在過去一年多時(shí)間里,大小安全廠商都逐漸投入到了XDR(eXtended Detection and Response)這個(gè)領(lǐng)域中:一些廠商從終端安全出發(fā),,而有些廠商從網(wǎng)絡(luò)層面出發(fā),。無論那種方式都是不錯(cuò)的切入手段,畢竟XDR的價(jià)值在于將安全從一系列端點(diǎn)產(chǎn)品轉(zhuǎn)移到一個(gè)獨(dú)立的平臺(tái),,從而實(shí)現(xiàn)企業(yè)中威脅的可視化能力,。數(shù)據(jù)會(huì)從不同的執(zhí)行點(diǎn)被獲取,然后進(jìn)行分析,,從而企業(yè)能夠更快速地發(fā)現(xiàn)威脅,,并且基于威脅的輻射半徑進(jìn)行響應(yīng)。
像EDR這類傳統(tǒng)的安全工具,,往往只能發(fā)現(xiàn)威脅的存在,,而難以真正理解到威脅——尤其是威脅源自于那些不會(huì)發(fā)生的“正確行為”中。這也是大部分檢測和響應(yīng)工具往往在檢測能力上比在響應(yīng)能力上做得更好的原因——而XDR則能改變這一現(xiàn)狀,。
XDR貫穿各個(gè)安全層面,,這也是許多廠商加入這個(gè)圈子的原因。因此,,XDR中存在著大量“服務(wù)商”,,有一些提供真正的XDR解決方案,而有一些只是頂著XDR的名字罷了,。這里給選擇XDR解決方案的企業(yè)五條篩選建議:
1.跨安全圖譜的可視化能力,。XDR中的“X”意為“擴(kuò)展”,因此XDR工具需要有廣泛的可視化能力,,但是指望一家安全廠商能針對(duì)所有威脅都有相關(guān)的安全產(chǎn)品,,顯然不現(xiàn)實(shí)。那么,,XDR廠商應(yīng)該至少提供終端,、云、和網(wǎng)絡(luò)的可視化能力,,然后在電子郵件,、應(yīng)用相關(guān)數(shù)據(jù)等其他領(lǐng)域能整合第三方數(shù)據(jù)。理論上,,XDR廠商應(yīng)該有三個(gè)支柱能力,,然后通過合作伙伴模式輸出其他能力。在不同系統(tǒng)中將相應(yīng)能力聯(lián)系到一起是一項(xiàng)挑戰(zhàn),,但是依然可行,。
2.基于機(jī)器學(xué)習(xí)的分析能力,。安全系統(tǒng)會(huì)生成海量的數(shù)據(jù),多到甚至最頂尖的犯罪專家都無法手動(dòng)分析,。機(jī)器學(xué)習(xí)算法可以發(fā)現(xiàn)能表明攻擊的最小的異常點(diǎn),。盡管說一些安全專家不愿意將可視化權(quán)限讓渡給機(jī)器,但是這是唯一能大規(guī)模部署XDR的途徑,。醫(yī)療行業(yè)早在幾年前就遇到過同樣的問題:醫(yī)生不愿意讓機(jī)器學(xué)習(xí)系統(tǒng)閱讀核磁共振圖,,但是他們很快發(fā)現(xiàn),如果讓機(jī)器學(xué)習(xí)去處理這些問題,,那么醫(yī)生自己就有了更多時(shí)間治療病人,,而不是浪費(fèi)在看數(shù)據(jù)上。在這一點(diǎn)上,,安全和XDR也一樣,。
3.自動(dòng)化響應(yīng)。和基于機(jī)器學(xué)習(xí)的分析能力類似,,對(duì)安全事件進(jìn)行自動(dòng)化響應(yīng)也需要一定的信任,。有些人認(rèn)為自動(dòng)化威脅響應(yīng)有風(fēng)險(xiǎn),但是手動(dòng)處理反而會(huì)降低響應(yīng)速度,,從而一旦真有泄露事件發(fā)生就會(huì)導(dǎo)致企業(yè)數(shù)百萬元的損失,。一個(gè)好的折中方案,可以讓XDR系統(tǒng)進(jìn)行響應(yīng)方案推薦,,而由安全團(tuán)隊(duì)驗(yàn)證這個(gè)方案并實(shí)施。這就跟特斯拉的自動(dòng)駕駛類似:駕駛員依然需要把手放在方向盤上,,但是車卻是控制駕駛的一方,。
4.協(xié)同響應(yīng)。自從網(wǎng)絡(luò)安全誕生以來,,無法讓網(wǎng)絡(luò),、終端、和云協(xié)同響應(yīng)的問題始終困擾著安全團(tuán)隊(duì),。網(wǎng)絡(luò)方面團(tuán)隊(duì)可能注意到了威脅并及時(shí)阻斷,,但是沒有告訴終端負(fù)責(zé)團(tuán)隊(duì),導(dǎo)致一些惡意軟件在企業(yè)內(nèi)部悄悄運(yùn)行,。XDR需要有一個(gè)集成的響應(yīng)系統(tǒng),,讓安全團(tuán)隊(duì)從一個(gè)顯示表消除網(wǎng)絡(luò)、終端,、和云的威脅,。這樣就能形成快速響應(yīng),并且將威脅半徑保持在可控范圍內(nèi),。
5.簡化工作流,。安全當(dāng)中有句話,,叫做“復(fù)雜即敵人”,這對(duì)XDR同樣適用,。如今,,細(xì)分化的安全工具會(huì)造成一條幾乎看不到邊的告警流,充滿了各種誤報(bào)噪音,。結(jié)果上來看,,在過去幾年的重大安全事件中,安全廠商都宣稱自己檢測到了事件,,但是安全團(tuán)隊(duì)并未采取任何措施,。太多的告警和無告警并沒本質(zhì)區(qū)別。XDR系統(tǒng)需要提供一個(gè)基于簡化調(diào)查的完整視圖,,從而能夠輕松發(fā)現(xiàn)問題根源,、事件的發(fā)生順序、以及從多個(gè)來源獲取的威脅情報(bào)詳細(xì)信息,。
XDR部署還有一點(diǎn)需要考慮的:雖然有許多優(yōu)秀的解決方案,,但是只有在人員使用它們的時(shí)候才能顯現(xiàn)效果。XDR的最佳實(shí)踐需要不同安全分組之間打破隔閡,,由CISO自上而下讓不同的安全團(tuán)隊(duì)相互協(xié)作,。XDR的概念已經(jīng)提出了兩年之久了,而人員和流程也應(yīng)該演化,。