行业新闻

青藤云安全:XDR是安全运营的最佳解决方案吗?

凯时娱人生就是博XDR是Gartner本年的《Top Security and Risk Management Trends》陈述中说到的第一项技能和处理计划。在代表趋势的Hype Cycle中,有两个要点的Hype Cycle都说到了XDR这个关键技能。

图1:终端安全老练度曲线2020

图2:安全运维老练度曲线2020

一起,国外各大厂商也在不断的宣扬自己的XDR处理计划,包含Palo Alto Networks、Trend Micro、Cisco、McAfee等。

此外,在本年Gartner线上的Summit在主题讲演《Top Trends in Security and Risk Management》中的八大趋势中,第一个也是XDR,作为SIEM和SOAR的替代计划呈现在干流商场中。

图3:《Top Trends in Security and Risk Management》中介绍的Top8趋势

一、XDR演进道路及其界说

XDR是一种新的技能,它的演进道路又是怎么呢?说到XDR,不得不先提及一下EDR的开展途径。

图4:EDR的开展途径

EDR首要脱胎于EPP这种传统的安全产品,终究在运用机器学习、行为剖析、要挟打猎等范畴极大加强了终端上的安全才能。EDR之前的中心才能还在于杀毒才能,加入了机器学习后作为高档的杀毒才能,再到后边变成了EDR,着重于检测和呼应才能,将来会开展到呼应才能的主动化,包含了要挟情报,以及SOAR的对接等。

图5:终端维护东西的演进

其中心才能金字塔跟CWPP相似,能够看出来EDR的要点差异点在于行为剖析、反常检测和呼应以及要挟打猎。底层的才能都是传统EPP的规模,包含了杀毒、内存维护、运用操控等功用。

图6:终端操控措施金字塔

从姓名的演进来看,以及厂商的处理计划来看,XDR跟EDR的联系最近,一起终端类型的安全产品也是在作业呼应中最重要的产品。可是XDR是一种处理计划型的产品,在安全运营系统中加入了一些有实践安全价值的产品中,以此来进步全体的检测和呼应功率。

XDR在Gartner的界说是:SaaS类型的安全要挟检测和呼应渠道,集成了许多的产品,并一致了相关license收费,详细产品功用视厂商而有所不同。XDR产品首要有三大价值:1. 直接集成安全产品开箱即用;2. 有一致的安全数据归一化和中心化可供剖析和查询;3.因为有多种产品的合作和和谐,因而能够改善检测的敏感性;4.多产品联动处理改动单一产品的呼应进程。XDR产品的最小调集需求有要挟情报的继续更新,以及需求数据的归一化和中心化处理以便剖析和相关。规范化的处理计划需求SaaS的存储,图数据库的支撑剖析,集成相关的安全产品,包含EDR、防火墙、SEG、CASB、CWPP等等。

如下图所示,XDR的概念架构首要会集在终端客户的维护形状上,当然也能够在数据中心维护,IAM或许是SASE的维护上。从下图能够看出,终端客户的维护上需求最上层的一些安全产品,然后是数据的归一化,以及数据湖再到数据相关,然后构成作业呼应、主动化、作业流以及API的相关价值。当然在数据中心、身份安全以及SD-WAN的场景下也能够运用相似的架构来确保其特别场景的安全。

图7:XDR概念架构

二、XDR的价值与危险

讲到XDR的价值,最直接便是两个:一个便是能够进步安全运营的功率和价值,增强检测和呼应的才能,能够经过集成多种安全产品并一致进行安全了解;另一个便是下降安全运营的杂乱度。一个一致的处理计划,能够一致在一个产品界面进行安全问题的处理,而不需求每个产品进行独自的对接调整,下降了安全运营的对接本钱和运用本钱。

讲到这个价值,自然而然就会想到SIEM这种类型的产品,他们之间的差异又是什么?XDR跟SIEM最大的差异在于集成形式的布置上以及意图上。XDR或许自带一个一致界面以供直接集成相关的安全产品,而SIEM更多的需求一些单点的产品与其进行定制的对接。XDR更多的重视与要挟的检测和呼应,而SIEM更多的在于报警的会集处理和存储以及合规的考虑。

XDR的厂商本身会具有相关的安全研讨团队,针关于每一种安全攻防技能和产品检测会有深化的研讨。然后再集成相关的安全产品来处理这些安全问题,能够运用SaaS交给乃至能够运用云原生的架构。可是现在XDR的处理计划都是一个安全厂商全体供给的,一般来说都是有比较长的产品线的厂商,从中选取比较有安全运营价值的安全产品构成全体处理计划,包含Cisco、 Fortinet、 McAfee、Microsoft、 Palo Alto Networks、 Trend Micro、 Sophos、 FireEye 和Symantec等厂商。

关于每个厂商来说,要真实完成XDR处理计划所声称的价值都是巨大的应战。所以在客户自行进行对接时,比方运用SIEM来对接每个单点的安全产品,也会呈现更大的问题,比方要和谐交流各个厂商。因为每个厂商并不了解其他厂商的产品,所以很难做相关的相关剖析和联动。鉴于缺少数据,关于数据缺少了解,没有归一化,不同产品的数据库也不一致,这就很难打通不同厂商的不同产品,乃至打通一个厂商都有应战,因而,建造一个有用的XDR处理计划仍是比较困难的。

其他,关于企业来说,安全运营在以下两个方面一直面对着应战:一是职工的招聘、培育和留存;另一个是安全运营系统的在要挟检测和呼应上的高效。一起这两个问题交错在一起很难处理。

XDR的中心优势表现在三个层面:1. 改善维护、检测和呼应的才能;2. 进步安全运营职工的功率;3. 下降取得有用检测和呼应才能的全体具有本钱(TCO)。

在改善维护、检测和呼应才能上,能够运用同享的要挟情报联动对每个安全组件进行检测,比方网络和终端的安全组件;也能够将一些初级其他告警兼并构成一个高档其他作业;一起经过相关剖析和主动化报警承认发现报警;对正告进行相关的分类分级。

在进步职工的生产率上,能够将许多的告警转换为少数需求人工查询处理的作业;供给一切安全组件的才能,让安全查询愈加便利便利;供给更多的呼应办法,包含网络和终端等方面的;关于重复的作业能够做到主动化;能够削减对Tier 1人员的训练,只需求相关的作业流和办理流程;供给相对高质量的检测办法,并不需求太多的调整。

XDR处理计划本身的特质决议了这种产品的开箱即用的特性,所以客户一般只在乎是否能够完成实践价值,在交给中并不必考虑跟SIEM产品相同要对接各式各样的安全产品,然后还要考虑全体UseCase的规划以及相关剖析的深度问题。

一般来说,安全商场都是在每个细分职业挑选最好的安全产品,而不是挑选这种计划型的套装。一个安全产品老练了,市面上安全产品的领导者就会成为这个商场的界说者。安全职业开展到现在,根底架构的产品趋于老练,一部分厂商现已具有了相关的产品组合,所以集成这些安全产品变成了瓜熟蒂落的作业。一起运用大数据和机器学习又能够很好地进步安全才能。

在每个品类中收买最好的产品的思路会导致安全产品太多,可是很少有集成和联动。安全报警会过多,常常会无人值守,也没人常常性地去调整战略或许测验其有用性,晋级一般也比较滞后。传统的企业的结合点在SIEM上,可是SIEM的优势在于搜集日志,可是很少能改善检测的功率和真实性,也很少用到上下文剖析和相关安全产品的相关剖析。所以,关于企业来说,开发SIEM的Use Case以及深度和丰厚的集成异构环境的产品是很难的作业。

XDR这类处理计划型产品便是应对这些应战而呈现的。XDR下降了对接各个厂商的本钱,一起就能够开箱即用一些现成的安全作业剧本;也能够让一些务实的企业不必收买每个细分职业的最佳产品,而是直接打包一个产品来进步全体的安全运营功率。

XDR的中心才能要求有两个:一个是运用大数据技能,能够进行数据的搜集、归一化、索引、查找等等;其他一个才能运用多种检测技能,将每个安全技能检测点进行结合扩大,把报警归结为作业。

XDR这类处理计划的产品现在还处于初期阶段,后续的开展演进道路或许呈现危险。比方作业办理的根底问题便是新的作业源和数据量不断添加,所以会导致更杂乱的剖析、集成、检测和呼应,XDR只能改善这个状况,并不能处理这个问题。XDR或许会导致对单一厂商过度依靠,会导致厂商承认,也有或许献身某些组件的才能,而不能挑选某个品类中最好的厂商。XDR能够进步功率,可是有或许献身一些才能。尽管集成了一些安全组件和才能,并不见得能够处理某些深度的安全问题。XDR的厂商一般只会供给自家的产品,可是产品是否有用就不见得,XDR或许变成一个集成计划而不是真实有价值的产品。供给XDR的厂商一般都是大厂商,一般来说演进速度要慢于创业公司,尤其是某个品类中的最好的公司。为了确保抢先性,还需求经过收买或许集成的办法来确保竞争力。XDR厂商相同有一些盲点,需求集成其他安全厂商的产品,所以要考虑盲点的问题,来处理安全场景100%掩盖。一些新式的SIEM或许SOAR厂商在集成某个类别中最优异的产品来构成处理计划,这对XDR产品有极大的冲击。这种叫做OTT的安全才能,比方SOAR的一些新式厂商就运用这种杠杆来完成这种作用。XDR的收买周期一般会比较长,或许企业安全负责人的任职周期都没有收买周期长,这或许会影响XDR产品的成功。

