bai Ri.
Viele Leute glauben, dass der Grund für die oben erwähnte Peinlichkeit darin liegt, dass die fortschrittliche Bedrohungserkennungstechnologie noch nicht ausgereift ist, was zu einer hohen Fehlalarmrate und der Unfähigkeit führt, Benutzern qualitativ hochwertige Alarme zu geben. Unabhängig von der Fachkenntnis eines Arztes ist es jedoch unmöglich, ohne die Hilfe professioneller Analysetools oder -techniken und ohne Rückgriff auf frühere Erfahrungen eine völlig korrekte Diagnose eines vermuteten Symptoms zu stellen. Tatsächlich ist die Ursache dieser Situation die vereinfachte Wahrnehmung der meisten Menschen in der frühen Phase des Marktes von „Erkennung“ bis „Reaktion“.
Von der „Erkennung“ bis zur „Reaktion“ darf die kritische Phase der „Analyse“ nicht umgangen werden. Allerdings geben weder Gartner noch die meisten Analyseberichte Dritter ausführliche Erklärungen für den „Analyse“-Link und beziehen „Analyse“ nicht einmal als Schlüsselphase seines adaptiven Modells ein. Aber auf jeden Fall beinhaltet die „Analyse“-Phase die Kerngeschäftslogik der „Erkennung und Reaktion“.
Die Kernzusammensetzung des XDR-Systems
Das ausgefeilt orchestrierte automatisierte Erkennungs- und Reaktionssystem bestehend aus EDR, NDR, MDR und SOAR hebt die Kernfunktionen des gesamten Prozesses von der „Erkennung“ über die „Analyse“ bis zur „Reaktion“ hervor und kann als XDR definiert werden, was AsiaInfo Advanced Threat Governance bedeutet Strategie Der Kern von 3.0.
1. Das Spiralmatrixmodell der XDR-Technologie
wurde bereits früher eingeführt. Das Bedrohungsbeschreibungsmodell umfasst vier Ebenen „Punkt, Linie, Oberfläche und Körper“, und das Bedrohungs-Governance-Modell umfasst vier Stufen „Erkennung, Analyse, Reaktion usw.“ Vorhersage". Wenn diese beiden Modelle dann überlagert werden, wird eine Spiralmatrix gebildet. Wenn die jedem Matrixraum entsprechende Schlüsseltechnologie markiert wird, wird das AsiaInfo XDR „Technologie-Spiralmatrixmodell" gebildet.
2. XDR-Kerngeschäftslogik und -Workflow
Das Produktspiralmatrixmodell veranschaulicht strukturell die Positionierung aller verwandten Produkte der Advanced Threat Governance-Strategie und die statische Beziehung zwischen ihnen. Die folgende Abbildung beschreibt die Kerngeschäftslogik und den Workflow von XDR:
XDR-Kerngeschäftslogik und -Workflow
3. Schlüsselelemente der XDR-Implementierung
Die XDR-Lösung umfasst drei Kernelemente: Standardpläne, professionelle Untersuchungstools und Experten für Sicherheitsreaktionen.
(1) Standardpläne
Ausgehend von der großen Anzahl von Notfallplänen, die kürzlich von AsiaInfo für Finanznutzer unterstützt wurden, haben die Pläne die 7 Schritte von XDR für jede Art von Hackerangriff übernommen, die „Vorbereitung, Entdeckung, Analyse, Eindämmung, Beseitigung“ umfassen , Wiederherstellung und Optimierung“-Strategien, um zu bestimmen, wie Benutzer mit verschiedenen Arten von Bedrohungen umgehen sollten.
Beispielsweise kam es in vielen Unternehmen zu Anomalien bei Terminal-Hosts und Netzwerkverkehr, normale Benutzer hatten jedoch keine offensichtlichen Netzwerkangriffe zu spüren. Zu diesem Zeitpunkt besteht die Methode von Eindämmen und beseitigen. , Wiederherstellung und Optimierung.
