安全人太不容易了,看个技术名称就像是在读绕口令,他们时常要从一堆王小宝、刘小宝、孔小宝、李小宝、张小宝中间,找到宋小宝。比如这次要聊的XDR,扎堆IPS、EPP、CWPP、NDR、EDR、MDR......之中,虽是后浪,但也算新秀里的“高富帅”,偏偏很多安全人都分不清XDR到底是啥,有何功效。所以,我们决定出个XDR扫盲系列,让各位真正认识一下。
XDR是谁,又为何而生
也许你很好奇:为什么突然就冒出来一个XDR?原因很复杂,也很简单:
一个是传统安全设备数据集成能力弱。企业虽然有了SIEM/SOC等日志类数据分析平台,或是IDS、IPS、WAF、防火墙、EDR等单点安全设备,但前者无法理解下游检测设备告警,数据多而不准,安全误报多;后者获取的数据又有限,不同设备数据还无法紧密集成,最后变成了真实风险看不到,出现威胁防不了。
另一个是安全运营压力太大。安全人员每天都会收到来自不同安全设备的上万条威胁告警,而头疼的是,绝大多数(90%以上)都并非真实威胁,所以安全人员不是身体在处理误报的路上,就是精神在遭受误报的折磨,压力非常之大。
于是,XDR这个后浪(新的技术解决方案)就出现了。
图源自Gartner:终端安全技术成熟度曲线
XDR,全名ExtendedDetectionandResponse,为了与隔壁的EDR(终端检测与响应-EndpointDetectionandResponse)相区分,又便于记忆,所以就以“X”换“E”,缩成了XDR。Gartner将XDR定义为一个可集成、关联来自多个安全防御、检测与响应组件的数据与告警,并将其情景化的平台。年,Gartner发布《HypeCycleforEndpointSecurity,》,XDR首次被列入技术成熟度曲线,成为创新萌发期的新兴技术。
紧接着,在一年后的年,Gartner又针对XDR技术发布了《MarketGuideforExtendedDetectionandResponse》,为安全风险管理者提供战略上的指导。
表面看,Gartner这又是技术分析,又是战略分析,实际的问题,其实是甲方企业苦安全现状久矣。据Gartner的一项调查显示,80%的企业安全领导人都在寻求安全厂商整合的解决方案。安全产品创新的接力棒,历史性地交到了XDR的手上。
XDR关键组件有哪些
Gartner不仅告诉我们“XDR是谁”,还告诉了我们“XDR长啥样”。可靠的XDR,其关键组件主要包括两部分:前端组件与后端组件。
前端组件,由生成安全遥测数据的“触角”(感应器)组成,这些触角包括但不限于EDR(终端检测与响应-EndpointDetectionandResponse)、EPP(终端防护平台-EndpointProtectionPlatforms)、NDR(流量检测与响应平台-NetworkDetectionandResponse)、SSE(安全服务边缘-SecurityServicesEdge)、CWPP(云工作负载安全防护平台-CloudWorkloadProtectionPlatforms)、蜜罐、邮件安全。
而XDR的后端组件,则是吸收所有关键位置的遥测数据、日志、威胁上下文信息,之后再对所有的数据进行关联、高级分析,从而完成威胁检测、调查、工具编排、自动化响应等工作。
XDR关键能力有哪些
组件好比XDR的骨架,通过紧密的集成与关联,就具备了各种“走跑跳”的能力。而光有组件还不够,XDR平台需要具备关键的软实力,才能“合格上岗”。这些能力包括:
针对XDR厂商生态体系内安全产品的标准化数据,进行集中管理;
能够将安全数据和告警关联成安全事件;
具备调整单个安全产品状态,并将其用于事件响应或安全策略的事件集中响应能力;
除此之外,XDR还应该:
利用检测技术,将来自多种产品的弱威胁信息整合展现为恶意活动的强证据;
需要具备自动化实现更快、更有效响应的能力;
底层数据湖基础,可提供更大范围、低成本数据存储、分析与机器学习能力;
基于云的交付技术。
这里面,XDR平台的核心要求,是能够以通用的数据格式,对历史及实时安全事件数据进行集中收集。安全事件数据必须具备可扩展且高性能的存储方式,可用于随时快速索引与搜索。
XDR能为企业带来哪些核心价值