三、厂商的处理计划

下文将介绍厂商的一些评价规范。

Hunters.AI

Hunters.AI在介绍本身时是说敞开的XDR处理计划,并能够运用丰厚的终端、网络和云端的数据进行主动的要挟打猎。这是一家专业的XDR厂商,要点在于着重其要挟打猎才能。

图8:Hunters.AI XDR产品界面

这张产品截图说明晰许多问题,最上面Raw Events首要是指搜集的终端、网络、云端以及身份认证的数据,Leads条目能够了解为一些潜在的头绪,Hot Leads是比较重要的头绪也是经过AI算法或许做了优先级排序得到的相关数据,Hot Stories能够依照作业的时刻、地址、途径、上下文等相关信息把要挟进行串接,构成一个完好的安全故事。这个产品最中心的才能便是主动化要挟打猎发现一切其他安全产品无法发现的安全问题。产品完成分为四步走:第一步搜集相关的数据,包含终端数据、防火墙数据、云渠道数据、身份认证数据、乃至是wifi数据,能够经过各种办法包含syslog或许API的办法进行对接。第二步做主动化的查询剖析以及要挟打猎,运用要挟情报,以及TTP的相关行为,首要依据MITRE ATT&CK结构进行剖析,运用机器学习,终究也对作业进行分级排序。第三步做相关的相关剖析以及可视化表明。依据相关要挟的相关性,包含时刻维度、方位、要挟上下文、IP等信息进行聚合,并运用图数据库来表明要挟的来龙去脉,能够依照完好的“安全故事”呈现出来。终究一步便是将剖析的成果对接给SIEM或许SOAR这些产品,能够进一步归总或许进行相关的呼应。

Palo Alto Networks

PA的XDR处理计划也集成了网络、终端和云端的各种数据,依据存储和剖析的才能,对外供给要挟发现和打猎,以及主动化查询和要挟呼应。

图9:XDR打破了检测与呼应的传统竖井

XDR中的X被PA解读为各种数据来历。依据PA多年的堆集以及与所收买的各类公司的杰出集成,PA的XDR处理计划包含了SIEM、UEBA、NTA和EDR等产品,能够很好的集成在一个处理计划中,打破了之前的每个产品都是一个竖井的状况。依照自适应架构终究构成了闭环,从维护、检测、查询、呼应四个阶段都能有相关的数据、功用得到完成。

图10:XDR不断进行自适应调整,增强防御才能

依据PA对XDR的了解,XDR常见的运用场景包含:要挟分级、要挟查询和要挟打猎。在要挟分级方面,又包含5个进程的动作:第一步是评价,包含外部报警、集成在SIEM中的报警、也包含内部的报警,首要是一些安全产品的报警,去承认是否是潜在的要挟行为;第二步是优先级排序,对这些报警进行主动分组然后变成安全作业,关于这些作业进行安全优先级排序,以便于安全剖析师进行进一步剖析;第三步剖析,剖析师能够进行可视化进犯链剖析,这点是中心才能表现。第四步信息富化处理,依据进犯链的需求,需求更多的上下文以及不同设备的数据,所以需求更多的相关进犯信息上下文,能够做到根本原因剖析;终究一步是验证,依据上述一切进程的主动化,能够极大削减剖析人员的手动行为,剖析人员只用在信息富化的环节参加,能够将许多的作业投入在怎么呼应的环节,考虑怎么缓解要挟等。

图11:运用XDR完成进犯链可视化

为了削减手动的查询要挟的作业,XDR能够加快这个进程,比方查询报警、查询要挟情报、检查相关网络相关细节等。假如在传统的办法下,需求手艺的搜集,在脑子中将这些信息进行聚合,而且要花费许多的时刻。XDR能够主动化这些进程,而且剖分出根本原因,而且进行进犯的时刻线制作。

要挟打猎也是XDR要点处理的高档要挟问题。要挟打猎依据内容的驱动不同分为:依据情报、依据常识、依据经历、依据合规、依据机器学习这五大类要挟打猎才能。要挟打猎一般都是针关于高档要挟而进行的人工动作,在这里能够主动化的经过产品进行剖析。