(2) Professionelle Untersuchungstools
Eine effiziente und genaue Notfallreaktion erfordert professionelle Tools und Geräteunterstützung. Diese Geräte können abnormale Phänomene auf Netzwerkebene, Server- und Terminal-Kernel-Ebene erkennen. Was und mit welchen Mitteln ist der Schlüssel.
Zu diesen professionellen Tools gehören: Advanced Threat Terminal and Host Detection System OSCE/DS, Terminal and Host Access Evidence System CTDI, Advanced Threat Network Detection System TDA, Advanced Threat Network Access Evidence System TRA, Advanced Threat Intelligence System TIP, Advanced Threat Analysis Device DDAN , das fortschrittliche, umfassende Forensik- und Analysesystem UAP für Bedrohungen und der „Dual-Loop“-Mechanismus der lokalen und Cloud-Bedrohungsintelligenz sind äußerst wichtige Werkzeuge der Lösung. Entdecken, sammeln, analysieren und reagieren Sie auf das charakteristische Verhalten fortschrittlicher Angriffe wie APT gezielte Angriffe und Ransomware.
Unter anderem übernimmt EDR von AsiaInfo Security auch die dynamische Untersuchungs- und Prüftechnologie DIA (Dynamic Investigation & Audit) durch Cloud- und lokale Bedrohungsinformationen „Dual Loop“, Sandbox-Analyse, Netzwerkforensik, Terminalforensik, Big-Data-Korrelationsanalyse und andere technische Mittel , basierend auf dem Netzwerk und dem Terminal, um das Verhalten von Hackern zu erfassen und zu analysieren, um die gerichtliche Wirksamkeit des Beweisinhalts und die Genauigkeit der internen Kontrollprüfung der illegalen Aktivitäten des Unternehmens sicherzustellen.
(3) MDR-Service für leitende Sicherheitsexperten
Eine erfolgreiche XDR-Anwendung ist untrennbar mit einem professionellen Service für leitende Sicherheitsexperten verbunden. Im Gegensatz zu herkömmlichen MSSPs, die Kunden hauptsächlich bei Sicherheitsbetrieb und -wartung sowie bei der allgemeinen Reaktion auf Sicherheitsvorfälle unterstützen, ist Trend Micro MDR im Wesentlichen ein hochrangiger Sicherheitsexpertendienst, bei dem Angriff und Verteidigung im Mittelpunkt stehen. Dieser Dienst zielt darauf ab, wichtige Kunden in Schlüsselindustrien zu unterstützen und Kernwerte zu schützen . Bewältigen Sie gezielte Angriffe (Targeted Attack). AsiaInfo Security MDR ist der Top-Stern im XDR-Weihnachtsbaumsystem. Es ist das Bindeglied mit den höchsten Anforderungen an offensives und defensives Know-how in der gesamten technischen und Fähigkeitsunterstützung von „Erkennung“ bis „Reaktion“. Es ist der Eckpfeiler des Herstellers Fähigkeiten und der letzte Ausweg für Kunden. Eine Verteidigungslinie.
Trend Micro MDR bietet eine Reihe von Sicherheitsdiensten wie Bedrohungserkennung, Analyse, Gegenmaßnahmen, Schadensinspektion, Beweissammlung sowie Reparatur und Behebung vor, während und nach größeren Bedrohungen, einschließlich, aber nicht beschränkt auf das Blockieren von Eindringlingen, die Bestimmung des Einflussbereichs usw Helfen Sie dabei, die Produktion wiederherzustellen, untersuchen und sammeln Sie Beweise und geben Sie Vorschläge zur Behebung.
In der Vorbereitungsphase verwenden Sicherheitsexperten Forensikprodukte und -tools, um den Hackerangriffsprozess und den Angriffspfad zu verstehen und wichtige Hinweise auf den Angriff zu finden. Vollständige
Beweiskette.
In der Endphase erstellt das Serviceteam einen vollständigen Hacking-Bericht und führt diesen Originaldaten und forensische Daten in den Akten. Kunden können Folgebehebungspläne nutzen, um zu verhindern, dass ähnliche Angriffe erneut passieren.