近期,深信服XDR捕獲了“銀狐”釣魚攻擊事件,在某科技企業(yè)真實(shí)環(huán)境中實(shí)現(xiàn)精準(zhǔn)檢出。

這是一場與黑客的時(shí)間爭奪戰(zhàn)。

在黑客采取下一步行動(dòng)之前,如何高效溯源攻擊入口?如何及時(shí)封堵外聯(lián)IP?

這也是一場釣魚病毒的剿滅戰(zhàn)。

如何徹底清除威脅實(shí)體?如何零遺漏處置事件?

以往用戶基于流量側(cè)告警,無法直接判斷是否誤報(bào)、是否攻擊成功,還需要到PC/服務(wù)器進(jìn)一步取證確認(rèn),同時(shí)基于單個(gè)告警做處置,往往無法全面清除威脅實(shí)體。

好在,通過深信服XDR攻擊故事線還原能力,整個(gè)攻擊過程一覽無余:

黑客以微信為釣魚攻擊入口,引導(dǎo)員工下載壓縮包文件,并運(yùn)行了惡意釣魚程序。該惡意程序創(chuàng)建了一個(gè)新的惡意程序,并外聯(lián)了惡意的C2 IP地址。

基于攻擊故事線,安全運(yùn)營人員一眼就能看清整個(gè)攻擊事件的入侵路徑、攻擊結(jié)果、事件影響,溯源調(diào)查效率提升70%。

通過聯(lián)動(dòng)統(tǒng)一終端安全管理平臺(tái)aES,快速隔離處置主機(jī)惡意文件、封禁外聯(lián)IP,徹底清除威脅實(shí)體,深信服XDR打贏了這場時(shí)間爭奪戰(zhàn)與病毒剿滅戰(zhàn)。

可以看到,當(dāng)釣魚攻擊事件發(fā)生,要實(shí)現(xiàn)“告警研判精準(zhǔn)、溯源提效、處置零遺漏”,這一切都離不開XDR攻擊故事線還原能力。

攻擊故事線還原關(guān)鍵技術(shù)

作為國內(nèi)率先推出攻擊故事線還原能力的安全平臺(tái),深信服XDR主要依靠網(wǎng)端關(guān)聯(lián)、網(wǎng)網(wǎng)關(guān)聯(lián)和終端攻擊鏈還原技術(shù),關(guān)聯(lián)文件操作行為、網(wǎng)絡(luò)連接行為、漏洞攻擊行為、攻擊類型及階段行為,并進(jìn)行詳細(xì)的攻擊信息舉證。

網(wǎng)端關(guān)聯(lián)

根據(jù)網(wǎng)端發(fā)生“相同事情”的關(guān)聯(lián)性,網(wǎng)端關(guān)聯(lián)分為強(qiáng)關(guān)聯(lián)、邏輯關(guān)聯(lián)和弱關(guān)聯(lián),關(guān)聯(lián)強(qiáng)度越強(qiáng),泛化能力就越弱。

深信服XDR網(wǎng)端關(guān)聯(lián)引擎,可以自動(dòng)高效地串聯(lián)起多維度安全信息,不僅提高對(duì)未知威脅、隱蔽攻擊的檢出率,還通過充分的溯源舉證,大幅提高安全事件的準(zhǔn)確度,幫助安全團(tuán)隊(duì)能做判斷,敢做判斷,高效處置。

值得強(qiáng)調(diào)的是,這一切都是自動(dòng)化完成的。

網(wǎng)網(wǎng)關(guān)聯(lián)

以往我們通過單包請(qǐng)求數(shù)據(jù)與響應(yīng)數(shù)據(jù)綜合分析是否攻擊成功,但是對(duì)于一些跨流場景的攻擊成功無法識(shí)別。網(wǎng)網(wǎng)關(guān)聯(lián)正是解決單次攻擊跨越多個(gè)數(shù)據(jù)流,導(dǎo)致檢測不準(zhǔn)確的情況。

比如針對(duì)Log4j漏洞利用的攻擊,XDR可通過“漏洞攻擊-語法還原-提取外聯(lián)地址-上下文關(guān)聯(lián)分析-遠(yuǎn)程加載惡意樣板-智能AI引擎查殺”進(jìn)行關(guān)聯(lián)與攻擊信息舉證。

終端攻擊鏈還原

終端攻擊鏈還原離不開IOA行為引擎——基于先進(jìn)的數(shù)據(jù)編織(Data Fabric)框架,以及多事件復(fù)雜關(guān)聯(lián)規(guī)則匹配算法,依靠泛化行為規(guī)則提高未知高級(jí)威脅攻擊檢測能力,能關(guān)聯(lián)復(fù)雜的、時(shí)間跨度大的攻擊行為,精準(zhǔn)、詳細(xì)、真實(shí)地描繪攻擊者行為,最終在進(jìn)程層面形成可視化攻擊鏈。

