根据工信部对网络安全行业发展的指导意见,我国网络安全发展的基调为“创新网络安全服务模式,提升网络安全专业化服务水平,实现产业发展逐步由产品主导向服务主导转变”。为了更好地提高安全服务创新能力,我们需要从两方面着手,一方面了解安全服务市场的趋势和新兴技术;另一方面,不断落地新技术,在安全服务上以技术创新提升服务质量。基于这两个方面,本文着重介绍了安全服务的前沿技术和落地实践。
安全服务市场的3大变化
安全服务是伴随网络安全衍生出来的概念,其服务模式和类型随着网络安全和客户需求的变化而不断改变。Gartner的研究显示,安全服务正在面临3个显著变化:
传统安全服务市场停滞:传统安全服务供应商的规模受到多种因素的影响,包括销售策略和用户粘性等。但这些因素作为买家选择供应商时主要参考依据的能力在不断减弱,尤其是当越来越多规模较小、不太成熟的买家进入市场,较大的供应商只能通过留住现有客户来维持市场份额,而不是通过提供创新型安全服务满足市场增长领域的需求。这直接导致传统安全服务市场停滞不前,增长量开始下降。
用户对检测和响应服务的关注度增加:用户对检测和响应服务的兴趣不断增加。Gartner在报告中称,其收到的许多关于托管安全服务的咨询都非常强调检测和响应功能。用户逐渐认识到,他们的直接需求是提高其网络或基础设施中威胁的可见性,并在发现威胁的时候及时做出响应,而不是只查到“病因”,却迟迟不采取有效的解决方案。
安全服务组合增多且同质化严重:市场上大多数较大的安全服务提供商都拥有大量且差别极小的一系列服务组合。这些服务所采用的技术,甚至名称都非常相似,用户很难对他们直接作出比较和抉择。与此不同的是,新涌现的安全服务提供商通常只将一个或两个服务,例如漏洞管理(VM)、事件响应(IR),与检测和响应能力相结合, 从而提供功能更强大的差异化服务来吸引用户。
如上文所述,安全服务厂商要想有新的突破和发展,必须将目光从传统网络安全服务转移到创新服务上,在技术的迭代升级中不断创新服务技术与模式,以适应客户不断提高的安全需求。
网络安全5大创新服务
2022年1月,由中国信息通信研究院发布的《中国网络安全产业白皮书(2021年)》指出,市场认为未来最有发展潜力的网络安全新技术/新理念包括零信任、威胁狩猎、XDR等10种。此外,白皮书还指出安全托管服务(MSS)是近年来的资本和厂商较为关注的热门领域。
图1. 市场认为未来最有发展潜力的网络安全新技术/新理念
根据信通院的研究,本文选出扩展检测与响应(XDR)、托管安全服务(MSS)、托管检测与响应(MDR)、威胁狩猎和基于零信任理念的身份与访问管理(IAM)5种目前比较热门的创新服务模式进行了重点分析。
创新服务1——扩展检测与响应(XDR)
2019年2月在RSA大会被提及以来,扩展检测与响应(XDR)的热度持续升高,一方面由于它能够简化安全操作,另一方面,XDR可以加快威胁检测及响应的速度。因此,在未来数年内,XDR将仍旧处于安全服务的前沿领域。
作为统一的安全事件检测和响应平台,XDR可以将面临威胁的多种安全组件(例如EPP/EDR、防火墙、NIPS、SEG、CASB和SWG等)整合到统一的安全运营系统,自动从多个安全软件收集数据并进行关联分析,为威胁检测和分析提供更优质的上下文信息,优化事件响应流程,从而为用户提供更高的安全价值。
图2. 扩展检测与响应(XDR)服务关联多种数据
创新服务2——托管安全服务(MSS)
考虑到预算等方面的限制,很多企业不具备购买专业安全设备或聘请专业安全人员的能力。这种情况下,它们只能选择托管安全服务(MSS)以保护其业务系统安全。
MSS是将安全服务外包给安全服务商,这些服务商具有专业的安全工具和人才,通过对企业的安全工具和流程加以监督和管理,保证企业的安全态势处于可接受范围。托管安全服务提供商可以在内部或通过云远程使用该服务。
MSS除了帮助企业减少需要雇用、培训和保留的运营安全人员数量以节省成本之外,还可以让企业获得他们不具备的深厚经验和同类最佳技术,常见服务除了对安全设备和系统的外包监控和管理,还包括托管防火墙、入侵检测、虚拟专用网络、漏洞扫描和抗病毒服务。
创新服务3——托管检测与响应(MDR)
不论是采用XDR还是MSS,企业都需要熟练的专业人员来进行威胁检测和响应,而现在这些人员仍然严重不足。这些问题促使更多企业倾向于选择托管检测和响应服务(MDR)。
MDR通常可以看作进阶版MSS或托管版XDR,Gartner将其描述为通过7x24小时全天候不间断的监控和覆盖,建立起快速威胁检测与有效响应的服务。绝大多数MDR服务是通过主机层与网络层的技术,生成、收集安全事件以及上下文数据,支持威胁检测与事件分析。
MDR服务不仅限于更强的检测和响应能力,它还可以为不堪重负的安全团队提供主动防御情报和高级威胁洞察。企业还可以使用MDR服务来应对合规挑战,因为它提供有关各种法规和标准的完整报告和日志保留。
创新服务4——威胁狩猎
随着网络攻击技术的不断升级,网络威胁带来的损害越来越大,单次安全事件造成的损失动辄达百万元以上。因此,传统的“亡羊补牢”式安全防护逐渐被企业抛弃,他们开始寻求一种能够把威胁遏制在攻击发生之前的安全措施。因此,威胁狩猎服务应运而生。
