域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
作為近兩年最為熱門(mén)的安全技術(shù)方向,XDR成為被Gartner《Top Security and Risk Management Trends》報(bào)告提到的第一項(xiàng)技術(shù)和解決方案。在素有科技產(chǎn)業(yè)界風(fēng)向標(biāo)之稱的Gartner Hype Cycle(技術(shù)成熟曲線)中,端點(diǎn)安全和安全運(yùn)維兩個(gè)Hype Cycle也都提及了XDR這項(xiàng)技術(shù)。
對(duì)于XDR,雖然很多安全廠商給出的定義都不盡相同,但是卻有這樣一個(gè)基本的共識(shí):它不僅是眾多安全能力的集合,更將這些單獨(dú)的能力進(jìn)行全面協(xié)同,從而使之成為上下聯(lián)動(dòng)、前后協(xié)作的有機(jī)整體。雖然XDR仍處概念階段,但其最大優(yōu)勢(shì)在于把此前已經(jīng)發(fā)展相對(duì)成熟的安全解決方案進(jìn)行融合,發(fā)揮各自長(zhǎng)處形成功能更為完整的解決方案。
從EDR到XDR,看懂“點(diǎn)線面體”才有能力談安全戰(zhàn)略
提到XDR,就不得不先提及一下EDR的發(fā)展路徑,業(yè)界普遍認(rèn)為XDR源于EDR(端點(diǎn)檢測(cè)與響應(yīng))。EDR脫胎于EPP這種傳統(tǒng)安全產(chǎn)品,在EDR出現(xiàn)之前,終端安全的核心能力還在于殺毒能力。不同于以往的端點(diǎn)被動(dòng)防護(hù)思路,EDR通過(guò)云端威脅情報(bào)、機(jī)器學(xué)習(xí)、異常行為分析等方式,主動(dòng)發(fā)現(xiàn)來(lái)自外部或內(nèi)部的安全威脅,并進(jìn)行自動(dòng)化的阻止、取證、補(bǔ)救和溯源,從而有效對(duì)端點(diǎn)進(jìn)行防護(hù)。
基于特征庫(kù)的傳統(tǒng)查殺軟件由于更新速度慢,因此對(duì)新型威脅的防護(hù)響應(yīng)很慢,只能在威脅發(fā)生后進(jìn)行防護(hù),屬于被動(dòng)防護(hù)。而EDR以主動(dòng)防護(hù)視角填補(bǔ)了傳統(tǒng)防病毒產(chǎn)品在高級(jí)威脅檢測(cè)及響應(yīng)方面的技術(shù)空白。
雖然EDR很有價(jià)值,但它的焦點(diǎn)只放在端點(diǎn)本身,屬于“點(diǎn)”的范疇,無(wú)法做到更大范圍的威脅檢測(cè)和響應(yīng)。該技術(shù)類(lèi)似于從輪船舷窗往外看,視野相當(dāng)有限。如果想要得到更多方面的信息,僅從舷窗是看不出什么的,只有走上艦橋才能獲得全面視野。
因此,除了對(duì)端點(diǎn)的檢測(cè)和響應(yīng),XDR還有另一個(gè)關(guān)鍵點(diǎn)就是NDR(網(wǎng)絡(luò)檢測(cè)與響應(yīng))。NDR是在網(wǎng)絡(luò)邊界上進(jìn)行檢測(cè)與響應(yīng),可以用來(lái)檢測(cè)用戶在網(wǎng)絡(luò)上的行為軌跡,屬于“線”的范疇。與傳統(tǒng)的IDS產(chǎn)品相比,NDR技術(shù)不依賴于特征庫(kù),也不基于某個(gè)特定業(yè)務(wù)或資產(chǎn)對(duì)象,而是通過(guò)對(duì)于流量變化的監(jiān)測(cè)和分析,形成相對(duì)準(zhǔn)確且能動(dòng)態(tài)調(diào)整的網(wǎng)絡(luò)流量行為模型來(lái)發(fā)現(xiàn)風(fēng)險(xiǎn)和異常,從而極大提升了對(duì)于新型威脅的檢出能力和安全運(yùn)維效率。
可以看到,無(wú)論是EDR還是NDR,都強(qiáng)調(diào)對(duì)新型高級(jí)威脅的檢測(cè)和響應(yīng)能力。正如Gartner所預(yù)測(cè),未來(lái)五年企業(yè)網(wǎng)絡(luò)安全支出戰(zhàn)略將發(fā)生重大改變,重心將從“阻止”向“檢測(cè)”和“響應(yīng)”傾斜。微步在線CEO薛鋒也表示,檢測(cè)技術(shù)是一種核心技術(shù),將在未來(lái)的安全方面發(fā)揮重要作用,而由情報(bào)驅(qū)動(dòng)的安全檢測(cè)和響應(yīng)體系將是大勢(shì)所趨。
