端点优先：规划人工智能驱动的安全运营的路线图

执行摘要1 依赖孤立安全工具的安全运营团队遭遇的网络攻击比防御者的反应速度更快。这些团队面临着严峻的现实：处理成千上万条缺乏背景信息的警报、耗费大量时间进行人工检测、攻击者在分析人员拼凑出事件真相的同时悄然潜入。 要确保孤岛式架构的安全，就需要一种全新的、颠覆性的方法，即以端点为基础的统一安全操作平台。该平台使用高精度端点代理，负责拦截和收集全面的端点遥测数据，这是最丰富的攻击情报来源。它还扩展到网络、云、身份和电子邮件数据。凭借广泛的背景信息，组织便能获得应对现代威胁所必需的可见性、检测能力和响应效率。 这种端点优先的转型模式，能够伴随组织机构在安全成熟度之路上共同成长——无论是资源受限但寻求即开即用的简单防护的IT团队，还是正在构建人工智能驱动的SOC的成熟企业，都能从中获益。通过采用这种方法，组织在检测准确性、响应速度（数分钟对比数天）和运营效率方面都有了显著提高，而且自适应防御能力会随着威胁的变化而不断演变。 了解端点优先架构如何统一可视性、实现检测自动化，以及实现机器快速响应。看看它如何为资源有限的团队，以及准备构建未来人工智能驱动型SOC的成熟企业提供可量化的成果。 孤岛式安全运营的失败范例2 攻击速度与检测能力之间的差距从未如此之大。建立在孤岛式工具基础上的传统安全架构根本无法提供能够阻止当今威胁所需的统一可视性和响应速度。 现代威胁格局 攻击速度很快，以小时而不是以天计算。这种速度和复杂性给安全小组带来了巨大挑战。他们需要来自多个领域的数据，以极快的速度了解攻击的展开情况并对其进行分析。 孤岛式途径的弱点 传统的端点检测和响应(EDR)、防火墙和云安全工具各自为政。此外，传统的SIEM缺乏所需的机器高速检测功能，无法跟上不断变化的威胁。这种方法的结果是，分析人员会遭遇警报疲劳，可视性也不全面。 警报疲劳 分析师们正被来自大量低可信度信源的成千上万条孤立的、缺乏背景信息的警报所淹没。他们很难从噪音中分辨出信号，导致需要花费太长时间来处理关键的变化。传统的SOC模式是围绕人工分析师建立的，要求安全小组每天浏览数百条警报，但大部分时间都花在误报上。 全面可视性 端点上的警报缺乏来自网络或身份源的背景信息，反之亦然。分析师必须在SIEM或不同的工具中手动拼接事件，这样做既慢又容易出错。 现代的统一方法 为了有效地应对复杂的威胁，组织必须从端点这一主要攻击点开始，在统一数据的基础上建立安全架构。随着数据量和警报数量的增长，以人为主导的方法已经无以为继，需要从根本上转向人工智能驱动的安全操作。 基础：高精确度的智能体3 多层次、人工智能驱动的预防 实时阻止威胁的能力是最重要的功能。这就需要在端点本身运行一套强大的防御系统。领先的解决方案利用从数以万计的全球客户处获得的分析见解，针对最新的攻击行为持续训练人工智能模型。这种方法可以实时拦截复杂的威胁。经过严格测试的功能可在部署后立即发挥作用，兼具有效性和准确性，既能防止已知的恶意软件，也能预防新的攻击技术，而无需进行大量调整或设定基准期。 例如，这种类型的防御措施能够在恶意代码执行之前，主动阻止利用软件漏洞（如Web服务器漏洞）的攻击尝试，从而在攻击入点就有效化解零日威胁。 不间断的丰富遥测数据流 下一个同样重要的功能是为整个安全操作平台配备一个主传感器。智能体必须从进程执行、网络连接、文件活动、注册表更改和用户操作中持续收集和传输深度端点活动数据。这些数据是所有先进检测、调查和响应的基础。 领先的解决方案可从端点收集广泛的遥测数据，建立具有背景信息的情报，从而实现高度准确的安全分析，以机器速度检测威胁。此外，领先的平台在独立评估（如MITRE ATT&CK®评估）中展示了卓越的检测能力，其中表现最佳的平台在首次尝试时就获得了完美的技术级检测分数。 从数据到决策：统一分析平台的力量4 安全小组可以将来自端点和其他来源的原始数据转化为可操作的情报，从而改变SecOps的经济性和有效性。 跨域数据输入 端点遥测是一个起点，但有效的扩展检测和响应(XDR)需要将这些数据与来自其他重要安全领域的信号融合在一起，以创建整体威胁可视性。XDR平台可自动将端点数据与整个安全基础架构的信息关联起来，从而准确检测攻击并简化调查： •网络，如防火墙、网络流量分析和DNS日志。•身份和访问管理(IAM)，如Active Directory、云IAM和身份验证系统。•云基础设施，如云提供商日志、容器运行时数据和无服务器环境。•SaaS应用程序，如生产力套件和协作工具。•电子邮件，如基于云的电子邮件服务。 这种数据集成方法解决了SOC所面临的一个基本挑战，即组织往往部署了数十种安全工具，但在应对单个事件时，需要在许多工具之间协调数据和行动。通过统一这些不同的数据源，XDR平台消除了盲区，并提供所需的跨域可见性，以检测孤立的端点、网络和云检测与响应工具所忽略的规避性威胁。 获取跨域数据使安全小组能够了解完整的攻击生命周期，而不是调查孤立的事件，从而帮助将零散的安全操作转变为具有凝聚力的防御策略。 人工智能驱动的核心能力 统一的数据基础可实现全面的威胁检测和响应。从深度端点遥测和扩展数据源开始，数以千计由机器学习(ML)驱动的探测器不断评估传入的数据，以发现可规避传统签名式防御的各种高级攻击。这种机器学习优先的方法可处理大部分威胁检测工作，使安全分析师能够专注于验证、高级威胁追踪和修复工作。 智能事件管理 XDR平台利用机器学习自动将相关安全事件关联到统一的事件中，从而消除了耗费分析师时间的手动工作。与同一攻击相关的所有检测都会被归类到一个案例中，从而揭示出完整的关联故事。攻击叙事得以实现，这得益于对共享工件（文件哈希值和IP地址）、因果关系链（进程A启动了进程B）以及相关事件的时间序列分析。这种能力转变使安全小组从被动的警报处理转向主动的威胁调查。 基于风险的优先级 安全小组能够利用自动风险评分，将资源集中用于造成最大业务风险的威胁。根据事件中问题的累积情况对事件进行评分。我们对多种因素进行了评估，包括检测多种警报类型、跨多个数据源的活动，以及与组织和全球基线相比所观察到的文件或行为的统计稀有性。通过考虑受影响的系统、用户权限和攻击复杂程度，XDR可确保影响较大的威胁立即得到关注。 业务情报 可视化攻击时间表和根本原因分析可加快事件响应速度，同时提供合规报告以及与利益相关者沟通所需的文档。XDR平台将各种安全事件映射到MITRE ATT&CK等标准框架，从而为攻击者所使用的技术提供通用的表述和统一的理解。这种方法使安全领导者能够清楚地了解攻击进展和业务影响情况。利用预定义的自动化剧本和快速操作，分析师可以在几分钟内而不是几小时内修复威胁。 Cortex XDR：端点优先架构的实践5 统一安全操作和人工智能驱动的检测原则为现代威胁防御提供了战略框架。Cortex XDR®是这种端点优先理念的典范，它将这些基本概念转化为可测量的安全成果。 以下场景展示了以Cortex XDR端点为中心的安全架构如何处理不同的攻击载体，并使安全小组能够了解和应对复杂的威胁。 情景A：高级端点威胁（勒索软件） 攻击路径 攻击者利用Web服务器漏洞，使用PowerShell执行、投放恶意脚本并尝试加密文件。 商业挑战 全球数据泄露的平均成本为444万美元，而勒索软件攻击被攻击者披露时的具体成本平均为508万美元。1 传统对策 在EDR、网络监控和文件安全工具中出现多个断开警报。在攻击过程中，安全小组需要花费45—60分钟的时间将事件关联起来，在此期间，攻击者成功加密，并导致业务中断。 理想的响应措施 •预防：Cortex XDR中的漏洞利用保护模块可在Web服务器上阻止初始攻击。 •检测和调查：如果模块设置为只检测模式，Cortex XDR会收集各个步骤的数据。