聊聊XDR

谈到XDR(扩展检测和响应,Extended Detection and Response),很多业内人士可能对它已经非常熟悉了,但是对不了解网络安全的人来说,脑子里面可能还是会缓缓出现一个问号,这是个啥?

XDR不是一个新名词,尤其是2020年以来,随着远程办公的增加,网络威胁也带来了新的变化,XDR的热度持续上升。

2020年,Gartner将XDR命名为第一大安全趋势,并表示XDR解决方案将“提高检测准确性,并提高安全运营效率和生产率。”

XDR、EDR傻傻分不清楚

那到底什么是XDR?简单来说,可以理解为传统的EDR端点检测与响应(Endpoint Detection and Response)的扩展和增强版。

XDR是一种跨多个安全层收集并自动关联信息以实现快速威胁检测的方法,结合了安全信息和事件管理(SIEM)、安全编排自动化和响应(SOAR)、端点检测与响应(EDR)以及网络流量分析(NTA),集中安全数据和事件响应。

XDR提供了一种攻击的检测模型,横跨各种端点、网络、SaaS应用、云基础设施等各种可以处理的网络资源,为所有的网络层和应用程序堆践提供可见性,同时具备高级检测、自动关联和机器学习能力,可以快速发现事件,响应并阻止现有威胁和紧急威胁。除此之外,XDR还可有效降低长期折磨安全人员的大量警告噪音。

为什么需要XDR?

随着互联网的快速发展,新一代网络攻击技术变得更加隐蔽、狡猾和复杂,传统安全方案越来越难以应对。

传统安全系统的最大问题之一是警报过载。EDR等主流方案和策略会生成大量缺少有上下文信息的警报。这些不完整的、缺乏有效信息的安全警告往往伴随着的是较高的误报率,对安全运营人员来说意义不大,而真正的警报可能会会忽视或丢失。

同时,解决问题还需要安全人员具备专业的知识,历经复杂且耗时的事件调查过程。举例来看,使用EDR,发现违规的平均时间长达197天,而控制攻击的平均时间长达69天。

除此之外,传统安全系统通常是以技术和工具为中心,而不是围绕用户或业务来开展,忽略了用户和企业业务的真正需求。调查显示,企业安全运营中心平均使用的工具高达40多种,安全团队将大量时间都浪费在维护和管理安全工具上,真正该做的安全调查反而沦为了次要。

XDR通过集中、规范化和关联来自多个来源的安全数据来帮助安全团队解决这些问题。XDR提供了EDR的所有功能,还能够发现EDR所不能发现的新漏洞,检测到原本可能会被忽略的事件。XDR收集的数据比SIEM解决方案所收集的数据更精准,减少了需要大量手动集成和调整的工作,XDR还能够分析多个来源的数据以验证警报,从而减少误报和整体警报量。

由于传统安全工具和解决方案之间缺乏联系,事件分类和调查过程存在孤岛问题,导致大多数安全分析人员的事件关联和攻击观点存在局限性,这给攻击者隐藏自己提供了很好的机会。

XDR通过全面的整体检测和响应策略消除了安全孤岛。它收集信息并匹配许多安全层(包括为端点、服务器、电子邮件、云和工作负载配置的安全层)上的深度活动数据的关系。可以对各种数据进行自动分析,以更快地检测到威胁,并使安全分析人员有足够的时间进行彻底的调查。

    总的来说,XDR的核心优势体现在三个方面:

  • 改进保护、检测和响应能力;
  • 提高安全运营员工的效率;
  • 降低获得有效检测和响应能力的总体拥有成本(TCO)。

在改进保护、检测和响应能力上,XDR可以通过在组件安全产品之间共享本地威胁情报来提高保护能力,从而在所有组件之间提供有效的威胁屏蔽;此外,通过自动关联和确认警报来减少遗漏警报;集成相关数据,以便更快、更准确地进行警报分类等。

在提高员工的效率上,XDR可以将大量警报转换为少量需要人工调查的事件;提供所有安全组件的能力,以便快速解决警报;提供超越基础设施控制点(即网络和端点)的响应选项;为重复性任务提供自动化能力;减少对Tier 1人员的培训,只需要相关的工作流和管理流程;提供可用和高质量的检测方法,并不需要太多的调整。

除此之外,XDR解决方案还具有以下特质,智能:XDR能够自动确定事件是否为恶意事件,对相关事件进行分组,根据潜在事件的严重性和影响确定优先级;简单:XDR不需要进行持续的安全工程和维护,它是由云交付的。开放:企业可以自由选择适合的最佳技术,同时仍然可以改善检测和响应能力。这种自由度使公司能够保留其当前的解决方案,然后添加一个新层以确保对其数据进行了适当的检查和关联。

XDR的部署挑战

从理论上讲,XDR具有绝对优势,随着时间的推移,未来可能会越来越多的得到应用。但是对于企业用户和厂商来说,在搭上XDR的顺风车前,还需要清楚XDR面临的一些挑战:

XDR可能会导致过度依赖单个供应商,最终带来供应商锁定、单点故障、供应商支持或更新问题的增加、供应商未能适应不断变化的威胁或市场环境、XDR产品选择错误会带来更高的战略风险等多个问题。

XDR可以提高效率,但是有可能牺牲一些能力。虽然集成了一些安全组件和能力,但并不见得可以解决某些深度的安全问题。

目前许多XDR产品还不成熟,没有完成所有组件之间的集成,而且提供XDR的厂商一般都是大厂商,通常演进速度要慢于创业公司,尤其是某个品类中的最好的公司。为了保证领先性,还需要通过收购或者集成的方式来保证竞争力。

目前像Cisco、Palo Alto Networks、Broadcom(Symantec)、Microsoft、VMware这样的重量级企业都在提供某种形式的XDR。同样,像CrowdStrike、Cybereason和SentinelOne这样的EDR厂商,也开始与其他伙伴合作渗透XDR市场,而国内的落地可能还需要一点时间。

参考:
https://stellarcyber.ai/what-is-xdr/
https://www.paloaltonetworks.com/cyberpedia/what-is-xdr
https://blog.paloaltonetworks.com/2020/04/cortex-security-and-risk-management/
https://www.qycn.com/zx/wlaq/anquanjishu/2020/1104/1869.html
https://baijiahao.baidu.com/s?id=1688309390401444759&wfr=spider&for=pc
http://hackdig.com/10/hack-163597.htm

*本文图片均源自网络,如有侵权可联系我们删除


  • 本站原创文章仅代表作者观点,不代表SDNLAB立场。所有原创内容版权均属SDNLAB,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用,转载须注明来自 SDNLAB并附上本文链接。 本站中所有编译类文章仅用于学习和交流目的,编译工作遵照 CC 协议,如果有侵犯到您权益的地方,请及时联系我们。
  • 本文链接https://www.sdnlab.com/24720.html
分享到:
0
相关文章
2023年值得关注的XDR解决方案(国外版)
2022 年值得关注的 10 家最热门 XDR 安全公司
XDR会杀死SIEM吗?
再谈XDR
2024数据中心芯片大战:英伟达、英特尔、AMD的终极对决
SONiC-DASH:网络可编程的进化之路

相关文章

条评论

登录后才可以评论

kk_wu 发表于21-02-10
0