精准定位失陷主机，杀停WebShell，看看联动XDR方案有多厉害

如今，做网络安全如果还停留在“被动防御”，那就有点输在起跑线上了。但只靠单点“检测和响应”来“主动防御”，也并非最有效的招式，因为“坏人”的手段越来越高明了。各种 0day、无文件、免杀病毒等新型攻击出现，变种病毒工具批量化，攻击手段越来越隐蔽、高效，传统基于静态特征的检测与响应，因无法及时更新与记录最新的安全威胁特征而失灵，不能针对威胁进行及时发现与响应，让企业暴露在重大安全风险之下。

佛说，企业如果不能鸟枪换炮，那就干脆换个思路。单点检测与响应难于有效阻断攻击者，防守策略就需要调整，从单点检测转变为多点联合检测：单独依靠流量检测设备无法检测到的威胁，结合终端设备可以发现;终端设备发现不了威胁入口的，流量设备能够找到。而这，就是多点检测与分析的价值。

基于此种思路，微步在线以威胁感知平台TDP(Threat Detection Platform)与主机威胁检测与响应平台OneEDR为基础，推出“流量+终端”联动的XDR解决方案。流量侧与终端侧相互补充，以日志而不是告警互通的方式协同分析，流量检测设备发现威胁，终端检测设备深度定位与攻击溯源，从而提升安全事件运营能力。

图 | 微步在线联动 XDR 解决方案

联动XDR解决方案的3个优势

无论是流量层，还是终端侧，如有异常，都必有痕迹。而基于微步在线核心流量检测与终端检测产品的联动，可将新型威胁的发现能力与处置能力发挥到最大。

TDP：全流量检测及可疑敏感行为检测，准确度99.9%TDP能够对双向流量进行检测，覆盖请求流量与返回流量，同时支持检测向外请求。利用流量分析和数据还原模块，可在IPv4和IPv6的情况下，对多种主流协议进行高性能分析，对加密流量的分析能力与性能更强大。

同时，TDP可以利用机器学习在流量中识别可疑与敏感行为，并对产生该行为的流量自动化标记，通过自研的行为模型算法准确识别可疑与敏感行为，对未公布的攻击方法进行发现，从而对企业内部异于90%的流量进行甄别和研判，标记为可疑。

用一个通俗的比喻来说，TDP好比始终放置在上空的监控，而加密流量攻击就好比坏人带了一个头套。带头套的不一定是坏人，但带了头套多次深夜徘徊在银行门口的，很可能就是一个坏人，遇到这种情况，TDP就会进行标记与识别。

OneEDR：全面精准主机入侵检测，事件可视化展示，易溯源终端侧，微步在线OneEDR利用木马检测、WebShell检测，云查、云沙箱等多款引擎充分检测恶意文件，能够充分覆盖已知网络失陷点，同时OneEDR充分利用了ATT&CK架构对攻击全链路进行多点布控，能够全面发现入侵行为的蛛丝马迹。

此外，OneEDR可基于图模型的安全事件告警聚合，利用低分告警相互印证，生成高置信安全事件，刻画攻击全链路步骤，捕获恶意威胁入侵特征，能够有效提高检测准确率。并且，OneEDR能将安全事件以攻击链的形式，展示出威胁入侵的始末，帮助安全分析人员更加直观地进行溯源。

如果流量检测是监控，终端检测设备就是身份识别器，各种文件、内存、日志、注册表等都成为坏人留下的痕迹，并且被OneEDR记录与实时完善与刻画，最终成功画出坏人的行进路线。

TDP+OneEDR：流量与终端联动，全方位快速分析与响应通过联动，TDP可以从OneEDR上获取丰富的文件信息，为溯源响应提供最直接的信息来源，并从流量角度对主机上获取的检测引擎结果进行对比，提升检测准确度。利用TDP流量层的检测机制，OneEDR也获取到了流量侧信息。当两侧均有检出时，则可共享数据，从而还原攻击流程。如果只是单侧产生告警，可以告警共享，并追踪关联数据，大大提升溯源响应效率。

检测只是起点，响应才是目的。一旦发现新型威胁，联动XDR解决方案将从流量与终端进行快速响应。在检测到威胁流量后，TDP可在不改变网络拓扑情况下对恶意连接进行有效阻断，将检出的恶意网络资产IP、域名等信息同步至第三方防火墙设备，及时阻断，还可提供轻量级终端取证Agent，通过内置专杀模块进行一键查杀。

如果是WebShell等“藏得很深”的威胁，终端OneEDR可以对其执行命令进行杀停，实施文件隔离，封禁攻击者IP，同时也可将响应能力以API的形式调用至TDP。无论是流量侧还是终端侧，都可实现有效响应。

图 | 微步在线联动XDR解决方案应用场景

联动XDR解决方案的2个典型应用场景

在真实的攻防对抗中，最实际的问题，在于无法发现隐秘威胁，更无法确认攻击者的突破点入口位置，所以就谈不上对攻击进行快速响应。这种情况下，唯有多点检测与分析结合，方可快速提高企业响应能力。而通过TDP与OneEDR联动的解决方案，可从流量和终端两侧互补，全面发现威胁，从流量侧发现威胁，终端侧深度定位，快速溯源攻击路径：

WebShell 发现

WebShell能够嵌套在正常网页中运行，不易被查杀，而且可穿越服务器防火墙，不会被记录在系统日志中，隐秘性非常之强。对于WebShell，TDP能够通过自研的行为模型算法，精准发现WebShell，并将受攻击主机IP和Shell URL 同步到OneEDR，OneEDR进一步定位Shell路径，从而呈现WebShell的存放路径、威胁类型特征以及网络连接行为，让WebShell无处遁形。

失陷主机定位

失陷场景下，将办公区核心交换流量镜像，或以内网DNS服务器日志接入TDP，利用情报和模型精准发现办公网主机横向渗透与失陷破坏行为，并定位到失陷主机，同时将主机IP同步给OneEDR，OneEDR则具体定位被控的主机进程，进而完整还原攻击链条，针对远控威胁深度溯源。

通过流量检测响应平台与主机检测响应平台联动，企业安全团队能够更加精准发现更多新型威胁，同时通过TDP与OneEDR结合，可提升取证溯源效率，协助企业安全人员缩短MTTD(平均检测时间)与MTTR(平均响应时间)，提升企业整体的安全运营能力。