如果企业安全团队成功拥有了XDR这项全新的技术解决方案,整个企业将享受到:
更清晰全面的安全视野。换句话说,XDR从终端、网络、服务器等不同安全层获取数据,对整个安全环境进行度无死角监控,分析师通过一个系统能看到不同安全层的威胁信息,如攻击发生时间、攻击路径、攻击入口、影响范围,威胁起源等与威胁事件相关丰富的上下文背景信息。
告警优化。对于安全告警这个困扰绝大多数企业的问题,XDR通过数据分析与关联能力,能够基于MITREATTCK框架对相关告警分组,达到优化告警且只显示最重要告警的效果。
安全运营自动化。XDR平台自动化的价值,在于加快检测与响应节奏,减少安全流程中的手动环节,让安全团队能处理大量安全数据,并以标准化方式执行复杂的安全流程。
运营效率提升。XDR提供整个环境不同层面的整体威胁视图,而不只收集某个特定安全层数据。所以,它给到的是集中式的数据收集与响应,与整个安全环境及安全生态系统结合非常紧密。
检测响应更及时。因为自带“检测与响应(DetectionResponse)”使命,所以XDR有更高可见性、更准确告警、更自动化运营,终极目的是让企业更快对威胁进行检测与响应,发挥自身“DR”的价值。
XDR的江湖流派
XDR目前仍处于一个早期的市场,各大厂商能力盘子、发展成熟度等等各不一样。不过Gartner从实现方式出发,把XDR分为了两大流派:原生XDR与开放XDR。
原生XDR,是一个原生的生态系统,既提供生成数据的前端解决方案,也提供后端分析与工作流的解决方案。它的关键,是作为前端传感器的终端、云、网络层数据源,及针对数据执行威胁检测、调查与响应等后端能力,均为XDR厂商自身提供,安全产品间的关联与集成更紧密丝滑,检测响应效果更直接有效。原生XDR多起家于EDR厂商,该类型与Gartner定义能力更接近。
而开放XDR,主要提供后端分析与工作流引擎。它需与企业现有安全与IT基础设施集成,关联与分析相关数据,最后实现对自动化以及威胁检测、调查、取证与响应流程的优化,提升安全事件的响应速度。面对复杂与脱节的安全产品堆栈,XDR充当了跨多产品的单一控制台,做到安全事件的编排与自动化,避免跨多产品手动方式推进工作流。该类别以SIEM/SOC、SOAR起家的厂商为代表。
XDR如何部署
把钱花出去不难,但面对背上的KPI,手里用习惯了的安全产品,肩上挑的安全担子,花钱就很难而且很考验勇气了。
在部署XDR时,我们建议分阶段部署,从单一触点(如EDR)为起点,用XDR组件逐渐替换已有单点工具。从理论上来说,相比原本零散的工具叠加,XDR方式的组件集成,实现的效果是1+1>2的。也就是说,可靠的XDR产品长期价值远超于企业自主最佳单品工具组合所能实现的效果。
另外,在规划部署XDR时也需考虑一些小的细节。比如,收集多少日志及遥测数据,存储多久,从而确定XDR平台所需的存储空间及将数据发送到XDR数据收集代理所需的跨LAN、WAN和云连接的带宽等。XDR也需要足够时间确定数据流行为基线,准确检测安全异常,如果基线时间缩短,会出现大量误报以及错误研判的安全事件。
哪些企业适合XDR
虽然目前未出现关于XDR交付的最佳实践,但根据Gartner定义及XDR的实现效果与必备能力,XDR产品更适合没有资源(员工或能力)将最好的安全产品组合集成至SIEM/SOC、SOAR产品中,或者根本未使用SIEM/SOC、SOAR产品的中小型企业。
不过,这也并不是说XDR对大型企业就没有价值,相反大型企业中基于更加规模化、自动化、完整的安全运营,XDR发挥的价值会更大,只是大型企业在部署XDR时,由于自身拥有的大量分布式安全控制和运营技术,部署路径相对难度会更大一些。
XDR是进化,但不是革命。可靠的XDR不仅来自某个供应商的多个单点解决方案,它还能用更有效、可替代的工作方式取代一些现有安全操作工具,解决安全事件响应、安全运营能力与效率的问题。
说完了什么样的平台是XDR,我们下回准备聊聊哪些其实不是XDR,欢迎锁定,以防错过。
免责声明:《终端安全技术成熟度曲线》图形由Gartner,Inc.作为大型研究文档的一部分发布,应在整个文档的上下文中进行评估。Gartner文档可根据要求从[