ISC2022微步陈杰博士：XDR关联检测的真正威力 - 网安 - 专业的网络安全产业、社区、知识平台

每一次的网络入侵/攻击，通常并非由单一技术实现，而是一系列技术/手段的组合。尽管业内主流产品/解决方案针对单点的检出准确率已经达到较高水平，但仍缺乏拥有全局视角的的产品/解决方案。随着攻击技术的演进，组合攻击实现入侵越发隐蔽，检出也就越困难。

微步在线技术合伙人陈杰博士在ISC 2022大会上分享认为，面对新型网络攻击技术/手段，检测技术必须要从单点检测向单机关联发展，再到多机关联，最终实现XDR关联，以此帮助企业提升整体网络安全能力。以下为陈杰在ISC 2022大会上的演讲实录：

以下为演讲内容概要：

如果从全局视角去看黑客攻击过程的话，就会发现网络入侵/攻击并不是一个单点过程，而是一个完整的攻击过程。如同下面这张图，图左列出的是主流的单点攻击技术，图右才形象展示了真实的攻击过程。

黑客的攻击过程并非只用一个（攻击）技术突破一个点，而是会用不同的技术形成组合拳。比如右图，通过钓鱼进入企业内网，然后横移到生产网，再进行数据窃取，甚至挖矿或勒索

所以，网络攻击整个过程是一个连贯、复杂的过程，仅部署拥有单点检测能力的解决方案已经很难解决网络威胁挑战。通过近几年的探索实践，微步在线在对单点检测能力不断完善的同时，逐步实现单机关联、多机关联，利用OneEDR+TDP组合实现了拥有更精准检测能力的XDR联动解决方案。

从单点检测做起

在单点检测方面，针对不同的攻击技术，必然需要有针对性的检测能力，并结合实际所需，在不同位置赋予不同的检测能力，如下图所示：

通过云端+服务端+终端三点布局方式，微步在线OneEDR威胁检测与响应平台从主机安全视角出发，实现对网络高级威胁的检测和响应

单点检测在企业市场有一个很重要的评估标准，即ATT&CK攻击模型矩阵。在ATT&CK攻击技术覆盖能力方面，经赛可达实验室测评认证：OneEDR实现高达91.3%的攻击技术/手段覆盖。

从单机关联到多机关联

在完善了单点检测能力之后，接下来就是把单个终端内的攻击过程有机地关联起来，也就是单机关联。如下图所示，以一次典型的“挖矿”攻击过程为例：

以挖矿为目的的网络入侵，OneEDR通过事件聚合功能将攻击行为形成一个完整的攻击链路图，并对整个威胁事件进行打分，实现精准告警

目前，以“挖矿”网络攻击已经是一个高度自动化的攻击过程，很容易从一台主机横移到另外一台主机，迅速在企业数据中心内蔓延。这就迫使我们需要更进一步地将多机的攻击行为都关联起来，实现数据中心内的攻击全链路图。

微步在线的OneEDR平台最早从2015年开始研发，随着大数据分析技术、机器学习等技术陆续引入并经过多年实践打磨、深度融合，我们现在可以非常自豪地说，微步在线已经初步实现了当初的目标，并且，经受住了用户的实地检验。下面这张图就来自OneEDR平台内部的截图，展示了某用户在现实中遇到的一次攻击：

OneEDR还原某次网络攻击，黑客在第一台主机上的攻击行为：从Tomcat的漏洞利用开始，然后进行Webshell的提权，最终利用MSF的一个隐藏式高级木马实现驻留

利用Tomcat主机攻击第二台主机，实现内网横移。上图同样来自OneEDR内部截图，黑客在第二台主机内的攻击行为通过聚合事件功能形成的攻击链路图

并且，黑客在第二台机器上用Fscan对内网主机进行扫描，发现了更多存在安全薄弱点的主机。比如，在这一案例中，黑客就发现Redis存在空口令情况，于是再次进行横移。最后，黑客还利用SSH弱密码横移到第四台主机。在实际案例中，黑客通过SSH弱密码总计控制了超过30多台主机。

通过多机关联实现的攻击链路图，能够帮助用户更简单、高效地应对网络攻击。当然，面对当前或未来的一些高级网络威胁，仅止步于多机关联还不够。因为多机关联更多的是帮助企业生产网应对网络威胁，但黑客攻击并不局限于生产网：攻击可能最开始在办公网发生，然后穿透边界进入生产网，并在不同的网段跳跃……整个攻击过程非常复杂，面对这种复杂的黑客攻击，还需要更完整、全面的关联——XDR联动。

构建防御全局视角——XDR

XDR是Extended Detection and Response的简称，中文名为扩展式检测与响应，其并不是指某一类产品，而是集合多种安全产品的组合解决方案，将拥有不同威胁检测能力的产品进行整合，对攻击过程进行全方位关联。

通常情况下，XDR都包含EDR和NDR这两大类解决方案，此外还可以加入蜜罐、防火墙等拥有其他安全能力的设备，组成一个扩展式的检测与响应体系

通过对不同检测能力产品的整合，XDR能够帮助用户提高应对高级网络威胁的能力。比如，通过NDR，可以在攻击的边界上进行检测，得到黑客来源、攻击突破点等信息；同时，利用EDR的能力，可以获得黑客在生产网、办公网的横移过程；而蜜罐产品，则可以了解黑客特定的攻击手法、过程以及技战术等。通过整合多方面的信息，能够更好地应对网络攻击，这也是近年来XDR广受关注的原因。

经过七年的发展，微步在线拥有流量检测与响应平台TDP和主机威胁检测与响应平台OneEDR等多款产品，成为微步在线XDR解决方案的重要组成部分

同时，陈杰还分享了一个利用XDR（OneEDR+TDP）检测Webshell的应用场景，如下图所示：

OneEDR + TDP联动，帮助用户提高应对Webshell攻击的能力

假设某网站有上传漏洞，并且被黑灰产组织扫描到了，然后上传了一个文件，这个文件最终会在主机上落盘。在这一过程中，如果NDR与EDR没有关联，那么NDR能检测到扫描、上传和执行Webshell的行为，而EDR则只能获得写文件和命令执行的内容，都不具备完整视角，会加大企业安全运营的难度。

而在OneEDR与TDP联动实现的XDR方案中，则可以检测到这一攻击过程的全部行为，并形成完整的攻击链路图。这样，企业安全人员就可以非常清晰地溯源到攻击的每一个节奏，每一个步骤，能够知道攻击源所在，影响了哪些文件，以及执行了哪些命令，更方便安全管理人员及时、有效地进行处置和溯源取证。

OneEDR与TDP的联动是微步在线公司非常成功的案例实践，这也坚定了微步继续发展XDR的决心。XDR并不是传统的SOC，更多的是从数据层面、场景层面实现的一个深度融合、深度安全检测的体系，帮助企业极大地提升整体威胁态势感知能力，打造便捷、高效的企业安全运营体系。