彻底搞懂什么是XDR,看完这7个问题就够了丨微步在线解读

admin
admin
admin
988
文章
2
评论
2022年6月2日17:57:30 评论

安全人太不容易了,看个技术名称就像是在读绕口令,他们时常要从一堆王小宝、刘小宝、孔小宝、李小宝、张小宝中间,找到宋小宝。比如这次要聊的XDR,扎堆IPS、EPP、CWPP、NDR、EDR、MDR......之中,虽是后浪,但也算新秀里的“高富帅”,偏偏很多安全人都分不清XDR到底是啥,有何功效。所以,我们决定出个XDR扫盲系列,让各位真正认识一下。

 

XDR

是谁,又为何而生

也许你很好奇:为什么突然就冒出来一个XDR?原因很复杂,也很简单:

一个是传统安全设备数据集成能力弱。企业虽然有了SIEM/SOC等日志类数据分析平台,或是IDS、IPS、WAF、防火墙、EDR等单点安全设备,但前者无法理解下游检测设备告警,数据多而不准,安全误报多;后者获取的数据又有限,不同设备数据还无法紧密集成,最后变成了真实风险看不到,出现威胁防不了。

另一个是安全运营压力太大。安全人员每天都会收到来自不同安全设备的上万条威胁告警,而头疼的是,绝大多数(90%以上)都并非真实威胁,所以安全人员不是身体在处理误报的路上,就是精神在遭受误报的折磨,压力非常之大。

于是,XDR这个后浪(新的技术解决方案)就出现了。

图片彻底搞懂什么是XDR,看完这7个问题就够了丨微步在线解读

图源自Gartner:2020终端安全技术成熟度曲线

 

XDR,全名Extended Detection and Response,为了与隔壁的EDR(终端检测与响应-Endpoint Detection and Response)相区分,又便于记忆,所以就以“X”换“E”,缩成了XDR。Gartner将XDR定义为一个可集成、关联来自多个安全防御、检测与响应组件的数据与告警,并将其情景化的平台。2020年,Gartner发布 《HypeCycle for Endpoint Security, 2020》,XDR首次被列入技术成熟度曲线,成为创新萌发期的新兴技术。

紧接着,在一年后的2021年,Gartner又针对XDR技术发布了《Market Guide for Extended Detection and Response》,为安全风险管理者提供战略上的指导。

表面看,Gartner这又是技术分析,又是战略分析,实际的问题,其实是甲方企业苦安全现状久矣。据Gartner的一项调查显示,80%的企业安全领导人都在寻求安全厂商整合的解决方案安全产品创新的接力棒,历史性地交到了XDR的手上

 

XDR

关键组件有哪些

Gartner不仅告诉我们“XDR是谁”,还告诉了我们“XDR长啥样”。可靠的XDR,其关键组件主要包括两部分:前端组件与后端组件

彻底搞懂什么是XDR,看完这7个问题就够了丨微步在线解读

图 | 微步在线

前端组件,由生成安全遥测数据的“触角”(感应器)组成,这些触角包括但不限于EDR(终端检测与响应-Endpoint Detection and Response)、EPP(终端防护平台-Endpoint Protection Platforms)、NDR(流量检测与响应平台-Network Detection and Response)、SSE(安全服务边缘-Security Services Edge)、CWPP(云工作负载安全防护平台-Cloud Workload Protection Platforms)、蜜罐、邮件安全

而XDR的后端组件,则是吸收所有关键位置的遥测数据、日志、威胁上下文信息,之后再对所有的数据进行关联、高级分析,从而完成威胁检测、调查、工具编排、自动化响应等工作。

 

XDR

关键能力有哪些

组件好比XDR的骨架,通过紧密的集成与关联,就具备了各种“走跑跳”的能力。而光有组件还不够,XDR平台需要具备关键的软实力,才能“合格上岗”。这些能力包括:

  • 针对XDR厂商生态体系内安全产品的标准化数据,进行集中管理;
  • 能够将安全数据和告警关联成安全事件;
  • 具备调整单个安全产品状态,并将其用于事件响应或安全策略的事件集中响应能力;

除此之外,XDR还应该:

  • 利用检测技术,将来自多种产品的弱威胁信息整合展现为恶意活动的强证据;
  • 需要具备自动化实现更快、更有效响应的能力;
  • 底层数据湖基础,可提供更大范围、低成本数据存储、分析与机器学习能力;
  • 基于云的交付技术。

这里面,XDR平台的核心要求,是能够以通用的数据格式,对历史及实时安全事件数据进行集中收集。安全事件数据必须具备可扩展且高性能的存储方式,可用于随时快速索引与搜索。

 

XDR

能为企业带来哪些核心价值

如果企业安全团队成功拥有了XDR这项全新的技术解决方案,整个企业将享受到:

图片 更清晰全面的安全视野。换句话说,XDR从终端、网络、服务器等不同安全层获取数据,对整个安全环境进行360度无死角监控,分析师通过一个系统能看到不同安全层的威胁信息,如攻击发生时间攻击路径、攻击入口、影响范围,威胁起源等与威胁事件相关丰富的上下文背景信息。

图片 告警优化。对于安全告警这个困扰绝大多数企业的问题,XDR通过数据分析与关联能力,能够基于MITRE ATT&CK框架对相关告警分组,达到优化告警且只显示最重要告警的效果

图片 安全运营自动化。XDR平台自动化的价值,在于加快检测与响应节奏,减少安全流程中的手动环节,让安全团队能处理大量安全数据,并以标准化方式执行复杂的安全流程

图片 运营效率提升。XDR提供整个环境不同层面的整体威胁视图,而不只收集某个特定安全层数据。所以,它给到的是集中式的数据收集与响应,与整个安全环境及安全生态系统结合非常紧密。

 检测响应更及时。因为自带“检测与响应(Detection &Response)”使命,所以XDR有更高可见性、更准确告警、更自动化运营,终极目的是让企业更快对威胁进行检测与响应,发挥自身“DR”的价值。

 

XDR

江湖流派

XDR目前仍处于一个早期的市场,各大厂商能力盘子、发展成熟度等等各不一样。不过Gartner从实现方式出发,把XDR分为了两大流派:原生XDR开放XDR。

彻底搞懂什么是XDR,看完这7个问题就够了丨微步在线解读

图 | 微步在线

原生XDR,是一个原生的生态系统,既提供生成数据的前端解决方案,也提供后端分析与工作流的解决方案。它的关键,是作为前端传感器的终端、云、网络层数据源,及针对数据执行威胁检测、调查与响应等后端能力,均为XDR厂商自身提供,安全产品间的关联与集成更紧密丝滑,检测响应效果更直接有效。原生XDR多起家于EDR厂商,该类型与Gartner定义能力更接近。

而开放XDR,主要提供后端分析与工作流引擎。它需与企业现有安全与IT基础设施集成,关联与分析相关数据,最后实现对自动化以及威胁检测、调查、取证与响应流程的优化,提升安全事件的响应速度。面对复杂与脱节的安全产品堆栈,XDR充当了跨多产品的单一控制台,做到安全事件的编排与自动化,避免跨多产品手动方式推进工作流。该类别以SIEM/SOC、SOAR起家的厂商为代表。

 

XDR

如何部署

把钱花出去不难,但面对背上的KPI,手里用习惯了的安全产品,肩上挑的安全担子,花钱就很难而且很考验勇气了。

在部署XDR时,我们建议分阶段部署,从单一触点(如EDR)为起点,用XDR组件逐渐替换已有单点工具。从理论上来说,相比原本零散的工具叠加,XDR方式的组件集成,实现的效果是1+1>2的。也就是说,可靠的XDR产品长期价值远超于企业自主最佳单品工具组合所能实现的效果。

另外,在规划部署XDR时也需考虑一些小的细节。比如,收集多少日志及遥测数据,存储多久,从而确定XDR平台所需的存储空间及将数据发送到XDR数据收集代理所需的跨LAN、WAN和云连接的带宽等。XDR也需要足够时间确定数据流行为基线,准确检测安全异常,如果基线时间缩短,会出现大量误报以及错误研判的安全事件。

 

XDR

哪些企业适合

虽然目前未出现关于XDR交付的最佳实践,但根据Gartner定义及XDR的实现效果与必备能力,XDR产品更适合没有资源(员工或能力)将最好的安全产品组合集成至SIEM/SOC、SOAR产品中,或者根本未使用SIEM/SOC、SOAR产品的中小型企业

彻底搞懂什么是XDR,看完这7个问题就够了丨微步在线解读

图 | 微步在线

不过,这也并不是说XDR对大型企业就没有价值,相反大型企业中基于更加规模化、自动化、完整的安全运营,XDR发挥的价值会更大,只是大型企业在部署XDR时,由于自身拥有的大量分布式安全控制和运营技术,部署路径相对难度会更大一些

XDR是进化,但不是革命。可靠的XDR不仅来自某个供应商的多个单点解决方案,它还能用更有效、可替代的工作方式取代一些现有安全操作工具,解决安全事件响应、安全运营能力与效率的问题。

 

说完了什么样的平台是XDR,我们下回准备聊聊哪些其实不是XDR,欢迎锁定,以防错过。

免责声明:《2020终端安全技术成熟度曲线》图形由 Gartner, Inc. 作为大型研究文档的一部分发布,应在整个文档的上下文中进行评估。Gartner 文档可根据要求从 [https://www.gartner.com/doc/3987589] 获得。Gartner 不认可其研究出版物中描述的任何供应商、产品或服务,也不建议技术用户仅选择具有最高评级或其他名称的供应商。Gartner 研究出版物包含 Gartner 研究机构的意见,不应被解释为事实陈述。Gartner 不承担与本研究相关的所有明示或暗示的保证,包括任何适销性或适用于特定目的的保证。
weinxin
数说安全
微信扫一扫
  • 本文由 发表于 2022年6月2日17:57:30
  • 除非特殊声明,本站文章均为原创,转载请务必保留本文链接
深信服XDR攻击故事线还原关键技术揭秘 新闻热点

深信服XDR攻击故事线还原关键技术揭秘

近期,深信服XDR捕获了“银狐”钓鱼攻击事件,在某科技企业真实环境中实现精准检出。 这是一场与黑客的时间争夺战。 在黑客采取下一步行动之前,如何高效溯源攻击入口?如何及时封堵外联IP? 这也是一场钓鱼...
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: