万物皆可“DR”:扩展威胁检测与响应缘何热度不减
本文2872字 阅读约需 9分钟
如果生成式AI是RSAC 2023的一个焦点,XDR(可拓展威胁检测与响应平台)可以称为会议的另一焦点话题。会议期间,思科、CrowdStrike等多家顶级安全厂商均发布了XDR新产品,从2022年持续火热至今的明星产品热度不减, RSAC 2023见证了 XDR 营销活动的激增。思科高级副总裁兼安全总经理 Tom Gillis表示,XDR成为RSAC2023的焦点话题。你很难找到一个不谈XDR的安全供应商。
AT&T的安全专家Rakesh Shah认为:端点数量的增加、攻击面放大、勒索攻击增加等因素成为XDR产品继续大热的推动因素。
XDR成为安全的前沿和中心
早在RSAC2022上,XDR这个缩略词就已成为热点,遍布在大会的展厅,终端安全与SIEM厂商发布了各自的XDR方案。
XDR 宣称可以融合多个来源的数据,实时检测恶意活动,实现及时的响应。没有XDR,我们就无法与日益复杂的攻击者作战。身处混合网络环境、面对多个安全供应商的用户,面对虚假威胁警报的困扰,以及日益增加的安全威胁,对扩展检测和响应 (XDR)有着较高的期望,期待其能实现更高的安全可见性,简化安全运营。
2022年度安全运营技术成熟度曲线(Hype Cycle),XDR达到Peak of Inflated Expectations的顶端。这也难怪XDR的热度在RSAC2023上持续,成为安全的前沿和中心。
对于XDR,业界却依然没有公认的定义。作为由分析师创造的术语,XDR被安全厂商广泛采用,但对其含义仍未有完全的共识。每家安全企业对XDR都有不同的定义。推广 XDR 的企业表示自己的方案包括各种功能,如终端保护、EDR、MDR、遥测、AI/ML、NDR、邮件、Web、威胁情报等。
在其关于什么是XDR的页面中,思科公司指出XDR 跨邮件、端点、服务器、云工作负载和网络收集和关联数据,实现对高级威胁的可见性和掌握上下文。从而可以对威胁进行分析、确定优先级、狩猎和应对,以避免数据丢失和消除安全漏洞。简而言之,XDR利用最新技术收集和关联威胁信息,实现较高的可见性;同时采用分析和自动化技术帮助检测当前和潜在的攻击。
Gartner给出XDR定义是:XDR是一个基于云交付的平台,可以将不同安全防御、检测和响应组件的数据和警报进行整合、关联,并进行上下文分析。由于包括多个单点解决方案和高级分析技术,可将多个来源的警报与安全事件进行关联,从而实现更准确的检测。”
在技术模型中,XDR结合了安全信息和事件管理(SIEM)、安全编排自动化和响应(SOAR)、端点检测与响应(EDR)以及网络流量分析(NTA)等多个第三方安全产品,既可以获取多点安全能力与多源安全数据,又能将多维数据关联分析、编排及自动化响应。
在本次RSAC中,有安全专家对XDR的核心能力做了概括,如:聚合&关联多个数据源、对告警进行优先级排序、对恶意行为做出响应等。
IDC 安全与信任集团副总裁 Frank Dickson 表示:“XDR 的真正衡量标准是它能够为组织带来实际的安全成果、真实且可衡量的好处——早期检测、影响优先级排序以及有效且高效的响应。
XDR 不是 SIEM
对于 XDR 和 SIEM 存在很多混淆。许多 XDR 供应商声称用户不需要 SIEM,他们的 XDR 可以替代SIEM。对此,思科高级副总裁兼安全总经理 Tom Gillis表示,XDR 的用途不同于传统的安全信息和事件管理(SIEM)。没有响应的安全检测是不够的;但没有检测的安全响应是不可能的。思科希望提供的是自动化、云优先的单一检测和响应平台。借助XDR,安全运营团队可以在威胁造成重大损害之前做出响应和补救。
因此,尽管 XDR与 SIEM有众多相似之处,SIEM 和 XDR 都收集、关联和分析数据,以发现和应对威胁。但SIEM解决方案仅限于向 IT 团队发送安全警报,因为其无法跨端点自动对安全事件进行响应。XDR解决方案则可以自动调整网络和端点的保护措施,仅仅提醒 安全运营团队调查重要的安全事件。
传统 SIEM 让组织管理以日志为中心的数据并在数天内分析出结果。XDR 强调使用以遥测为中心的数据,在几分钟内发现异常。也就是XDR 旨在解决 SIEM 过于关注日志收集、合规和传统关联规则而无法有效阻止网络攻击的问题。
XDR 可与已有的安全工具配合使用,包括 SIEM。或许SIEM仍将继续成为您安全运营的一部分。我们要做的事如何扩展 SIEM 以使其变得更好。
