连载：演化的高级威胁治理（四）

5. 第五章 2020年战略4.0 - All In

5.1 战略背景

2019年，机缘巧合来到新成立的360政企安全，负责产品战略规划同时兼教主的业务助理，有幸参与了安全大脑战略以及相关产品体系的规划和设计。有关360安全大脑战略大家可以通过多方面渠道了解，这里不做讨论，我们仍然回到不断演化的高级威胁治理战略这个主题。2020年战略4.0有几个重点，分别是XDR 2.0升级、核心方法论2.0升级、高级威胁治理核心交互模型、4个新的战略支撑体系、以及基于战略4.0的2021年HVV产品解决方案，这里计划写几篇文章分别阐述，此篇先谈前三个重点部分。

5.2 XDR 2.0升级

从趋势科技到亚信安全，再到360政企安全，感慨最大的是国内外网络安全行业和安全产品的差异，尤其是在产品理念、产品设计和产品工程化方面还存在不小差距。于是在2020年1月前后，写了《从产品视角重新定义“检测”和“分析”》和《产品视角从“分析”到“响应”》两篇文章讲述XDR产品的设计原理，详细阐述了“打点”、“检测”、“分析”、“响应”、“反馈”这几个过程，以此构成了体系3 - XDR 2.0升级。

5.2.1 广义“检测”的定义

广义“检测”是指检测攻击者所使用的，传统防御无法识别的恶意对象、通讯及行为等威胁。如果要进一步细化定义“检测”，就得先把检测的对象——“威胁”描述清楚。MITRE提供的威胁分析框架模型ATT&CK从攻防视角清晰地描述了攻击方使用的各种战术、技术和过程（TTP），作为安全厂商，该如何从产品角度定义“检测”呢？

5.2.2 威胁描述分层模型

在《演化的高级威胁治理（一）》中已经做了详细介绍，这里不再赘述。

5.2.3 威胁检测分层模型

每个层面的威胁需要对应什么样的检测分析技术和能力呢？ 

图 25 威胁分层检测模型

a) 打点

执行：云管端神经元产品

输入：打点规则

输出：打点信息

打点是指按照指定规则采集数据，该过程通常是由云管端各神经元完成，而打点规则通常由上层检测分析产品下发，或是各神经元预置。各神经元根据打点规则进行数据打点，收集来自终端的文件、进程、通讯、注册表、用户登录等活动，来自网络的横移、外联、数据流等活动，来自邮件的附件调用进程、外部URL链接等活动，以及来自云端的配置修改、实例创建及修改、容器运行、特许访问等活动，最终产生各种活动日志（包括人、物、时间、渠道、介质、行为等），即打点信息。

b) 检测

执行：基于“线“的检测产品

输入：打点信息

输出：告警信息

检测大概分为以下三种类型：

i. 静态介质检测（实时）

主要借助威胁情报和沙箱对包含文件、URL/IP/Domain等静态介质的打点信息做检测，如判断静态介质可疑或者恶意，则会产生告警信息。由于判断过程只需要文件、URL/IP/Domain等静态介质，无需关联其他打点信息，因此，静态介质检测通常可用作实时检测分析。

ii. 动态行为检测（准实时，短周期）

主要借助行为检测模型和检测规则对多个有关联的包含行为活动的打点信息做检测。ATT&CK模型中详述了很多攻击行为场景，行为检测模型和检测规则主要针对这些场景进行检测。由于此类检测通常需要关联多条互相临近的上下文打点信息，需要跨越较短的时间周期进行检测，因此动态行为检测可用作准实时短周期检测分析。这些多条互相临近的上下文打点信息有可能来自同一终端、网络或主机，也可能跨终端、网络或主机，因此，执行此类检测需要具备跨云管端数据的获取能力。举例：某终端遭受powershell无文件攻击后，使用xp_cmdshell攻击了云服务。行为检测规则需要把终端上调用powershell的打点信息和网络上调用xp_cmdshell的打点信息关联起来做检测，如果符合检测规则，则会产生告警信息。