因果关系视图显示了整个链条：IIS进程→cmd.exe→cscript.exe→ransomware.exe。分析师可以查看编码命令，并通过即时根源分析确定攻击载体，以便今后进行预防。 业务价值 Cortex XDR将平均检测时间(MTTD)和平均响应时间(MTTR)从数小时缩短到数分钟，从而防止了业务中断且没有恢复成本。自动响应功能有助于在威胁蔓延到整个网络之前将其隔离。 情景B：云原生入侵 攻击路径 攻击者利用容器中的Web应用程序，获取云提供商账户的访问权限，创建新身份以实现持久访问，并从存储桶中外泄数据。 商业挑战 涉及多个环境（包括云）的数据泄露事件平均造成505万美元的损失，攻击者通常可访问多个云服务和数据存储库2。 传统对策 来自容器安全、云访问日志和网络监控的孤立警报导致了可见性存在缺口。安全小组往往难以将容器被入侵与后续发生的云账户接管联系起来，这就让攻击者得以建立持久化访问权限并实现数据外流。 理想的响应措施 在Cortex XDR中，分析师会看到一个案例视图，其中涵盖了Webshell的执行、利用提取的容器机密进行的后续访问、为维持权限而创建的新IAM用户，以及对云存储桶的异常访问。安全领导者可全面了解混合基础设施的攻击范围。 业务价值 更快的遏制速度可降低数据暴露风险和监管合规成本。清楚地了解云攻击的进展情况，可以更有效地进行事件响应和业务风险评估。 方案C：身份驱动型入侵 攻击路径 通过网络钓鱼窃取用户凭证。攻击者利用它们来删除卷影副本(VSS)。然后，他们从可疑地点登录用户的SaaS账户，并配置电子邮件转发规则进行数据外泄。 商业挑战 内部威胁和凭证泄露是造成重大数据泄露的原因，每次事件的平均成本超过490万美元3。 传统对策 身份警报、端点检测和电子邮件安全警告仍然处于断开状态。安全小组在多个平台上开展人工调查，而攻击者则使用合法凭证访问敏感数据并建立持久性。 理想的响应措施 Cortex XDR可自动将多个来源的警报合并为一个案例： •防火墙警报：用户访问了一个已为人所知的网络钓鱼网站。•端点警报：恶意文件下载并试图删除卷影副本（已阻止）。•身份警报：不可能的旅行——用户从新的地理位置进行验证。•SaaS警报：在Microsoft 365中创建了新的邮件转发规则。 将警报拼接在一起的功能可提供任何单一工具都无法提供的全面背景信息。它使安全领导者能够迅速做出反应，并就潜在事件与业务利益相关者进行明确沟通。 业务价值 在这种情况下，缩短遏制时间可最大限度地减少数据暴露和潜在的监管处罚。详细的案例文档可以为合规性报告和董事会层面的安全事件沟通提供支持。 Cortex XDR以端点为中心的方法使组织能够从根本上转变其安全运营，从被动的灭火，转变为主动的业务支持。 之前：零散警报 之后：统一事件XDR SmartGrouping 传统的孤岛式安全工具 结果：警报减少高达98% 假设的例子：6个单独警报；1个具有完整背景信息的统一事件 自动化红利 高保真的情境案例是开启可信自动化的关键。Cortex XDR能自动采取有针对性的补救措施，因为它能通过相关性和因果关系分析了解攻击的全过程。Cortex XDR本机嵌入了AgentiX™，相当于为分析师配备一支AI智能体舰队，这些智能体可不断通过上下文学习，协调工作流程，并采取精准行动。 例如，Cortex XDR中的端点调查智能体通过以下方式对身份驱动型入侵情景做出响应： •进行快速取证收集和分析，以确认威胁。•终止端点上的可疑进程链。•将受影响的主机隔离在网络之外。•在Active Directory中禁用受威胁的用户账户。•生成完整的合规性案例文档。 Cortex XDR可自主处理端点调查任务，如监控警报队列、初始警报分流、数据浓缩和遏制行动。我们估计，这些智能体团队成员（如端点调查智能体）可帮助您减少75%的人工劳作。4 自动化对经济的影响在于，组织可以逐步部署AI智能体员工队伍，从而SOC中实现更高的自主性