先說定義。Gartner給出的定義是,XDR is a SaaS-based, vendor-specific, security threat detection and incident response tool that natively integrates multiple security products into a cohesive security operations system that unifies all licensed security components.這意味著XDR是某一個特定供應商的整體檢測響應解決方案,可以將多個安全產品集成到一個統一的安全操作系統中,至少要包含“云-端-流量”的結構。簡單來說,如果想做好威脅檢測這件事,就得保證SIEM/SOC系統能看到更多的東西,同時也要看得更準。
然而實際情況是,如果想看得更多,就要接入更多的安全產品把各種日志數據收過來,結果就是每天幾十上百萬的告警,根本沒法看得準。如果想要看得準,那就要接入各種安全產品,比如NTA/NDR,從流量里發現威脅,以及EDR,從端點上發現威脅,還有UEBA、蜜罐、資產和攻擊面盤點等,統統都要用上,這就又出現了新問題,即使各家產品都非常OK,但在對網絡威脅的分析上仍然很難協同,尤其是在各家供應商在某些細分領域有競爭關系的時候。
XDR更像一種“破罐子破摔”,既然沒辦法和其他產品打通,那干脆全都一攬子自己做吧!產品線完善的大廠們開始竊喜:該有的模塊我都有,搞個XDR不就是手拿把掐的事兒,就算現在沒有,我也可以用錢解決,缺啥買啥不香嗎?有單點優勢的新型創業公司們自己已經開始私下偷偷開搞,有流量的盯著端點,有端點的盯著威脅狩獵,蜜罐起家的直接全都想要……一時間,XDR仿佛變成了一個筐,有關檢測和響應的產品/服務全都可以往里面裝。
二、XDR到底是啥?
事實果真如此嗎?脫離現象看本質,我們先要明確XDR為什么會被提出來。XDR出現,背后的需求就是單一安全的場景下,檢測與響應能力或多或少都會受到限制,安全事件的故事講不完整。就好比寫字樓里有一伙慣偷,流量檢測只能通過他們的行進路線來判斷他們是壞人,端點檢測則會清楚記錄他們在每一間辦公室里做了什么,而這兩個場景之間的聯系卻沒辦法建立起來——單個場景中低風險的告警需要聚合起來,才能成為一個完整的、高風險的攻擊事件,而這是單個檢測產品無法做到的,因此才會產生檢測與響應的盲區。
因此,XDR系統的主要功能應該包括以下幾點:
1.把現有的安全產品全都集成起來。
2.在中央存儲庫中對數據進行集中和規范化處理和存儲,最好是基于SaaS化的,以進行分析和查詢。
3.在協同了其他安全產品的基礎上,提高檢測準確率。
4.一鍵處置響應,快速關閉相應攻擊點。
一言以蔽之,XDR要統一多個安全場景,一鍵處置攻擊事件,并且也能將攻擊事件的來龍去脈述說得清楚明白。所以在這個基礎上,能夠輔助講故事的模塊都是好模塊。XDR更像是一種需要長期規劃的解決方案,要往筐里裝什么全看各家廠商八仙過海。目前典型的整合手法比如市值非常高的CrowdStrike收購日志管理平臺Humio,指名道姓要補足自己XDR能力;跨領域補足自己模塊的比如微步在線,剛拿了E輪5億人民幣,還發了新品OneEDR,結合他們此前的流量檢測產品TDP,也打算要走XDR的路線了。國內想或者已經在做XDR的還有未來智安和亞信安全,一個是初創的A輪公司,一個是遞交申請掛牌科創板的老牌安全公司,由此也能看出,XDR無論在國際還是國內,都將成為大廠小廠同臺競技的新領域。
三、XDR可能有哪些搞法,關鍵技能和需要注意的點是什么?
前面說到XDR的底配版就是要滿足“云+端+流量”,除去端點和流量以外,企業的資產和攻擊面盤點也非常重要,網關、郵件、防火墻、DNS解析、用戶行為分析等產品都需要接入,要么自己具備,要么API化打通。理論上講,XDR產品需要和SIEM/SOC深度結合,來提高整體威脅的檢出和處置能力,而一部分XDR可以作為SIEM/SOC的平價替代品,當企業組織沒有精力/人員/預算去搞一套SIEM/SOC時,選一家好的供應商來一套XDR可能也是不錯的選擇。
目前Gartner在《Innovation Insight for Extended Detection and Response》報告中列出來的供應商名單還僅限于大廠們,如思科、趨勢、McAfee、微軟、賽門鐵克、Palo Alto Networks等,也有像CrowdStrike、Rapid7這類從某一個產品起家、躋身于世界上最優秀安全公司行列的企業。對這些大廠們來說,實現XDR的愿景或許會更容易一些,但XDR對產品仍然會存在一些要求。
第一,產品需要足夠開放,各個產品API化的程度要高,并且因為XDR要處理來自四面八方的日志,這就要求產品在交換數據時更加順暢,對網絡帶寬和計算資源的占比要小,處理能力要高,簡而言之就是要“絲滑”。
第二,目前來看XDR產品大的趨勢都是兩條腿走路,要想檢測做得好,威脅情報和機器學習能力都少不了,這倆一個負責知彼,一個負責知己。云端威脅情報需要做到量大、高準確度、高頻率更新,機器學習則是要通過動態建模來幫助企業建立自己的檢測響應體系,包括企業自身的威脅情報庫、企業的誤報告警特征等。這兩條腿一個都不能少,不過理論上來說,威脅情報做得好的廠商一般在機器學習領域都有著豐厚的積累成果,而威脅情報也正是準確檢測的核心能力,所以威脅情報能力出眾的廠商會在邁向XDR的時候具備先天優勢,這也能從Gartner列出的名單上窺見一二,這份名單可以說絕大部分重合了Gartner的《全球威脅情報市場指南》可信供應商列表。
第三,大廠推出自己XDR解決方案的時候容易陷入“你們就是想讓我買全家桶”的困境中,各條產品線能力的參差不齊會很影響XDR的效果以及客戶滿意度;而小廠、新興公司的XDR解決方案往往又會缺不少東西,畢竟是從單點起家,想變成多面手也需要歷經風雨才能見到彩虹。所以XDR能否作為一種戰略持續在一家安全公司中推行下去,還是非常考驗產品的梳理和研發迭代能力的。
說了這么多,理想的XDR會是什么樣?可能安全運維人員關注最多的就是首頁的風險模塊,以一個又一個攻擊事件為維度,展現出企業內部目前存在著多少網絡威脅,低級的威脅已經被自動化處置和溯源,中高級的風險則需要安全運維人員或分析師介入,而這背后則是通過收集網關、DNS解析、郵件、蜜罐、流量、終端等等各種地方的數據,盡可能窮盡了企業的服務器、端口、IP域名、應用組件、進程等可能遭受攻擊的資產,同時威脅情報和機器學習不斷地運作,才能呈現出這樣的結果。不過肉眼可見的是,想達到這樣的境界,不管是大廠小廠還都有長路要走,畢竟產品的堆棧不是一切,XDR好不好用,還是誤報率和漏報率說了算。
京公網安備 11010502049343號