基本信息
所属科技项目名称:未来智安XDR扩展威胁检测响应系统平台
项目主管部门:北京市海淀区人民政府
科技成果信息
科技成果名称:未来智安XDR扩展威胁检测响应系统平台
关键词:XDR,扩展威胁检测响应
科技成果类型:原始创新
科技成果所处阶段:工业化生产
科技成果应用领域:信息传输、软件和信息技术服务业
科技成果简介:
一、技术建设背景
2017年,《中华人民共和国网络安全法》正式实施,标志着等级保护2.0的正式启动。网络安全法明确“国家实行网络安全等级保护制度”,与之对应标准细则--《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)于2019年5月发布,旨在建立以计算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全管理中心为核心的信息安全整体保障体系(简称“一个中心、三重防护”);构建感知预警、安全分析、动态防护、全面检测、应急处置等于一体的网络安全综合防御体系。
2021年4月,国务院颁布《关键信息基础设施安全保护条例》,于同年9月起施行,其明确规定国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的关键信息基础设施,在等保制度基础上实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏。
上述表明,我国对网络信息安全和关键信息基础设施保护的决心之大、重视程度之高。
当前全球网络安全形势严峻,网络攻击层出不穷,且攻击来源、攻击目的、攻击方法以及攻击规模都在发生着巨大的变化;伴随我国信息化发展进入新阶段,“云大物移智”等新技术新应用日趋成熟,网络安全面临着各种新的挑战,现有的网络安全产品异构化、孤岛化,运营成本高的弊端也越来越明显,亟需对现有的安全产品防护能力进行升级迭代。
XDR扩展威胁检测与响应,作为近两年最热门的安全技术方向,连续两年被Gartner列为前十大安全项目之一,被业界视为网络安全的颠覆性技术。
研究方法:
未来智安XDR通过智能化事件分析引擎(AiE)从ATT&CK红蓝对抗视角,围绕攻击战术及对应攻击技术进行对应多维数据采集,并通过基于AI的用户行为、进程行为、网络访问等行为模型自能化的识别出恶意或敏感行为事件,并可向用户侧安全团队发出警报,同时围绕威胁进行分析与溯源,自动绘制攻击图谱并呈现出完整的攻击过程和攻击影响面评估,快速定位攻击造成损失,有效的降低MTTR威胁检测时间和MTTD威胁处置时间。
二、技术路线:
未来智安XDR平台通过部署在终端的“EDR终端威胁检测与响应”探针和流量侧的“NDR网络威胁检测及响应”探针,基于丰富的遥测数据更细粒度的感知底层数据变化从而研判用户侧网络安全风险,实现跨端跨流量的立体化威胁检测,为安全运营带来完整的上下文和威胁的可见性.并同时利用端点告警、端点行为日志、流量告警、流量日志、资产等数据通过XDR平台智能化事件分析引擎(AiE)自动将每天千万级零散告警生成跨终端跨网络的几十条完整攻击事件(Incident),攻击检测有效性提升百倍以上。XDR平台内置超过百余条攻防剧本的自动化安全编排技术(SOAR)实现威胁事件响应处置的高效自动化,可将威胁事件运营效率从过去小时级提高到分钟级,运营效率提升8倍以上。未来智安XDR平台是攻防演习、重保、平时威胁检测和运营的全面精准、高效的轻量化产品。未来智安XDR具备多维度扩展属性,驱动由孤立单点式威胁检测到基于更多上下文数据进行全面威胁检测的整体安全思路转变。
三、实验手段:
HW、重保演习、平时威胁检测快速响应:全面统一的基于流量和终端的威胁检测能力,通过平台强大的关联分析引擎结合终端、流量侧数据精准定位攻击事件并配合SOAR及WarRoom模块实现威胁事件快速研判处置和安全运维人员协同联动。
海量威胁告警治理:利用平台自研的告警治理引擎,结合异构数据中终端侧和流量侧告警数据,提取其中的可关联节点进行告警的自动化归并分析,有效降低告警数量。
网络安全风险自纠自查:全天候自动化梳理安全状况,发现安全隐患,为企业自查、整改提供完整解决方案。
等保合规要求:满足等保/CIS多重基线标准,满足不同企业基准检查场景,开放基线配置满足日常运维。
四、关键技术:
全面的威胁检测能力;基于AI的智能事件分析能力;完整攻击事件回溯;安全自动化编排响应能力;作战指挥室。
五、应用前景:
1、基于终端和流量的统一遥测技术
通过详细采集端点设备发生的各类活动和行为,包括进程活动、线程活动、文件操作以及服务创建等,为威胁发现和事件调查分析提供足够的上下文可见性。XDR利用遥测数据进一步基于行为分析、规则匹配、漏洞检测等分析手段发现恶意或可疑活动,提高告警的精准度。
2.基于行为的检测技术
通过围绕主机行为结合网络流量的上下文数据识别异常行为,实现对已知和未知威胁的感知和发现,围绕ATT&CK模型,从防护边界入手,从海量的行为日志中发现异常行为,重点关注某个进程在某个时间、某个地点、利用何种载体、采用什么方式,做了什么事情,提升告警的有效性。
相关人物