微步在線CEO薛鋒
九層之臺(tái)起于壘土,“云+端點(diǎn)+流量”協(xié)同安全能力至關(guān)重要
目前,市場(chǎng)上不乏單一安全能力做的十分出色的廠商,各家產(chǎn)品雖然單獨(dú)應(yīng)用起來(lái)沒(méi)有問(wèn)題,但由于缺乏產(chǎn)品間的聯(lián)動(dòng),導(dǎo)致安全能力輸出各自為戰(zhàn)。
SIEM(安全信息和事件管理)作為一種成熟的安全集成方案,被很多企業(yè)用于安全運(yùn)營(yíng)中心。但其弊端在于僅僅做到了日志收集,將成千上萬(wàn)的告警展示出來(lái),這對(duì)于日常安全運(yùn)營(yíng)而言基本上是無(wú)效的。由于無(wú)法將多維度的日志和事件數(shù)據(jù)進(jìn)行協(xié)同分析,SIEM在檢測(cè)和響應(yīng)上存在諸多痛點(diǎn)如:抓不到、告警多、溯源難,更不用談全面感知和及時(shí)響應(yīng)了。
為了解決這個(gè)問(wèn)題,不管是平時(shí)還是“戰(zhàn)時(shí)”,都需要一套能把安全數(shù)據(jù)孤島和防御孤島有序串聯(lián)、協(xié)同工作的系統(tǒng)。這時(shí)候,XDR在“端+流量”方面的協(xié)同分析能力優(yōu)勢(shì)就突顯出來(lái)。
作為一種“全面”和“立體”的解決方案,XDR不僅可以幫助安全團(tuán)隊(duì)縱觀攻擊的所有元素,還可以更清晰、準(zhǔn)確地追蹤惡意攻擊來(lái)源,對(duì)攻擊進(jìn)行結(jié)果判定,重建攻擊全貌,讓安全團(tuán)隊(duì)更好地理解發(fā)生了什么,確定攻擊發(fā)生的位置,在最有可能的實(shí)施點(diǎn)加以響應(yīng),實(shí)現(xiàn)對(duì)威脅“面”和“體”的360°清晰認(rèn)知,以此來(lái)提高整體的檢測(cè)和響應(yīng)效率。
對(duì)于 XDR 來(lái)說(shuō),產(chǎn)品自身的功能與產(chǎn)品間的配合能力都十分重要。同時(shí),威脅情報(bào)能力是產(chǎn)品檢測(cè)響應(yīng)能力的基礎(chǔ),如此才能發(fā)揮“端+流量”深層次的聯(lián)動(dòng)能力。
以微步在線為例,其邁向XDR的做法在于,將威脅感知平臺(tái)TDP與主機(jī)威脅檢測(cè)響應(yīng)產(chǎn)品OneEDR結(jié)合,把網(wǎng)絡(luò)流量監(jiān)測(cè)和端點(diǎn)監(jiān)測(cè)兩部分聯(lián)動(dòng)起來(lái)。
其中,威脅感知平臺(tái)TDP,作為一種NDR服務(wù),提供網(wǎng)絡(luò)流量的監(jiān)測(cè),可以作為防火墻和DNS解析等安全措施的補(bǔ)充。當(dāng)前者失效,NDR的流量檢測(cè)能力可以通過(guò)網(wǎng)絡(luò)攻擊的行進(jìn)路線來(lái)判斷分析。
而主機(jī)威脅檢測(cè)響應(yīng)產(chǎn)品OneEDR,作為一種EDR服務(wù),能夠在服務(wù)器和PC等終端內(nèi)部做安全的檢測(cè)與響應(yīng)。
值得注意的是,目前市場(chǎng)上大多數(shù)NDR和EDR聯(lián)動(dòng)的產(chǎn)品都做不到這一點(diǎn),其主要原因在于一般NDR和EDR的聯(lián)動(dòng),只能做到兩者互為彼此的眼睛,但無(wú)法使用同一個(gè)大腦來(lái)分析。XDR則將NDR和EDR的安全能力進(jìn)行深度融合,升級(jí)為一種綜合的、高維度的分析能力,其最大價(jià)值在于讓安全人員對(duì)威脅的認(rèn)知視角從“一維”進(jìn)化到“多維”。
聚焦威脅檢測(cè)與響應(yīng) 深挖以XDR為核心的綜合安全能力
