2021年4月,HVV打完第二天就去三亚休假了,期间把过往6年的高级威胁治理战略规划系统性地回顾了一遍,并整理成文陆续发出(参看本系列前面5篇),同时,战略规划5.0 - NG-XDR的框架设计也此期间孕育成型,距今已过一年半,现在又到了可以发布的时候。
18年的战略3.0 - XDR以及20年的战略4.0 - XDR 2.0主要论述XDR的核心方法论、体系架构以及核心构成,侧重点在体系的逻辑性、完备性和自洽性。战略5.0 - NG-XDR的提出主要针对关键信息基础设施(CII)在面对国家级APT攻击时,在事前、事中和事后三个阶段需要采取和着重考量哪些针对性的技术和能力,作为XDR体系在高级威胁治理领域中最重要场景的落地。
相信参加过近些年HVV的人都有这样的感触,以前攻击方还会用一些常规技战术,循序渐进、顺藤摸瓜、步步为营去拿下目标,现在攻击方通常采用0 day这种更为高效和简单粗暴的方式渗透到目标环境并最终拿下标靶。让防守方最头疼的是,事前不知道敌人可能从哪里进来、通过什么方式进来,事中面对各类0 day攻击无从发现,面对各式产品的告警风暴无所适从,无法从中快速甄别出真实的攻击,等事后拨丝抽茧确认告警并进行溯源取证时,又遇到证据链不完整,关键证据缺失等问题,而此时攻击方已完成了得分,客户也被宣布出局。
究其原因,技术方面可主要总结为以下几点:1、无法在事前充分察觉攻击者的意图和动向,没有做好自身的攻击面管理;2、在事中面对0 day以及常规威胁情报失效的情况下,缺少有效手段快速检测并确认攻击,及时做出响应和对抗;3、在事后溯源取证中,缺少完整的证据支撑以及自动化的取证技术支撑,无法为事件定性定量分析提供有效依据。
HVV只是今天关键信息基础设施所面临的国家级网络对抗的一个缩影,这个过程所反映出来的极端问题,正是高级威胁治理所面临的最极端的挑战,也是战略5.0 - NG-XDR所试图解决的场景,接下来将一一阐述。