Trend Micro

趋势科技也较早在全球规模内推出了XDR的处理计划,其标语是“看到你之前错失的”。依据搜集本身相关产品的相关安全作业,包含了云作业负载、终端、邮件、网络的信息,搜集到所谓的数据湖中,在此之上进行主动化的检测、要挟打猎、根本原因剖析等,能够将这些成果数据对接给SIEM或许SOAR,一起也能够调配相关的安全服务以便于此种类型的产品系统的杰出运营。

图12:趋势科技的XDR服务

其处理计划的重要杰出特色是脱离只是一个视角,进行相关的检测和集成的查询和呼应。XDR将剖析的成果报警发送给SIEM,假如SIEM对这种高可信度的报警需求进一步的剖析,需求在XDR的剖析界面进一步查询,并采纳相关动作。一起能够运用趋势科技的要挟情报资源对XDR进行赋能。许多的检测技能是参照ATT&CK的进犯战术和技能来进行检测技能的进步和掩盖。

Cynet

Cynet是一家从事EDR的以色列公司,一起也有其XDR的计划,其XDR的计划会与SOAR和MDR的服务一块表述,一致叫做主动化走漏维护渠道。从下图能够看出其XDR的处理计划有EDR、UBA、NTA和蜜罐,根本的产品矩阵跟上述相似,仅有的差异便是用户层面的维护和蜜罐。

图13:Cynet主动化走漏维护渠道

依据这些产品组合和一致化剖析,Cynet能够做到的也是根本原因剖析以及进犯时刻轴表明。

图14:Cynet XDR产品界面

其XDR带来的价值包含进步要挟的可见性和精确性,归纳相关要挟的目标,有些要挟或许由大变小,有些要挟或许由小变大;一起能够下降许多要挟噪音。另一方面的价值在于进步功率,主动化下降误报的几率,让人员充沛重视真实的要挟,然后让人员的功率得到了极大地进步。还有一方面便是下降本钱,Cynet供给的服务都是免费的,一起其产品归纳了一揽子安全产品,比单点收买要廉价一些。终究一个视点是,关于安全运营人员来说便是睡个好觉,这首要是经过7*24的服务表现的。

还有许多其他公司的XDR计划也集成了其本身的安全产品,进行了相关的要挟的检测和呼应的组合。

四、总结

XDR作为新的处理计划呈现也便是近一两年的作业,可是在国外其现已得到了干流客户和干流咨询机构的认可,这也旁边面印证一些其本身价值。XDR这种处理计划首要是面对实践的要挟检测和呼应而存在,之前EDR只是处理了终端上的检测呼应,可是其他层面处理的较少,所以才呈现了XDR这种归纳的要挟检测和呼应渠道。这种处理计划的价值首要存在于,能够打破壁垒,能够将安全产品天然交融在一起,能够发生1+1>2的作用,将终端、流量、认证、邮件等相关安全产品的报警集成在一起,能够相关剖析。一起能够下降实践的收买本钱和具有本钱。还有重要的一点便是能够进步个人和安排的归纳功率。

这些特色都是针关于SIEM这种产品进行对标表述的,或许SIEM实践的中心位置会遭到XDR这种产品的应战,SIEM的布置本钱极高,需求对接每个安全产品,一起进行相关剖析,需求了解每个产品的报警特点,变相添加了产品具有本钱,也让这种每种都收买最好的安全产品集成的收买本钱居高不下。一起SIEM构成的SOC,也会分Tier1、Tier2、剖析师等人物,存在许多报警需求人员进行承认,需求安全运营人员花费许多时刻处理简略而繁琐的作业乃至是误报。

其实短期内不存在XDR替代SIEM的状况,大部分XDR的处理计划都将其报警对接给SIEM,然后SIEM接收到的其他报警也能够经过XDR进行进一步剖析。两者现在仍是合作状况,SIEM仍是发挥其报警归并、日志存储等根本中心功用。

XDR也有其本身的局限性,比方一般来说都是单一厂商供给的处理计划,根本都是全家桶性质的,这个要做好差异,有必要能够实践带来要挟检测和呼应的特别场景和功率的,更进一步说有必要要进步安全运营的功率和作用。也或许会有供货商承认的状况,一起收买周期一般也会比较长,需求有远见并有长时间规划的单位才合适。

XDR在国外现已有一些供货商供给了相关的处理计划,能够作为一些参阅,其中心处理计划的产品也有必定的共性。进犯链可视、根本原因剖析以及要挟打猎都是此类处理计划的中心场景。XDR这种处理计划在国内的落地或许还有一段的间隔,可是或许是未来安全运营的一种思路和处理计划,可是不是最佳处理计划,详细要看实践状况。

联系我们

CONTACT US

联系人:张先生

手机:

电话:

邮箱:

地址: