2021年Gartner发布的《Top Security and Risk Management Trends》报告中提到的技术趋势中,XDR将会是未来5年内重点的安全技术和解决方案,并有融合替代SIEM和SOAR的趋势。和2020年的报告同样,再次确认了XDR可以提高威胁检测的准确性和安全响应的生产力。未来,企业网络安全支出的策略也逐渐从阻止威胁和防护,向威胁检测响应转变。
同时,国内外各大厂商也开始密集宣传自己的XDR解决方案,无论老资格的Palo Alto Networks,Check Point,Fortinet,Cisco,TrendMicro等国外领先安全大厂,还是国内如奇安信、深信服、腾讯安全、360,还有安全新势力微步在线、青藤云等。
面对日新月异的攻击技术,XDR(跨层检测与响应)在 EDR(端点检测与响应)、NTA(网络流量分析)、SOAR(安全编排、自动化和响应)和SIEM(安全信息与事件管理)等主流安全方案有哪些差异,又该如何定位其应用场景,XDR又如何提升企业安全性?在评估XDR产品时又应该遵循哪些重要条件?多面魔方作为国内首家专注安全托管/安全运营服务的提供商,基于提高MTTD(威胁平均检测时间)和降低MTTR(威胁平均处置时间)结合众多场景案例来尝试解答并提供参考。
1,什么是XDR?
XDR英文全称为:Extended detection and response,中文为:跨层检测与响应。XDR是通过一种跨多个安全层收集并自动关联事件信息以实现快速威胁检测的方法。它可以监视企业网络中不同来源或位置的威胁。
由于传统安全工具和解决方案之间缺乏联系,事件分类和调查过程存在孤岛问题,导致大多数安全分析人员的事件关联和攻击观点存在局限性,这给攻击者隐藏自己提供了缝隙便于隐藏自己实现攻击入侵达成。
XDR通过全面的整体检测和响应策略消除了安全孤岛。它收集信息并匹配许多安全层(包括为终端、邮件、Web应用、服务器、身份认证系统、CASB云访问安全代理和云工作负载)上的深度活动数据的关系。可以对各种数据进行自动分析,以更快地检测到威胁,并使安全分析人员有足够的时间进行彻底的调查。
XDR方案提供了比Endpoint终端安全和EDR安全的威胁检测更好保护能力
从名字的演进以及厂商的解决方案来看,XDR跟EDR的关系最近,同时终端类型的安全产品也是在事件响应中最重要的产品。简单的来说可以理解为传统的端点检测与响应,即EDR的扩展和增强版。它提供了一种攻击的检测模型,横跨各种端点、网络、SaaS应用、云基础设施等各种可以处理的网络资源。
XDR提供跨数据的可见性与主动处置能力
XDR为所有的网络层和应用程序堆践提供可见性,同时具备高级检测、自动关联和机器学习能力以发现事件,而这些事件往往是传统的SIEM无力发现的。除此之外,XDR还可有效降低长期折磨安全人员的大量警告嗓音。
XDR功能通常包括了NTA网络流量分析、威胁情报,基于机器学习的检测能力,用户界面友好的威胁调查响应编排与部署能力
大量客户的终端安全和服务器加固依赖EDR。但是,由于其先天设计(将重点放在终端主机上)而存在功能上的局限性。EDR在可以识别和阻止的威胁种类、范围,但仅限于终端层级,对被攻击实体的关联识别,和对攻击的最佳响应方面也存在层级的局限性。
同样NTA网络流量分析仍然很重要,但是NTA需要跳出网络监控这个狭窄领域。NTA系统也会生成海量日志,这使得将网络警报与其他相关安全事件数据之间的关联变得非常困难。
虽然业界厂商已经在尝试改进EDR和NTA,但是这些改进往往最为单独的解决方案或额外的安全层来实现。这意味着数据孤岛问题依然存在。而XDR目前来看,是企业升级检测和响应系统的首选整体方法。XDR能够缩短SOC检测告警的时间,并评估哪些警报值得关注和采取行动。XDR不会替代SIEM,但会对其进行增强,以充分利用SIEM产生的安全日志和通知。XDR与SIEM以及安全调度、自动化和响应(SOAR)系统的集成,能够使分析人员可以在更广泛的安全生态系统中使用XDR。
XDR被认为是现有威胁检测和响应解决方案的演变
面对极其有耐心又低调、缓慢的APT高级持续攻击,或是在端点并未被管理的情况下。端点防护必须跳脱端点的层级才能跟上高级黑客的节奏。XDR可从管理的终端、IoT、电子邮件、网络设备以及容器和云端服务器搜集到数个月的资料当中发掘黑客移动的轨迹。
2,对Gartner XDR架构解读
XDR在Gartner的定义是:SaaS类型的安全威胁检测和响应平台,集成了大量的产品,并统一了相关license收费,可以采用订阅的方式交付,具体产品功能视厂商而有所不同。
XDR产品主要以下特征:
直接集成安全产品开箱即用
有统一的安全数据归一化和中心化可供分析和查询
由于有多种产品的配合和协调,因此可以改进检测的敏感性
多产品联动处理改变单一产品的响应过程
XDR产品的最小集合需要有威胁情报的持续更新,以及需要数据的归一化和中心化处理以便分析和关联。标准化的解决方案需要SaaS的存储,图数据库的支持分析,集成相关的安全产品,包括EDR、防火墙、SEG、CASB、CWPP等等。
如下图所示,XDR的概念架构主要集中在终端客户的保护形态上,当然也可以在数据中心保护,IAM或者是SASE的保护上。从下图可以看出,终端客户的保护上需要最上层的一些安全产品,然后是数据的归一化,以及数据湖再到数据关联,从而形成事件响应、自动化、工作流以及API的相关价值。当然在数据中心、身份安全以及SD-WAN的场景下也可以使用类似的架构来保证其特殊场景的安全。
3,XDR产品基本的功能特性?
1)分析和检测能力
XDR解决方案依赖于一系列的威胁检测分析。以下是一些典型的分析特征:
对内部和外部流量进行分析-确保检测到恶意内部人员和被破坏的凭证,并识别外部攻击。通过监控和分析内部和外部流量。即使XDR已经绕过了您的系统边界,它也能够识别威胁。
综合威胁情报-跨多个攻击载体整合已知攻击方法、工具、来源和策略的信息。威胁情报使XDR能够从对其他系统的攻击中了解情况,并使用该信息来检测环境中的类似事件。
基于机器学习的检测-包括监督和半监督方法,工作以识别威胁基于行为基线。机器学习技术使XDR能够检测零日威胁和非传统威胁,这些威胁可以绕过基于签名的方法。
2)调查取证和响应能力
一旦检测到可疑事件。XDR可以提供工具,帮助安全团队确定威胁的严重程度并作出相应的响应。下面是XDR中包含的一些功能,可以帮助进行调查和响应:
关联警报和数据-工具的关联性可以自动对相关警报进行分组,从活动日志构建攻击时间表和优先级的事件。这可以帮助团队快速确定攻击的根本原因,并帮助他们预测攻击者下一步可能做什么。
统一集中用户界面(Ul)-使分析人员能够从同一个控制台调查和响应事件。这有助于加快响应时间,并使响应文档更简单。
响应编排功能-直接通过XDR接口跟工具通信,自动化对事件进行响应操作,以及工具之间的通信。例如更新跨系统的端点策略,以响应自动阻止的对单个端点被攻击后横向移动扩大影响范围。
3)动态灵活的部署
XDR解决方案被设计成随着规模和订阅事件变化灵活提供额外的价值。以下是一些有助于实现这一目标的功能:
安全编排-具备与现有安全产品集成并利用其进行统一和标准化响应的能力。XDR解决方案还可以包括自动化特性,以帮助确保策略和工具得到一致部署。
可扩展存储和计算- XDR使用云资源,这些云资源能够进行扩展,以满足您的数据和分析需求。这确保了用于识别和调查高级持久威胁或其他长时间运行的攻击的历史数据仍然可用。
随着时间的进化-机器学习的改进确保了解决方案在检测更大范围的攻击时变得更有效。这与包含威胁情报相结合,有助于确保检测和阻止最大数量的威胁。
4,XDR有哪些用例?
XDR适合中型企业和小型企业,这些企业没有足够的网络安全人才或技能来推出自己的集成架构。此外,一些行业用户也有类似需求,例如:高等教育、医疗保健、地方政府等。当然,这并不意味着XDR不会吸引大型企业,但是对于拥有大量分散的安全控制和操作技术的企业和组织来说,XDR部署路径将更加困难。
从组织的角度来看,XDR可以帮助安全团队防范已知威胁,发现新的威胁,增强整体安全流程提供支持,特定Use Cases用例也取决于安全团队的成熟度。以下三个用例,反映了专业安全人员常遇到的三个层面:
第1层:分级处理-XDR解决方案可以作为聚合数据、监控系统、检测事件的主要工具。并通知给专业安全处理人员。这些系统构成进一步决策的基础,或者可以使其移交给更高级别的团队。
第2层:调查取证-安全团队可以将解决方案用作安全事件分析和安全事件信息的存储库。这些信息与威胁情报结合起来可用于调查事件,评估响应动作和培训安全人员。
第三层:威胁捕捉- XDR解决方案收集的数据可以作为执行威胁查找操作的基线。这些操作可主动在收集的数据中寻找被系统管理员和安全分析人员忽视的威胁证据。。威胁查找过程还可以用于创建新的威胁情报,然后用于加强现有的安全策略和系统加固。
威胁捕捉是在网络、资产和基础设施中,面向过程的信息处理和搜索工作,以发现那些能够规避现有安全防范措施的高级威胁。防火墙、入侵检测和日志管理这些传统的安全手段,往往在面临未知威胁时手足无措。而威胁捕捉则站在更高的层面应对威胁。网络中隐藏着着哪些传统安全工具难以发现的威胁?如何找到它们?在传统的网络环境中,很难仅凭一套日志关联或安全解决方案来发现潜在威胁,而XDR假定网络已经被入侵,威胁已经存在,并主动的进行识别和采取行动,这正是XDR的价值所在。
5,XDR有哪些价值?
企业需要更主动的安全方案,能够快速识别隐藏的复杂威胁,并实现对特定威胁实例的可见性。此外,这种主动方案还需要能跨网络、端点以及云基础架构提供数据的可见性。而能够兑现这种愿景的热门解决方案之一,就是XDR(跨层检测和响应)。
讲到XDR的价值,最直接就是三个:
提高安全运营的效率和价值,增强检测和响应的能力,可以通过集成多种安全产品并统一进行安全理解;
降低安全运营的复杂度;
降低获得有效检测和响应能力的总体拥有成本(TCO)。
一个统一的解决方案,可以统一在一个产品界面进行安全问题的解决,而不需要每个产品进行单独的对接调整,降低了安全运营的对接成本和使用成本。其他补充还有以下:
预防能力的改进提升-包括威胁情报和自适应机器学习,可以帮助确保解决方案能够实施保护,最大程度防御各种攻击。此外,持续监控与自动响应相结合,可以帮助在检测到威胁时立即阻止威胁,以控制损失。
细粒度的可见性-结合网络和终端通信,在终端提供完整的用户数据。这包括关于访问权限、正在使用的应用程序进程和访问的文件的信息。系统中拥有完整的可见性,包括本地和云中的可见性,使安全团队能够更快地检测和阻止攻击。
有效的响应-健壮的数据收集和分析允许安全团队跟踪攻击路径和重建攻击者的行动。除提供了定位溯源攻击者所需的信息,它还提供了其他有价值的信息,来加强防御策略。
6,总结
XDR作为新的解决方案已经得到了主流客户和主流咨询机构的认可,这也侧面印证一些其自身价值。XDR解决方案主要是面临实际的威胁检测和响应而存在,更适合安全运营和安全托管服务。之前EDR仅仅解决了终端上的检测响应,但是其他层面解决的较少,所以才出现了XDR这种综合的威胁检测和响应平台。
XDR解决方案的价值主要存在于可以打破壁垒,可以将安全产品天然融合在一起,可以产生1+1>2的效果,将终端、流量、认证、邮件等相关安全产品的报警集成在一起,可以关联分析。同时可以降低实际的采购成本和拥有成本。还有重要的一点就是可以提高个人和组织的综合效率。
这些特点都是针对于SIEM这种产品进行对标表述的,可能SIEM实际的中心地位会受到XDR这种产品的挑战,SIEM的部署成本极高,需要对接每个安全产品,同时进行关联分析,需要了解每个产品的报警属性,变相增加了产品拥有成本,也让这种每种都采购最好的安全产品集成的采购成本居高不下。同时SIEM形成的SOC,也会分Tier1、Tier2、分析师等角色,存在大量报警需要人员进行确认,需要安全运营人员花费大量时间处理简单而繁琐的事件甚至是误报。
短期内不存在XDR代替SIEM的情况,大部分XDR的解决方案都将其报警对接给SIEM,然后SIEM接收到的其他报警也可以通过XDR进行进一步分析。两者目前还是配合状态,SIEM还是发挥其报警归并、日志存储等基本核心功能。
XDR也有其自身的局限性,比如一般来说都是单一厂商提供的解决方案,基本都是全家桶性质的,这个要做好区分,必须能够实际带来威胁检测和响应的特殊场景和效率的,更进一步说必须要提高安全运营的效率和效果。也可能会有供应商锁定的情况,同时采购周期一般也会比较长,需要有远见并有长期规划的单位才适合。多面魔方在尝试通过OpenXDR开源的方式提供避免被绑定的风险解决方案,目前开发打磨中。
XDR在核心解决方案的产品也有一定的共性。攻击链可视、根因分析以及威胁狩猎都是此类解决方案的核心场景。XDR这种解决方案在国内的全面落地可能还有一段的距离,但是可能是未来安全运营的一种思路和解决方案,但是不是最佳解决方案,具体要看实际情况。
更多产品了解
欢迎扫码加入云巴巴企业数字化交流服务群
产品交流、问题咨询、专业测评
都在这里!
2022-11-23 15:57:26
2022-11-23 16:18:55
2022-11-24 10:02:51
2022-11-23 14:57:22
2021-12-23 10:29:06
2024-08-14 16:54:14
甄选10000+数字化产品 为您免费使用
申请试用
评论列表