XDR是“全家桶”解决方案吗?

发布时间:01-0817:15

提到XDR(扩展检测和响应),相信业内人士已经非常熟悉。XDR不是一个新名词,尤其是2020年以来,随着疫情和网络威胁带来的新变化,XDR的热度持续上升。

Gartner将XDR列入2020年-2021年十大安全项目,在有科技产业界风向标之称的Hype Cycle(技术成熟度曲线)中,端点安全和安全运维两个Hype Cycle也都提及了XDR技术,前景相当可期。

2020年端点安全技术成熟度曲线报告

产生

XDR是一种新的技术,更是一种解决方案型的产品,为检测和响应带来了新的可能性。

现在普遍认为XDR源于EDR(端点检测与响应)。EDR是一种安全工具,监视与网络相连的终端用户硬件设备上的可疑活动与行为,并自动响应以阻断察觉到的威胁,同时为进一步调查留存取证数据。

端点安全控件层次结构

如上图所示,顶部的核心检测和响应功能显示了与EDR相关的关键功能。EDR平台对发生在端点设备上的一切,如进程、DLL(动态链接库)和注册表设置的变化、文件及网络活动,都具备深度可见性。同时,结合了数据的聚合与分析能力,来识别威胁,或自动化处理或人工介入。

虽然EDR很有价值,但它的焦点只放在端点自身。安全团队和技术产品如果想更快发现更多威胁,还需要获取更多不同来源或位置的数据。因此,进化到囊括一系列数据集的XDR才能够更加适应时代的发展。

XDR纵观网络威胁中的所有元素,不再局限于端点上发现的那些,云、威胁情报、网络数据、日志信息、社区数据等等都可以包含进来。很显然,从EDR到XDR,是一个自然演进的过程。

定义

从产生过程我们可以发现,XDR是将多个安全产品整合为一个面向主流市场的统一的安全事件检测和响应平台,以此来提高整体的检测和响应效率。

目前,Gartner给XDR的定义是:XDR是一种基于SaaS的,绑定到特定供应商的安全威胁检测和事件响应工具,可以将(该供应商的)多个安全产品原生地集成到一个统一的安全运行系统中,以统一所有授权的安全组件。

XDR系统主要有三个需求:

规范化数据的集中化,但主要集中在XDR供应商的生态系统上;将安全数据和警报关联到事件;作为事件响应或安全策略设置的一部分,可以更改单个安全产品状态的集中式事件响应功能。如下图所示,XDR主要是用来保护终端用户及其使用的应用程序和数据。当然,这个概念也可以扩展到数据中心保护、身份和访问管理以及安全访问服务边缘产品组合上。

XDR概念体系结构

优势

XDR在功能上类似于SIEM(安全信息和事件管理)以及SOAR(安全编排、自动化和响应)工具。但是,XDR与两者最大的区别在于其产品在部署时的集成程度,以及对威胁检测和事件响应的关注。

当前,大多数企业的传统集成点是SIEM工具,它们擅长收集日志,但在大多数实现中很少能改进检测保真度,也很少用到上下文分析和相关安全产品的关联分析。对于企业来说,很难开发SIEM手册以及跨异构环境构建更深入、更丰富的集成。

而较新的SOAR工具旨在提供跨多个组件的集成,但由于缺少可用的api、数据合并问题以及与能够有效启动响应活动的检测活动断开连接的工作流,这些工具受到了限制。

SOAR概述

XDR的出现可以缓解以上这些问题。它将多个特定于供应商的安全产品整合为一个统一的安全事件检测和响应平台,无需进行广泛的集成工作即可进入主流市场。

这会对比较务实的企业安全买家构成相当大的吸引力,因为他们没有资源将一流的安全产品组合集成到SIEM或SOAR工具中。

总体来说,XDR的核心优势体现在三个方面:

改进保护、检测和响应能力;提高安全运营员工的效率;降低获得有效检测和响应能力的总体拥有成本(TCO)。在改进保护、检测和响应能力上,XDR可以通过在组件安全产品之间共享本地威胁情报来提高保护能力,从而在所有组件之间提供有效的威胁屏蔽;此外,通过自动关联和确认警报来减少遗漏警报;集成相关数据,以便更快、更准确地进行警报分类等。

在提高员工的效率上,XDR可以将大量警报转换为少量需要人工调查的事件;提供所有安全组件的能力,以便快速解决警报;提供超越基础设施控制点(即网络和端点)的响应选项;为重复性任务提供自动化能力;减少对Tier 1人员的培训,只需要相关的工作流和管理流程;提供可用和高质量的检测方法,并不需要太多的调整。

挑战

XDR这类解决方案的产品目前还处于初期开发阶段,后续可能会出现许多风险。比如事件管理的一个基础问题,新的事件源和事件量的增长速度过快,集成、检测、响应和自动化程度的每一次提高,都只能部分地平衡问题的规模和复杂性。XDR只能改善这种情况,但并不能解决这一问题。

XDR可能会导致过度依赖单个供应商,这引发了多个潜在问题,包括:供应商锁定、单点故障、供应商支持或更新问题的增加、供应商未能适应不断变化的威胁或市场环境、XDR产品选择错误会带来更高的战略风险等等。一个供应商正在做多个集成的事情并不意味着它一定做得很好,效能将是极为重要的一个指标。

事实上,只有一小部分供应商能够提供XDR产品。许多XDR产品还不成熟,没有完成所有组件之间的集成。一般来说,能够提供XDR产品的都是大型供应商,演进速度往往比同类最佳的创业公司慢得多。为了保证竞争力以及提高场景覆盖率,他们必须紧跟最新技术,进行收购或者集成其他安全厂商的产品。

另外,XDR的采购周期一般会比较长,可能企业安全负责人的任职周期都没有采购周期长,这也会影响XDR产品的成功。

然而,尽管存在这些风险,随着安全市场整合时机的成熟,XDR产品将吸引那些因安全复杂性和缺乏熟练的安全操作人员而不堪重负的务实企业。

XDR虽然是近两年才涌现出来的新型解决方案,但是在国外已经得到了主流客户和主流咨询机构的认可,海外市场相当火热。

思科、微软、Fortinet、Fidelis Cybersecurity、McAfee、Palo Alto Networks、Symantec、Trend Micro、FireEye、Rapid7和Sophos都是未来XDR的潜在供应商。

在国内,XDR还处于早期探索阶段,仅有少数几个安全厂商发布了基于XDR的应用。

整体来看,XDR虽然是一个将多个安全产品整合到一起的解决方案,但是能不能产生1+1>2的实际效果,还要结合企业情况进行具体分析。

企业安全负责人在进入XDR这个“大坑”前,必须认同XDR的愿景,根据自身人员配置和生产力水平、风险容忍度和安全预算等情况,进行更加深入的调研和咨询论证。

返回顶部