當前位置:首頁 >  科技 >  IT業(yè)界 >  正文

檢測響應技術悄然迭代,XDR能否成為盤活安全運營的最佳方案?

 2021-08-25 14:43  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預訂/競價,好“米”不錯過

作為近兩年最為熱門的安全技術方向,XDR成為被Gartner《Top Security and Risk Management Trends》報告提到的第一項技術和解決方案。在素有科技產(chǎn)業(yè)界風向標之稱的Gartner Hype Cycle(技術成熟曲線)中,端點安全和安全運維兩個Hype Cycle也都提及了XDR這項技術。

對于XDR,雖然很多安全廠商給出的定義都不盡相同,但是卻有這樣一個基本的共識:它不僅是眾多安全能力的集合,更將這些單獨的能力進行全面協(xié)同,從而使之成為上下聯(lián)動、前后協(xié)作的有機整體。雖然XDR仍處概念階段,但其最大優(yōu)勢在于把此前已經(jīng)發(fā)展相對成熟的安全解決方案進行融合,發(fā)揮各自長處形成功能更為完整的解決方案。

從EDR到XDR,看懂“點線面體”才有能力談安全戰(zhàn)略

提到XDR,就不得不先提及一下EDR的發(fā)展路徑,業(yè)界普遍認為XDR源于EDR(端點檢測與響應)。EDR脫胎于EPP這種傳統(tǒng)安全產(chǎn)品,在EDR出現(xiàn)之前,終端安全的核心能力還在于殺毒能力。不同于以往的端點被動防護思路,EDR通過云端威脅情報、機器學習、異常行為分析等方式,主動發(fā)現(xiàn)來自外部或內(nèi)部的安全威脅,并進行自動化的阻止、取證、補救和溯源,從而有效對端點進行防護。

基于特征庫的傳統(tǒng)查殺軟件由于更新速度慢,因此對新型威脅的防護響應很慢,只能在威脅發(fā)生后進行防護,屬于被動防護。而EDR以主動防護視角填補了傳統(tǒng)防病毒產(chǎn)品在高級威脅檢測及響應方面的技術空白。

雖然EDR很有價值,但它的焦點只放在端點本身,屬于“點”的范疇,無法做到更大范圍的威脅檢測和響應。該技術類似于從輪船舷窗往外看,視野相當有限。如果想要得到更多方面的信息,僅從舷窗是看不出什么的,只有走上艦橋才能獲得全面視野。

因此,除了對端點的檢測和響應,XDR還有另一個關鍵點就是NDR(網(wǎng)絡檢測與響應)。NDR是在網(wǎng)絡邊界上進行檢測與響應,可以用來檢測用戶在網(wǎng)絡上的行為軌跡,屬于“線”的范疇。與傳統(tǒng)的IDS產(chǎn)品相比,NDR技術不依賴于特征庫,也不基于某個特定業(yè)務或資產(chǎn)對象,而是通過對于流量變化的監(jiān)測和分析,形成相對準確且能動態(tài)調(diào)整的網(wǎng)絡流量行為模型來發(fā)現(xiàn)風險和異常,從而極大提升了對于新型威脅的檢出能力和安全運維效率。

可以看到,無論是EDR還是NDR,都強調(diào)對新型高級威脅的檢測和響應能力。正如Gartner所預測,未來五年企業(yè)網(wǎng)絡安全支出戰(zhàn)略將發(fā)生重大改變,重心將從“阻止”向“檢測”和“響應”傾斜。微步在線CEO薛鋒也表示,檢測技術是一種核心技術,將在未來的安全方面發(fā)揮重要作用,而由情報驅(qū)動的安全檢測和響應體系將是大勢所趨。

微步在線CEO薛鋒

九層之臺起于壘土,“云+端點+流量”協(xié)同安全能力至關重要

目前,市場上不乏單一安全能力做的十分出色的廠商,各家產(chǎn)品雖然單獨應用起來沒有問題,但由于缺乏產(chǎn)品間的聯(lián)動,導致安全能力輸出各自為戰(zhàn)。

SIEM(安全信息和事件管理)作為一種成熟的安全集成方案,被很多企業(yè)用于安全運營中心。但其弊端在于僅僅做到了日志收集,將成千上萬的告警展示出來,這對于日常安全運營而言基本上是無效的。由于無法將多維度的日志和事件數(shù)據(jù)進行協(xié)同分析,SIEM在檢測和響應上存在諸多痛點如:抓不到、告警多、溯源難,更不用談全面感知和及時響應了。

為了解決這個問題,不管是平時還是“戰(zhàn)時”,都需要一套能把安全數(shù)據(jù)孤島和防御孤島有序串聯(lián)、協(xié)同工作的系統(tǒng)。這時候,XDR在“端+流量”方面的協(xié)同分析能力優(yōu)勢就突顯出來。

作為一種“全面”和“立體”的解決方案,XDR不僅可以幫助安全團隊縱觀攻擊的所有元素,還可以更清晰、準確地追蹤惡意攻擊來源,對攻擊進行結果判定,重建攻擊全貌,讓安全團隊更好地理解發(fā)生了什么,確定攻擊發(fā)生的位置,在最有可能的實施點加以響應,實現(xiàn)對威脅“面”和“體”的360°清晰認知,以此來提高整體的檢測和響應效率。

對于 XDR 來說,產(chǎn)品自身的功能與產(chǎn)品間的配合能力都十分重要。同時,威脅情報能力是產(chǎn)品檢測響應能力的基礎,如此才能發(fā)揮“端+流量”深層次的聯(lián)動能力。

以微步在線為例,其邁向XDR的做法在于,將威脅感知平臺TDP與主機威脅檢測響應產(chǎn)品OneEDR結合,把網(wǎng)絡流量監(jiān)測和端點監(jiān)測兩部分聯(lián)動起來。

其中,威脅感知平臺TDP,作為一種NDR服務,提供網(wǎng)絡流量的監(jiān)測,可以作為防火墻和DNS解析等安全措施的補充。當前者失效,NDR的流量檢測能力可以通過網(wǎng)絡攻擊的行進路線來判斷分析。

而主機威脅檢測響應產(chǎn)品OneEDR,作為一種EDR服務,能夠在服務器和PC等終端內(nèi)部做安全的檢測與響應。

值得注意的是,目前市場上大多數(shù)NDR和EDR聯(lián)動的產(chǎn)品都做不到這一點,其主要原因在于一般NDR和EDR的聯(lián)動,只能做到兩者互為彼此的眼睛,但無法使用同一個大腦來分析。XDR則將NDR和EDR的安全能力進行深度融合,升級為一種綜合的、高維度的分析能力,其最大價值在于讓安全人員對威脅的認知視角從“一維”進化到“多維”。

聚焦威脅檢測與響應 深挖以XDR為核心的綜合安全能力

目前,XDR這類新型檢測與響應解決方案目前還處于初期階段,后續(xù)的演進路線更多的應該強化在云、端點、流量方面的協(xié)同分析能力,使之成為一個前后聯(lián)動、全面檢測、深度分析、及時響應的有機系統(tǒng)。

XDR的內(nèi)涵其實非常豐富,XDR的“X”包含所有對檢測有幫助的技術或者是產(chǎn)品,大趨勢是“兩條腿走路”,要想檢測和響應做得好,威脅情報和機器學習能力都少不了,云端威脅情報需要做到量大、高準確度、高頻率更新,機器學習則是要通過動態(tài)建模來幫助企業(yè)建立自己的檢測響應體系,包括企業(yè)自身的威脅情報庫、企業(yè)的誤報告警特征等。

一般而言,威脅情報做得好的廠商一般在機器學習領域都有著豐厚的成果積累,響應的前提是檢測,而威脅情報也正是準確檢測的核心能力,所以威脅情報能力出眾的廠商會在邁向新型檢測和響應解決方案的時候具備先天優(yōu)勢。早期的XDR廠商包括Cisco、Fortinet、McAfee、Microsoft、Trend Micro、Sophos、FireEye和賽門鐵克。這些XDR產(chǎn)品的一大吸引力在于,由于開箱即用的集成和跨產(chǎn)品的預調(diào)檢測機制,可以快速實現(xiàn)價值。

在中國,還有一些像微步在線這類創(chuàng)新型安全廠商涉足XDR領域。在產(chǎn)品側,微步擁有基于網(wǎng)絡流量檢測的威脅感知平臺TDP,用于對客戶網(wǎng)絡流量、數(shù)據(jù)分析來進行威脅感知。同時,構建起一個廣闊的威脅情報云,通過對互聯(lián)網(wǎng)以及多個渠道中開放數(shù)據(jù)的不斷采集,再對這些數(shù)據(jù)進行加工、分析,進而生產(chǎn)出威脅情報,去感知攻擊者的行為、動態(tài)以及新變化。在掌握龐大的威脅情報數(shù)據(jù)后,只需要和企業(yè)用戶的信息做比對,就能清晰地洞察企業(yè)是否受到攻擊,這是微步在線在檢測模式上與傳統(tǒng)安全廠商的本質(zhì)不同。

2021年,微步在線正式發(fā)布了主機威脅檢測響應產(chǎn)品OneEDR,與TDP、互聯(lián)網(wǎng)安全接入服務OneDNS、本地多源威脅情報管理平臺TIP等共同構成微步在線的“云+流量+端點”威脅檢測響應模式,向XDR方向邁出了重要一步。

如今,以XDR為代表的新型檢測和響應解決方案不僅在國內(nèi)已成為各家安全廠商關注的焦點,在國外也已經(jīng)有一些安全廠商提供相關的案例可以作為參考,其核心解決方案的產(chǎn)品也有一定的共性。攻擊鏈可視、根本原因分析、威脅狩獵都是此類解決方案的核心場景。

不過,XDR在國內(nèi)的落地還有一段比較長的路要走,但為未來的安全運營提供了一種創(chuàng)新思路。不積跬步無以至千里,不積小流無以成江海。新型檢測和響應解決方案能否成為最佳的安全解決方案,還需要全球安全廠商的共同努力。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關文章

熱門排行

信息推薦