攻擊故事線還原主要覆蓋場景

深信服XDR攻擊故事線還原主要覆蓋入侵、釣魚、病毒攻擊和橫向攻擊等多場景,以下為典型示例。

入侵場景:快速判斷攻擊入口/攻擊成功

黑客通常利用高危漏洞攻擊Web服務(wù)器,進(jìn)而獲取權(quán)限入侵內(nèi)網(wǎng),并通過上傳Webshell或反彈Shell,下載惡意文件、創(chuàng)建惡意服務(wù)/進(jìn)程、搭建隧道代理等,實(shí)現(xiàn)權(quán)限維持。

深信服XDR依據(jù)網(wǎng)端關(guān)聯(lián)技術(shù)及IOA引擎,對(duì)網(wǎng)絡(luò)攻擊實(shí)體及終端原始行為做關(guān)聯(lián),形成攻擊故事線,用戶根據(jù)攻擊故事線能夠快速判斷攻擊入口、是否攻擊成功、攻擊成功后的惡意操作等。

釣魚場景:精準(zhǔn)識(shí)別攻擊行為

黑客還會(huì)結(jié)合社會(huì)工程學(xué)進(jìn)行釣魚攻擊,誘導(dǎo)用戶下載運(yùn)行惡意程序,從而控制用戶終端電腦權(quán)限入侵內(nèi)網(wǎng)。

深信服XDR通過網(wǎng)端關(guān)聯(lián)引擎、IOA引擎及原始日志采集,結(jié)合威脅定性能力,精準(zhǔn)識(shí)別釣魚攻擊行為,讓用戶快速關(guān)注到此類高級(jí)威脅。

病毒攻擊場景:快速定位惡意進(jìn)程文件

主機(jī)感染病毒后,可以外聯(lián)黑客控制的C2服務(wù)器,由此黑客可以遠(yuǎn)程控制受害主機(jī)進(jìn)行信息竊取或者內(nèi)網(wǎng)橫向攻擊。

深信服XDR基于IOC引擎和網(wǎng)端關(guān)聯(lián),關(guān)聯(lián)發(fā)起惡意外聯(lián)行為的終端進(jìn)程,形成攻擊故事線,方便用戶快速定位惡意進(jìn)程文件,縮短應(yīng)急處置時(shí)間。

橫向攻擊場景:快速判斷威脅影響范圍

主機(jī)被入侵后,黑客通常會(huì)利用該機(jī)器做跳板,去橫向攻擊內(nèi)網(wǎng)的其他主機(jī),此時(shí)通常會(huì)發(fā)起大量掃描、暴破、漏洞攻擊的行為。

深信服XDR通過攻擊故事線還原,完整呈現(xiàn)失陷主機(jī)內(nèi)網(wǎng)橫向攻擊過的網(wǎng)絡(luò)訪問關(guān)系,方便用戶快速判斷內(nèi)網(wǎng)橫向攻擊場景下的受影響主機(jī)資產(chǎn)范圍。

告警研判與溯源處置

全面提效

通過XDR攻擊故事線還原能力,用戶一眼就能看清整個(gè)攻擊事件的入侵路徑、攻擊結(jié)果、事件影響,更簡單進(jìn)行根因分析、威脅實(shí)體提取和影響面評(píng)估,真正為告警研判和事件溯源影響面評(píng)估全面提效。

告警研判效率提升70%

以往用戶看到了流量檢測的告警,無法直接判斷是否誤報(bào)、是否攻擊成功,還需要到PC/服務(wù)器進(jìn)一步取證確認(rèn)。

通過XDR網(wǎng)端關(guān)聯(lián)的終端舉證信息,用戶在攻擊故事線可以一覽全貌,高效定位到終端進(jìn)程文件,快速識(shí)別判定,縮短應(yīng)急處置時(shí)間,告警研判效率提升70%。

溯源簡單、處置零遺漏

一個(gè)完整的攻擊往往是多個(gè)行為組合而成,中間會(huì)產(chǎn)生多個(gè)威脅實(shí)體(域名、文件、進(jìn)程)。以往用戶只能基于單個(gè)告警做處置,往往處置不徹底,威脅實(shí)體無法全面清除。

有了深信服XDR,運(yùn)營人員不再需要像以往逐個(gè)分析終端、流量設(shè)備的數(shù)據(jù),通過攻擊故事線將數(shù)據(jù)聚合,就可以串聯(lián)起一個(gè)完整事件,進(jìn)行影響面評(píng)估,事件處置零遺漏。

深信服XDR平臺(tái)基于攻擊故事線還原能力,通過端、網(wǎng)、云等遙測數(shù)據(jù)關(guān)聯(lián)技術(shù),構(gòu)建完整的高質(zhì)量場景化故事鏈,以清晰呈現(xiàn)事件的全過程,提升告警研判及溯源處置的效率。

融合IOA/IOC等檢測技術(shù),深信服XDR實(shí)現(xiàn)攻擊路徑中網(wǎng)端各節(jié)點(diǎn)行為痕跡的自動(dòng)化關(guān)聯(lián)分析,解決了以往未知威脅難應(yīng)對(duì)、安全事件處置碎片化的難題。

總之,基于以AI為內(nèi)核的「開放平臺(tái)+領(lǐng)先組件+云端服務(wù)」,深信服XDR構(gòu)建了安全運(yùn)營的全新范式,助力每一位用戶「安全領(lǐng)先一步」。