《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 擴(kuò)展檢測(cè)與響應(yīng) (XDR) 技術(shù)的現(xiàn)狀與未來(lái)

擴(kuò)展檢測(cè)與響應(yīng) (XDR) 技術(shù)的現(xiàn)狀與未來(lái)

2021-02-26
來(lái)源: 互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: XDR

  作為技術(shù)領(lǐng)域與市場(chǎng)營(yíng)銷(xiāo)層面的熱門(mén)概念,,XDR正不斷轟炸我們的認(rèn)知范圍。XDR究竟是什么,?我們?cè)撛趺赐黄七@團(tuán)裹挾著創(chuàng)新與混亂的迷霧,?

微信圖片_20210226153231.jpg

  關(guān)注行業(yè)動(dòng)態(tài)的讀者肯定對(duì)擴(kuò)展檢測(cè)與響應(yīng)(XDR)這個(gè)名詞有所了解,,但與之相關(guān)的種種宣傳又令人感到一頭霧水。所以在本文開(kāi)篇,,我們先從XDR的基本定義出發(fā),。

  XDR是一種安全產(chǎn)品集成套件,能夠全面跨越混合型IT架構(gòu)(涵蓋局域網(wǎng),、廣域網(wǎng),、基礎(chǔ)設(shè)施即服務(wù)乃至數(shù)據(jù)中心等),實(shí)現(xiàn)威脅預(yù)防,、檢測(cè)與響應(yīng)等要素的互操作與協(xié)調(diào)功能,。換句話說(shuō),XDR正努力把控制點(diǎn),、安全遙測(cè),、分析與操作整合到統(tǒng)一的管理系統(tǒng)中。

  XDR中的“X”是指擴(kuò)展,,強(qiáng)調(diào)由孤立式威脅檢測(cè)到全面威脅檢測(cè)的整體轉(zhuǎn)變。XDR不再單純立足端點(diǎn),、網(wǎng)絡(luò)或者電子郵件進(jìn)行安全事件標(biāo)記,,而是承諾跨越多種安全控制機(jī)制對(duì)所有事件做出收集與關(guān)聯(lián)。從這個(gè)層面來(lái)看,,XDR與網(wǎng)絡(luò)殺傷鏈模型或ATT&CK框架提出的威脅檢測(cè)框架頗有共通之處,。

  “D”是指對(duì)數(shù)據(jù)的收集、處理與分析,,強(qiáng)調(diào)以超越原有系統(tǒng)的速度更快,、更準(zhǔn)確地檢測(cè)網(wǎng)絡(luò)攻擊活動(dòng)。隨著云計(jì)算的快速普及,,數(shù)據(jù)收集,、處理與分析活動(dòng)正全面轉(zhuǎn)向云原生模式,允許我們利用規(guī)?;Y源優(yōu)勢(shì)快速搞定以往 需要幾個(gè)月,、甚至幾年才能實(shí)現(xiàn)的高級(jí)數(shù)據(jù)分析。

  “R”則與自動(dòng)化緊密相關(guān),。XDR承諾以開(kāi)箱即用的自動(dòng)操作快速應(yīng)對(duì)各類(lèi)繁瑣枯燥的安全任務(wù),。在這方面,我們也可以把XDR理解成一種低成本的交鑰匙型安全協(xié)調(diào)與響應(yīng)(SOAR)解決方案,。

  以上,,就是XDR在市場(chǎng)營(yíng)銷(xiāo)中鼓吹的核心優(yōu)勢(shì)。但問(wèn)題在于,,多年以來(lái)整個(gè)安全行業(yè)一直在討論工具整合的可能性,,但之前怎么就沒(méi)人想到過(guò)XDR呢,?XDR這東西,真有那么靠譜嗎,?