威胁狩猎可以理解为一种高级安全能力,它将被动安全防御转变为主动防御,通过收集数据、威胁假设、获取信息、验证威胁、消灭威胁,对深度威胁进行主动搜寻来发现和阻止恶意的、并且难以检测到的攻击行为。这些攻击行为一般较为隐蔽,用传统自动化的防御方法很难检测出来。目前,威胁狩猎在业内被认为是最有效的主动型安全解决方案之一。
图3. 威胁狩猎生命周期
创新服务5——身份和访问管理(IAM)
严格来说,身份和访问管理(IAM)并不算是一项创新的安全服务,但零信任安全体系下的IAM有了新的定义。
随着云计算、物联网等技术的发展,网络边界逐渐模糊,传统的边界型防护手段开始失效,企业不得不以新的手段来控制各地人员对企业关键数据的访问。为了大化地保障被访问数据的安全,零信任理念开始进入安全人员的视野,零信任安全体系的原则是任何人或实体都是不可信的,无论其在内网还是外网,他们必须通过一系列的验证才能访问相应数据。
作为零信任的核心理念,IAM的含义有了新的外延,除了对用户身份的统一授权、管理和认证以外,还要基于对风险的动态感知和智能分析,利用大数据和AI技术自动生成针对用户的访问策略。
基于安全服务的发展趋势,国外老牌IT及云服务厂商纷纷创新安全服务技术及模式,例如IBM的X-Force威胁情报平台、Azure的 Sentinel,以及AWS的 IAM,分别从威胁狩猎、身份与访问管理的角度对安全服务进行了技术创新。各个厂商的创新点虽然不尽相同,但最终都落地于实现更加高质量的安全目标。
国内网络安全服务虽然在技术与行业成熟度上都落后于国外,但在合规要求和产业升级的双重驱动下,国内的安全服务迅速崛起,部分技术型厂商不仅快速切入赛道、补齐服务产品线,同时还不断进行创新探索,紧跟安全服务前沿趋势。
青藤安全服务的技术创新
青藤是国内典型的技术创新型安全厂商,不断从产品、技术、理念等多个层面进行创新,进而提升服务品质。7年多以来,青藤不仅开创了国内主机安全的先河,成功守卫安全的最后一公里,还实现了XDR扩展检测与响应和威胁狩猎服务的落地,以及红队评估服务的提升,为用户提供更全面高效的安全服务。
XDR威胁检测分析
青藤XDR威胁检测分析服务通过青藤主机安全防护或者流量威胁检测产品+专业攻防分析服务,由安全专家协助客户远程或现场分析产品发现的Web攻击行为、APT攻击、Webshell上传等各类高级威胁事件,同时结合最新威胁情报和业务应用情况,发现客户环境内的失陷主机、异常主机、违规操作等威胁行为活动,并给出专业的处置解决建议。
该服务基于ATT&CK框架,由于ATT&CK框架把攻击者过程分成了14个阶段,越是后面阶段的攻击行为,对客户造成的伤害越大。XDR的分析服务框架如下:
图4.青藤XDR威胁检测分析服务框架
与EDR终端检测与响应等传统安全服务相比,XDR的创新之处在于:
多产品的深入告警检测分析。XDR威胁分析服务可以覆盖青藤的主机安全防护端侧的告警分析,同时也辅助网络侧(支持多家产品流量威胁检测设备)的告警深度分析。
主机侧+流量侧的全覆盖。XDR威胁分析同时覆盖端点侧威胁分析和网络层威胁分析,增加了威胁检测分析的覆盖面。
专业化的分析报告。XDR威胁分析提供专业化的分析报告以及专业的整改。
威胁狩猎分析
青藤威胁狩猎分析服务通过青藤猎鹰·威胁狩猎平台+专业攻防分析服务,由安全专家采用大数据分析手段,利用防御中的场景经验积累,对客户环境内的异常行为活动开展拓线分析,发现已经进入到环境中的APT攻击行为,同时分析出攻击者的TTP,并给出专业的处置解决建议。
作为从被动防御向主动防御转变的一项创新型安全服务,青藤威胁狩猎分析服务对维护客户网络安全具有重要意义:
国内首创推出的真正基于主动防御理念的安全服务。
从海量日志中分析出真正的攻击源/未告警的攻击事件。
周期性分析并发现高危攻击事件/重要资产的攻击行为以及攻击技战术与过程。
红队评估
青藤红队评估服务大限度模拟APT攻击手法,不限定攻击路径和手段,以系统提权、控制业务、获取数据为目标,深入评估客户安全防护的短板。评估过程模拟入侵杀伤链,评估方法包括网络攻击、社会工程攻击、近源攻击等。
客户可以通过红队评估服务,充分了解自身安全防御体系技术短板,检验自身安全运营团队对安全事件的发现、分析以及响应处置的能力。
图5.APT攻击链条
青藤红队评估的优势在于:
强大的红队团队资源。青藤目前有20人左右的红队工程师团队,都具有丰富的红队评估、攻防演习等项目经验,并在国家级攻防演习、省市级攻防演习和行业攻防演习中均获得佳绩。
基于ATT&CK框架的评估过程。在红队评估报告中以ATT&CK为理论支撑,详细描述模型中的每个阶段的技术、战术,以及成果。
高阶的安全建设建议。通过红队评估发现的问题,不仅给出漏洞加固建议,同时给出高阶、体系化的网络安全防御体系建设思路。
除了以上提到的服务以外,青藤还提供渗透测试、重保、主机安全运营等多种传统安全服务。青藤的安全服务,聚焦于攻防对抗与深度威胁检测分析两个维度,通过“技术创新+产品升级+服务全流程”助力客户成功,提升客户既有安全投资回报(ROI),推动客户从被动防御向主动防御理念转变。