作为技术领域与市场营销层面的热门概念,XDR正不断轰炸我们的认知范围。XDR究竟是什么?我们该怎么突破这团裹挟着创新与混乱的迷雾?
关注行业动态的读者肯定对扩展检测与响应(XDR)这个名词有所了解,但与之相关的种种宣传又令人感到一头雾水。所以在本文开篇,我们先从XDR的基本定义出发。
XDR是一种安全产品集成套件,能够全面跨越混合型IT架构(涵盖局域网、广域网、基础设施即服务乃至数据中心等),实现威胁预防、检测与响应等要素的互操作与协调功能。换句话说,XDR正努力把控制点、安全遥测、分析与操作整合到统一的管理系统中。
XDR中的“X”是指扩展,强调由孤立式威胁检测到全面威胁检测的整体转变。XDR不再单纯立足端点、网络或者电子邮件进行安全事件标记,而是承诺跨越多种安全控制机制对所有事件做出收集与关联。从这个层面来看,XDR与网络杀伤链模型或ATT&CK框架提出的威胁检测框架颇有共通之处。
“D”是指对数据的收集、处理与分析,强调以超越原有系统的速度更快、更准确地检测网络攻击活动。随着云计算的快速普及,数据收集、处理与分析活动正全面转向云原生模式,允许我们利用规模化资源优势快速搞定以往 需要几个月、甚至几年才能实现的高级数据分析。
“R”则与自动化紧密相关。XDR承诺以开箱即用的自动操作快速应对各类繁琐枯燥的安全任务。在这方面,我们也可以把XDR理解成一种低成本的交钥匙型安全协调与响应(SOAR)解决方案。
以上,就是XDR在市场营销中鼓吹的核心优势。但问题在于,多年以来整个安全行业一直在讨论工具整合的可能性,但之前怎么就没人想到过XDR呢?XDR这东西,真有那么靠谱吗?
我和ESG咨询公司的同事Dave Gruber刚刚完成了一项关于XDR的研究项目,希望为这类问题找出答案。Dave是端点检测与响应(EDR)领域的专家,我则更关注安全运营中心,双方配合希望从多个角度审视XDR提出的各项概念。
研究显示,XDR是可行的技术方向,且将在2021年颠覆整个网络安全行业。ESG咨询的研究报告也肯定了这一结论:
组织在威胁检测方面还有不少“坑”要填。在谈到如何定义威胁检测目标时,有34%的组织表示需要改进对高级威胁的检测能力;29%的组织希望缩短平均恢复时间;27%的组织希望更好地确定威胁处理优先级。很明显,目前的威胁检测能力与技术同理想状态之间还有巨大的差距。
现有工具时灵时不灵。尽管砸下几十亿美元投资,很多组织仍然无法及时发现或响应威胁活动。在被问及当前面对哪些威胁检测与响应挑战时,31%的安全专家表示他们需要耗费大量时间处理应急事务;29%的受访者承认现有安全监控方案存在“盲点”;23%的受访者表示很难将不同工具发出的安全警报关联起来。由此可见,目前的安全运营体系仍然混乱不堪。
威胁检测/响应预算正持续增长。高达83%的组织正逐步上调威胁检测与响应的投入预算,可以看出多数组织已经明确意识到自身在这方面的不足。
研究还发现,相当一部分组织已经在考虑XDR的可行性。70%的受访者表示将在未来12个月内划拨XDR专项预算。有趣的是,另有23%的组织表示已经在推进XDR项目,例如集成EDR以及网络检测与响应工具、利用威胁情报强化安全预警等。
很明显,组织有需求也有意愿在威胁检测/响应方面投入预算,XDR已经获得了市场发展的基本动力。安全技术厂商当然也把握住了这个机会,目前博通(赛门铁克)、思科、微软、Check Point、FireEye、Fortinet、McAfee、Palo Alto Networks以及趋势科技等实力雄厚的大型厂商都在整合单个产品以构建XDR套件。此外,Crowdstrike、Cybereason以及SentinelOne等EDR厂商纷纷推出自己的XDR方案,LogRhythm、RSA等SIEM厂商也在加大XDR的宣传力度。同时,Confluera、Hunters、Reliaquest、SecBI乃至Steallr Cyber等众多EDR初创企业也加入战团。这一切,都标志着XDR在研发投入与创新动力方面即将迎来一波高潮。
但要想全面接掌网络安全世界的主导权,研究报告认为XDR首先得克服几大核心挑战。作为使用者,安全专业人员也有必要深入探讨以下问题:
XDR解决方案包含哪些内容。在调查中,只有24%的受访者表示自己对XDR非常熟悉;其余受访者则承认对XDR稍有了解或者完全不了解。在问及XDR的基本定义时,仅有36%的受访者能够提到XDR会从各类来源及控制机制中收集、处理、分析并执行安全遥测,但这种描述显然还不够确切。
之所以存在这种认识混乱,是因为目前各类XDR解决方案往往以不同的安全控制为基础,产品之间缺乏统一的标准。还有一些XDR解决方案则充当软件抽象/覆盖层,居于现有控制与分析工具之上。在引导大部分组织找到明确且有理有据的定位与前进方向之前,XDR市场恐怕仍称不上彻底成熟。
XDR如何与SIEM保持协同。不少企业组织已经在SIEM产品投入了数百万美元。在已经拥有SIEM的组织中,有71%的受访者表示已经获得了不错的威胁检测与响应效果。但研究同时发现,SIEM往往成本高昂、极度复杂,而且在检测未知/复杂威胁方面效果不佳。从这部分数据来看,至少在短期之内,大多数组织只是希望由XDR增强并改进SIEM,而非彻底取而代之。为此,XDR厂商需要制定强有力的SIEM补充策略,提升产品的市场接纳度。
数据管理问题。与SIEM一样,XDR必须能够收集、处理并分析TB级别的实时与批量数据。但安全工程师们总在抱怨,他们得花大量时间调试底层数据管道才能让这些目标顺利达成。ESG研究也证明,组织在安全数据管道化方面一直面临严峻挑战,具体难题包括过滤包含大量噪声的警报(38%)、扩展数据管道以适应不断增长的安全遥测数据量(37%)以及建立高效的数据管道处理体系(34%)。XDR厂商在数据管道方面具有云原生规模化优势,因此面对困扰无数组织的现实难题,他们只要做好安全数据管道的知识普及工作就能获得良好的市场反响。
XDR即服务。近四分之三(73%)的组织正在或计划采用某种类型的托管威胁检测与响应(MDR)服务,例如全面外包、人员/技能增强以及处于二者之间特定区位的服务项目。由此可见,XDR产品应该全面引入捆绑服务,但习惯于直接销售安全点产品的XDR厂商可能会对这种解决方案性质的商业模式比较抵触。
随着2021年全球新冠疫情有所缓和,新一届RSA大会也许能够顺利召开。相信在此次盛会上,XDR会成为人们的关注焦点。网安市场已经明确表示需要威胁检测与响应工具,也愿意为强大的产品支付费用。但在真正填补这一空白并在安全领域掀起新一轮热潮之前,XDR及其供应商可能得先解决客户教育与市场引导这两大难题。
原文链接:
本文来源:互联网安全内参,ESG咨询公司高级首席分析师Jon Oltsik