未来 XDR 的功能可能将被 SIEM 集成,或者两者将集成成一个平台,无论它被称为什么,将继续成为安全运营的核心。
万物皆可“DR”:X成为“所有”
本次推出新型XDR的安全厂商思科和CrowdStrike,均把接入EDR、邮件安全、防火墙、SASE、身份安全等更多第三方安全工具做作为产品卖点,这也充分展示了XDR 万物皆可“DR”的产品特性。在Cisco 的 XDR 解决方案中,“X”甚至代表“所有”而不是通常所说的“扩展。
思科XDR
思科推出的新型扩展检测和响应(XDR)平台,融合了网络检测和响应(NDR)以及终端检测和响应(EDR),并提供 "跨域遥测",在提供威胁检测和优先次序方面,该产品还通过 "接近实时 "的方式从安全信息和事件管理(SIEM)产品中脱颖而出。
此外,思科XDR的与众不同之处在于提供了来自各种安全工具的 "高保真数据",如用于终端的Cisco Secure Client(以前的AnyConnect)。XDR平台集成了大量主要的第三方安全产品。其中包括EDR工具(Microsoft Defender、Cybereason、Palo Alto Networks Cortex XDR、SentinelOne Singularity和Trend Micro Vision One);电子邮件安全(Microsoft Defender for Office、Proofpoint);Palo Alto Networks的下一代防火墙;Microsoft Sentinel的SIEM;和ExtraHop Reveal(x)的NDR,据思科表示,这一次是这段时间以来思科最大规模的一次安全产品发布,这代表着思科在实现其安全云愿景的道路上迈出了重要一步,即为现代安全提供一个全面、统一的平台。
CrowdStrike XDR
CrowdStrike新的管理型XDR(扩展检测和响应)产品——Falcon Complete XDR,沿用了CrowdStrike流行的管理型检测和响应(MDR)服务的模式,整合了CrowdXDR联盟中关键领域的供应商的工具,如安全服务边缘(Cloudflare、Netskope、Zscaler、Skyhigh Security、Menlo Security);身份安全(Okta、ForgeRock、Microsoft Azure Active Directory、Ping Identity);电子邮件安全(Mimecast、Proofpoint、Microsoft 365、Cisco Secure Email、Abnormal Security);网络检测和响应(Corelight、ExtraHop、Vectra);以及防火墙(所有主要的防火墙供应商,伯纳德说,包括Palo Alto Networks和Cisco)。
XDR在国内如何落地?
业界给了XDR很高的地位,Gartner 2020《顶级安全和风险管理趋势》报告还将其列为第一大安全趋势,但这个概念也一直饱受争议,主要问题是需要兼容多维度安全设备,并实现联动,落地难度大。
笔者认为,奇安信云安全中心(CSC)是一款面向云安全运营管理的威胁检测与响应系统(XDR),通过对资产、配置、漏洞清点,资产脆弱性评估,东西向流量威胁分析,云上安全能力联动等能力,帮助用户实现威胁预警、风险识别、攻击链还原、联动响应的自动化安全运营闭环。
XDR要成功落地,至少需要具备以下三项核心能力:
1.多源数据采集
奇安信云安全中心(CSC)针对云化数据中心场景设计,能够精准地获取云内资产信息,对来自云、网、端、第三方的全流量进行采集分析和威胁检测。
2.威胁建模分析
威胁建模是各类安全产品实现威胁检测能力的关键环节,奇安信云安全中心(CSC)自主开发SABRE引擎特点,可以实现对多日志来源关联分析的能力,对安全事件进行有效的去误报降噪和分级分类,同时产品并采用了分布式架构,性能按需扩展,解决了传统威胁建模性能难以扩展的问题。
3. 响应处置
奇安信云安全中心(CSC)可联动防火墙、WAF、主机安全设备等云安全组件,进行快速响应处置,形成检测与响应的闭环。
结语
RSAC作为网络安全的风向标,XDR在本次大会继续保持热度,将会吸引更多的客户关注,也会让更多的厂家进入这个领域,这意味着安全运营已经成为安全的痛点,成为网络安全的必争之地。
无论XDR与SIEM形态如何演进,检验它的指标只有一个——如何让组织更早地发现和响应安全威胁。
关 于 作 者
李栋 奇安信资深云安全专家,网络安全老兵
END