  我和ESG咨詢(xún)公司的同事Dave Gruber剛剛完成了一項(xiàng)關(guān)于XDR的研究項(xiàng)目,,希望為這類(lèi)問(wèn)題找出答案。Dave是端點(diǎn)檢測(cè)與響應(yīng)(EDR)領(lǐng)域的專(zhuān)家,,我則更關(guān)注安全運(yùn)營(yíng)中心,,雙方配合希望從多個(gè)角度審視XDR提出的各項(xiàng)概念。

  研究顯示,,XDR是可行的技術(shù)方向,,且將在2021年顛覆整個(gè)網(wǎng)絡(luò)安全行業(yè)。ESG咨詢(xún)的研究報(bào)告也肯定了這一結(jié)論:

  組織在威脅檢測(cè)方面還有不少“坑”要填,。在談到如何定義威脅檢測(cè)目標(biāo)時(shí),,有34%的組織表示需要改進(jìn)對(duì)高級(jí)威脅的檢測(cè)能力;29%的組織希望縮短平均恢復(fù)時(shí)間,;27%的組織希望更好地確定威脅處理優(yōu)先級(jí),。很明顯,目前的威脅檢測(cè)能力與技術(shù)同理想狀態(tài)之間還有巨大的差距,。

  現(xiàn)有工具時(shí)靈時(shí)不靈,。盡管砸下幾十億美元投資,很多組織仍然無(wú)法及時(shí)發(fā)現(xiàn)或響應(yīng)威脅活動(dòng),。在被問(wèn)及當(dāng)前面對(duì)哪些威脅檢測(cè)與響應(yīng)挑戰(zhàn)時(shí),,31%的安全專(zhuān)家表示他們需要耗費(fèi)大量時(shí)間處理應(yīng)急事務(wù);29%的受訪者承認(rèn)現(xiàn)有安全監(jiān)控方案存在“盲點(diǎn)”,;23%的受訪者表示很難將不同工具發(fā)出的安全警報(bào)關(guān)聯(lián)起來(lái),。由此可見(jiàn),目前的安全運(yùn)營(yíng)體系仍然混亂不堪,。

  威脅檢測(cè)/響應(yīng)預(yù)算正持續(xù)增長(zhǎng),。高達(dá)83%的組織正逐步上調(diào)威脅檢測(cè)與響應(yīng)的投入預(yù)算,可以看出多數(shù)組織已經(jīng)明確意識(shí)到自身在這方面的不足,。

  研究還發(fā)現(xiàn),,相當(dāng)一部分組織已經(jīng)在考慮XDR的可行性。70%的受訪者表示將在未來(lái)12個(gè)月內(nèi)劃撥XDR專(zhuān)項(xiàng)預(yù)算,。有趣的是,,另有23%的組織表示已經(jīng)在推進(jìn)XDR項(xiàng)目,例如集成EDR以及網(wǎng)絡(luò)檢測(cè)與響應(yīng)工具,、利用威脅情報(bào)強(qiáng)化安全預(yù)警等,。

  很明顯,組織有需求也有意愿在威脅檢測(cè)/響應(yīng)方面投入預(yù)算,XDR已經(jīng)獲得了市場(chǎng)發(fā)展的基本動(dòng)力,。安全技術(shù)廠商當(dāng)然也把握住了這個(gè)機(jī)會(huì),,目前博通(賽門(mén)鐵克)、思科,、微軟,、Check Point、FireEye,、Fortinet,、McAfee、Palo Alto Networks以及趨勢(shì)科技等實(shí)力雄厚的大型廠商都在整合單個(gè)產(chǎn)品以構(gòu)建XDR套件,。此外,,Crowdstrike、Cybereason以及SentinelOne等EDR廠商紛紛推出自己的XDR方案,,LogRhythm,、RSA等SIEM廠商也在加大XDR的宣傳力度。同時(shí),,Confluera,、Hunters、Reliaquest,、SecBI乃至Steallr Cyber等眾多EDR初創(chuàng)企業(yè)也加入戰(zhàn)團(tuán),。這一切,都標(biāo)志著XDR在研發(fā)投入與創(chuàng)新動(dòng)力方面即將迎來(lái)一波高潮,。

  但要想全面接掌網(wǎng)絡(luò)安全世界的主導(dǎo)權(quán),,研究報(bào)告認(rèn)為XDR首先得克服幾大核心挑戰(zhàn),。作為使用者,,安全專(zhuān)業(yè)人員也有必要深入探討以下問(wèn)題:

  XDR解決方案包含哪些內(nèi)容。在調(diào)查中,,只有24%的受訪者表示自己對(duì)XDR非常熟悉,;其余受訪者則承認(rèn)對(duì)XDR稍有了解或者完全不了解。在問(wèn)及XDR的基本定義時(shí),,僅有36%的受訪者能夠提到XDR會(huì)從各類(lèi)來(lái)源及控制機(jī)制中收集,、處理、分析并執(zhí)行安全遙測(cè),,但這種描述顯然還不夠確切,。