目前,XDR這類(lèi)新型檢測(cè)與響應(yīng)解決方案目前還處于初期階段,后續(xù)的演進(jìn)路線更多的應(yīng)該強(qiáng)化在云、端點(diǎn)、流量方面的協(xié)同分析能力,使之成為一個(gè)前后聯(lián)動(dòng)、全面檢測(cè)、深度分析、及時(shí)響應(yīng)的有機(jī)系統(tǒng)。
XDR的內(nèi)涵其實(shí)非常豐富,XDR的“X”包含所有對(duì)檢測(cè)有幫助的技術(shù)或者是產(chǎn)品,大趨勢(shì)是“兩條腿走路”,要想檢測(cè)和響應(yīng)做得好,威脅情報(bào)和機(jī)器學(xué)習(xí)能力都少不了,云端威脅情報(bào)需要做到量大、高準(zhǔn)確度、高頻率更新,機(jī)器學(xué)習(xí)則是要通過(guò)動(dòng)態(tài)建模來(lái)幫助企業(yè)建立自己的檢測(cè)響應(yīng)體系,包括企業(yè)自身的威脅情報(bào)庫(kù)、企業(yè)的誤報(bào)告警特征等。
一般而言,威脅情報(bào)做得好的廠商一般在機(jī)器學(xué)習(xí)領(lǐng)域都有著豐厚的成果積累,響應(yīng)的前提是檢測(cè),而威脅情報(bào)也正是準(zhǔn)確檢測(cè)的核心能力,所以威脅情報(bào)能力出眾的廠商會(huì)在邁向新型檢測(cè)和響應(yīng)解決方案的時(shí)候具備先天優(yōu)勢(shì)。早期的XDR廠商包括Cisco、Fortinet、McAfee、Microsoft、Trend Micro、Sophos、FireEye和賽門(mén)鐵克。這些XDR產(chǎn)品的一大吸引力在于,由于開(kāi)箱即用的集成和跨產(chǎn)品的預(yù)調(diào)檢測(cè)機(jī)制,可以快速實(shí)現(xiàn)價(jià)值。
在中國(guó),還有一些像微步在線這類(lèi)創(chuàng)新型安全廠商涉足XDR領(lǐng)域。在產(chǎn)品側(cè),微步擁有基于網(wǎng)絡(luò)流量檢測(cè)的威脅感知平臺(tái)TDP,用于對(duì)客戶網(wǎng)絡(luò)流量、數(shù)據(jù)分析來(lái)進(jìn)行威脅感知。同時(shí),構(gòu)建起一個(gè)廣闊的威脅情報(bào)云,通過(guò)對(duì)互聯(lián)網(wǎng)以及多個(gè)渠道中開(kāi)放數(shù)據(jù)的不斷采集,再對(duì)這些數(shù)據(jù)進(jìn)行加工、分析,進(jìn)而生產(chǎn)出威脅情報(bào),去感知攻擊者的行為、動(dòng)態(tài)以及新變化。在掌握龐大的威脅情報(bào)數(shù)據(jù)后,只需要和企業(yè)用戶的信息做比對(duì),就能清晰地洞察企業(yè)是否受到攻擊,這是微步在線在檢測(cè)模式上與傳統(tǒng)安全廠商的本質(zhì)不同。
2021年,微步在線正式發(fā)布了主機(jī)威脅檢測(cè)響應(yīng)產(chǎn)品OneEDR,與TDP、互聯(lián)網(wǎng)安全接入服務(wù)OneDNS、本地多源威脅情報(bào)管理平臺(tái)TIP等共同構(gòu)成微步在線的“云+流量+端點(diǎn)”威脅檢測(cè)響應(yīng)模式,向XDR方向邁出了重要一步。
如今,以XDR為代表的新型檢測(cè)和響應(yīng)解決方案不僅在國(guó)內(nèi)已成為各家安全廠商關(guān)注的焦點(diǎn),在國(guó)外也已經(jīng)有一些安全廠商提供相關(guān)的案例可以作為參考,其核心解決方案的產(chǎn)品也有一定的共性。攻擊鏈可視、根本原因分析、威脅狩獵都是此類(lèi)解決方案的核心場(chǎng)景。
不過(guò),XDR在國(guó)內(nèi)的落地還有一段比較長(zhǎng)的路要走,但為未來(lái)的安全運(yùn)營(yíng)提供了一種創(chuàng)新思路。不積跬步無(wú)以至千里,不積小流無(wú)以成江海。新型檢測(cè)和響應(yīng)解決方案能否成為最佳的安全解決方案,還需要全球安全廠商的共同努力。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!