iii. 大数据检测（非实时，长周期）

主要借助大数据统计和大数据基线模型对指定监控对象在较长时段内的打点信息进行基线建模，并根据基线规则发现异常，产生告警信息。

c) 分析

分析通常是针对告警信息的进一步确认和调查，确认事件的真实性，并完成事件调查的整个过程。分析通常包括定性分析和定量分析两个阶段：定性分析即验伤（Triage），定量分析即取证（Forensics）。

i. 验伤

执行：基于“面”的分析产品

输入：告警信息

输出：可疑事件

验伤是指根据告警信息进行快速分析，提升告警的可信度，初步确认攻击的本质及攻击者意图。主要借助大数据关联分析（验伤规则），以告警信息为切入点，关联上下文的打点信息和其他数据线索，快速确认事件的真实性、本质和意图，产生高质量的精准告警，称之为可疑事件，并确定其优先级。使得安全人员可以将注意力集中在更关键的问题上，减少误报导致的注意力转移。

举例：安全人员发现了网络侧事件线索A-可疑外联通讯，通过大数据关联分析（验伤规则）找到了另外两个事件线索：网络侧事件线索B-可疑钓鱼邮件，以及终端侧事件线索C-打开附件创建可疑进程。安全人员通过关联线索B和线索C，可快速确定事件线索A的可信性，并将线索A、B和C合并在一起，产生精准告警，即可疑事件，从而让安全人员有针对性地开启完整的事件调查活动，避免大海捞针。

ii. 取证（Forensics）

执行：基于“面”的分析产品

输入：可疑事件

输出：事件报告

取证是指根据可疑事件，通过大数据上下文关联分析（取证规则）执行事件调查，包括回溯完整攻击场景，判断攻击严重性，评估攻击的影响和范围，溯源攻击者，提供修复补救建议，最后产生事件报告。事件报告包括人读报告和机读报告，人读报告正如法院的卷宗和医院的病历，机读报告是按照格式化的方法将事件报告中的各类数据整理记录下来，以便后期机器可读取和查询，机读报告包括：

• 攻击属性

• 攻击者意图、攻击者属性（画像信息）

• 攻击严重性

• 攻击影响的终端和主机

• 完整原始日志（打点信息、事件线索、事件告警等）

• 完整攻击链（将原始日志按攻击阶段进行划分，再按攻击顺序形成攻击链）

• 完整ATT&CK标注（将原始日志归纳到不同TTP控制点，完成TTP标注）

• 完整原始攻击介质及其对应的IOC（攻击者使用的静态介质，如恶意文档、漏洞、C&C等）

• 其他机读数据

d) 反馈

i. 学习

执行：基于“体”的分析产品

输入：事件报告

输出：事件模式

学习是指将事件报告中的信息归纳形成事件知识库以及提炼形成事件模式的过程, 因此，学习过程也可称作归因分析。当一个事件调查结束形成事件报告之后，可以将该事件报告归纳到所属事件类型的知识库中，如某类APT事件知识库、加密勒索事件知识库、挖矿事件知识库、钓鱼事件知识库等，知识库通常按攻击属性和场景进行分类，某大类下面还可划分若干子类。通过各类知识库梳理，可以发现某类攻击常用的攻击TTP和攻击介质，找到攻击规律和攻击模式，甚至找到背后的攻击组织。此过程的输出为事件模式，事件模式通常包括各类攻击常用的TTP模式和介质集合。安全人员通过对比事件报告和事件模式，还可以发现某类攻击使用的新型攻击TTP和攻击介质。

ii. 转化

执行：基于“体”的分析产品

输入：事件模式

输出：检测分析规则

转化是指将事件模式中积累的新型攻击TTP和攻击介质进一步编写成“点线面”检测分析所用到的打点规则、威胁情报、沙箱检测规则、行为检测规则、验伤关联分析规则、取证关联分析规则等。这些转化结果可进一步提升打点的粒度、检测的广度、事件线索的可信度、事件告警的精准度、以及验伤取证的自动化程度，进而提升用户的防护能力。

大家可能注意到，分析过程的关键技术点在于验伤取证关联规则的制定，这些关联规则又取决于事件模式的成熟度，最终又取决于事件知识库中样本数据的多少。而安全人员要在浩如烟海的数据中发现有效威胁，必须借助大数据分析的力量，从事件知识库到事件模式的形成，需要借助AI/ML，把事件模式转化成检测分析规则，也需要借助AI/ML，比如，通过终端打点信息的DNA序列图，发现可疑的终端威胁活动事件线索；通过ATT&CK热力图拟合判断一个攻击的属性，用于验伤分析。