  之所以存在這種認(rèn)識(shí)混亂,是因?yàn)槟壳案黝?lèi)XDR解決方案往往以不同的安全控制為基礎(chǔ),,產(chǎn)品之間缺乏統(tǒng)一的標(biāo)準(zhǔn),。還有一些XDR解決方案則充當(dāng)軟件抽象/覆蓋層,居于現(xiàn)有控制與分析工具之上。在引導(dǎo)大部分組織找到明確且有理有據(jù)的定位與前進(jìn)方向之前,,XDR市場(chǎng)恐怕仍稱(chēng)不上徹底成熟,。

  XDR如何與SIEM保持協(xié)同。不少企業(yè)組織已經(jīng)在SIEM產(chǎn)品投入了數(shù)百萬(wàn)美元,。在已經(jīng)擁有SIEM的組織中,,有71%的受訪者表示已經(jīng)獲得了不錯(cuò)的威脅檢測(cè)與響應(yīng)效果。但研究同時(shí)發(fā)現(xiàn),,SIEM往往成本高昂,、極度復(fù)雜,而且在檢測(cè)未知/復(fù)雜威脅方面效果不佳,。從這部分?jǐn)?shù)據(jù)來(lái)看,,至少在短期之內(nèi),大多數(shù)組織只是希望由XDR增強(qiáng)并改進(jìn)SIEM,,而非徹底取而代之,。為此,XDR廠商需要制定強(qiáng)有力的SIEM補(bǔ)充策略,,提升產(chǎn)品的市場(chǎng)接納度,。

  數(shù)據(jù)管理問(wèn)題。與SIEM一樣,,XDR必須能夠收集,、處理并分析TB級(jí)別的實(shí)時(shí)與批量數(shù)據(jù)。但安全工程師們總在抱怨,,他們得花大量時(shí)間調(diào)試底層數(shù)據(jù)管道才能讓這些目標(biāo)順利達(dá)成,。ESG研究也證明,組織在安全數(shù)據(jù)管道化方面一直面臨嚴(yán)峻挑戰(zhàn),,具體難題包括過(guò)濾包含大量噪聲的警報(bào)(38%),、擴(kuò)展數(shù)據(jù)管道以適應(yīng)不斷增長(zhǎng)的安全遙測(cè)數(shù)據(jù)量(37%)以及建立高效的數(shù)據(jù)管道處理體系(34%)。XDR廠商在數(shù)據(jù)管道方面具有云原生規(guī)?;瘍?yōu)勢(shì),,因此面對(duì)困擾無(wú)數(shù)組織的現(xiàn)實(shí)難題,他們只要做好安全數(shù)據(jù)管道的知識(shí)普及工作就能獲得良好的市場(chǎng)反響,。

  XDR即服務(wù),。近四分之三(73%)的組織正在或計(jì)劃采用某種類(lèi)型的托管威脅檢測(cè)與響應(yīng)(MDR)服務(wù),例如全面外包,、人員/技能增強(qiáng)以及處于二者之間特定區(qū)位的服務(wù)項(xiàng)目,。由此可見(jiàn),XDR產(chǎn)品應(yīng)該全面引入捆綁服務(wù),,但習(xí)慣于直接銷(xiāo)售安全點(diǎn)產(chǎn)品的XDR廠商可能會(huì)對(duì)這種解決方案性質(zhì)的商業(yè)模式比較抵觸,。

  隨著2021年全球新冠疫情有所緩和,,新一屆RSA大會(huì)也許能夠順利召開(kāi)。相信在此次盛會(huì)上,,XDR會(huì)成為人們的關(guān)注焦點(diǎn),。網(wǎng)安市場(chǎng)已經(jīng)明確表示需要威脅檢測(cè)與響應(yīng)工具,也愿意為強(qiáng)大的產(chǎn)品支付費(fèi)用,。但在真正填補(bǔ)這一空白并在安全領(lǐng)域掀起新一輪熱潮之前,,XDR及其供應(yīng)商可能得先解決客戶教育與市場(chǎng)引導(dǎo)這兩大難題。



本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。