5.2.4 威胁检测分析流程

综上，描述了产品层面构建完整的基于“点线面体”威胁分层检测所具备的技术和能力，以及在每个层面需要做的具体工作。下面是完成“点线面体”检测分层检测的完整流程。

图 26 威胁检测分析流程

该流程以云管端各神经元打点为起点，依次经历检测、分析（验伤&取证）和反馈（学习&转化）几个阶段，每个阶段都有明确的输入和输出。每个阶段都以前面阶段的输出结果作为输入，经历一个阶段之后，给出该阶段的输出结果，再作为下一阶段的输入，最后在反馈阶段形成新的检测分析规则，继续提供给前面的几个阶段使用，最终形成完整流程闭环。每经历一次完整闭环流程，用户的安全防护能力就会进一步提升。

/*******************************************/

问题：通过以上能力建设，是否可以真的发现高级威胁？回答：大概率。原因如下：1.攻击者一定会进入企业内部；2.攻防是不对等的，体现在两个地方：a. 企业边界，易攻难守，众所周知；b. 企业内部，由于攻击者的攻击链较长，攻击者在攻击的任何一个环节被防守者捕获，就会宣告攻击失败，此时防守方是有优势的，为什么提倡纵深防御，也是这个道理；3. 攻击者可以在某些攻击环节使用新的攻击技战术，但不太可能在攻击链的所有环节都使用全新的攻击技战术，防守方只要识别出攻击者在某些攻击环节中使用的技战术，就有可能回溯出完整攻击场景。现实中最大的问题是，如何避免有价值的告警被海量信息所掩盖，如何在浩如烟海的信息和线索中准确判断告警的可信度，如何让安全人员把时间放在有价值的事件调查上，而非判断告警的真实性，这就是自动化验伤需要解决的主要课题。

从2018年XDR概念首次提出到今天，经历了几个关键发展时期，第一个时期是如何采用非特征码方式发现高级威胁活动，比如采用威胁情报、TTP检测规则等，体现在“线”这个层面的检测能力；第二个时期是面对海量的告警，如何提升告警的准确性，如何产生高质量的实锤告警，体现在“面”这个层面的验伤能力，这也成为目前大部分XDR产品所强调的关键能力；XDR接下来如何演化发展，大家看看上述模型就非常清晰了，每家XDR产品形态可能各异，但最终发展方向殊途同归。在写这篇文章的同时，NG-XDR（即XDR 3.0）完整体系架构也已经规划设计完成，并投入产品原型开发，希望明年上半年可以做试点验证，NG-XDR的具体论述要等到2023年才有机会正式发布，这里先留个引子。

/*******************************************/

5.3 核心方法论2.0升级

在战略2.0中，我们明确提出了以“监控”为中心，以“检测、分析、响应、预防”为过程的高级威胁治理自适应方法论模型，在这么多年的实践过程中，该方法论模型不断被细化，每个过程也逐步在落地过程中被精确定义。XDR 2.0体系丰富了“打点、检测、分析、响应、反馈”这五个过程，上篇文章最后部分阐述的风险评估管理体系（体系5 - RAM）提出了“预测、预警、预防”这三个过程，将原来的四个过程细化到了八个过程，同时，把“以监控为核心”扩展到“以监控和持续评估为核心”，以此构成了核心方法论2.0的主要内容。

图 27 核心方法论2.0

 5.4 高级威胁治理核心交互模型

将升级后的方法论和威胁检测分层模型对应在一起，就组成了高级威胁治理核心交互模型。看图比文字更形象，相信大家很容易理解。

图 28 高级威胁治理核心交互模型

正式提出方法论2.0以及上述核心交互模型是在2020年1月，时间很快过去整整两年了，眼看即将进入2022年，最近有空整理成文陆续发出，既是对过往工作的总结，也算为高级威胁治理领域的发展分享一些自己的经验。战略4.0还有四个新的支撑体系以及2021年HVV的落地实践两部分，后面写两篇文章分别讲述。

（未完待续）