網(wǎng)絡(luò)安全行業(yè)充斥著行話,、縮寫詞和首字母縮略詞。隨著復(fù)雜的攻擊媒介成倍增加,,從終端到網(wǎng)絡(luò)再到云,,許多企業(yè)正在面臨一種新方法來應(yīng)對高級攻擊:擴(kuò)展檢測和響應(yīng),這就產(chǎn)生了另一個首字母縮略詞:XDR,。盡管 XDR 今年受到行業(yè)的廣泛關(guān)注,,但 XDR 仍然是一個不斷發(fā)展的概念。
什么是 XDR,?XDR 與 EDR 有何不同,?和SIEM和SOAR一樣嗎?
2020年以來,,隨著遠(yuǎn)程辦公的增加,,網(wǎng)絡(luò)攻擊也進(jìn)一步加劇,XDR的熱度隨之持續(xù)上升,。2020年,,Gartner將XDR命名為第一大安全趨勢,并表示XDR解決方案將“提高檢測準(zhǔn)確性,,并提高安全運(yùn)營效率和生產(chǎn)率,。”
作為 EDR 市場的領(lǐng)導(dǎo)者和新興 XDR 技術(shù)的先驅(qū),,我們經(jīng)常被要求闡明它的含義以及它如何最終幫助提供更好的防御效果,。這篇文章旨在澄清一些關(guān)于 XDR 的常見問題以及與 EDR、SIEM 和 SOAR 之間的區(qū)別,。
什么是 EDR,?
EDR (Endpoint Detection and Response)使組織能夠監(jiān)控終端的可疑行為并記錄每個活動和事件。然后關(guān)聯(lián)信息以提供關(guān)鍵上下文以檢測高級攻擊,并最終運(yùn)行自動響應(yīng)活動,,例如近乎實(shí)時地將受感染的終端與網(wǎng)絡(luò)隔離,。終端檢測和響應(yīng)是一種主動式終端安全解決方案,通過記錄終端與網(wǎng)絡(luò)事件(例如用戶,,文件,,進(jìn)程,注冊表,,內(nèi)存和網(wǎng)絡(luò)事件),,并將這些信息本地存儲在終端或集中數(shù)據(jù)庫。結(jié)合已知的攻擊指示器(Indicators of Compromise,,IOCs),、行為分析的數(shù)據(jù)庫來連續(xù)搜索數(shù)據(jù)和機(jī)器學(xué)習(xí)技術(shù)來監(jiān)測任何可能的安全攻擊,并對這些安全攻擊做出快速響應(yīng),。還有助于快速調(diào)查攻擊范圍,,并提供響應(yīng)能力。
什么是 XDR,?
XDR 是 EDR,、終端檢測和響應(yīng)的演變。雖然 EDR 收集和關(guān)聯(lián)多個終端的活動,,但 XDR 將檢測范圍擴(kuò)大到終端之外,,以提供跨終端、網(wǎng)絡(luò),、服務(wù)器,、云工作負(fù)載、SIEM 等的檢測,、分析和響應(yīng),。
這提供了一個跨多個工具和攻擊媒介的統(tǒng)一的單一管理平臺視圖。這種改進(jìn)的可見性提供了這些攻擊的背景信息,,以幫助分類,、調(diào)查和快速修復(fù)工作。
XDR 自動收集和關(guān)聯(lián)多個安全向量的數(shù)據(jù),,促進(jìn)更快的攻擊檢測,,以便安全分析師可以在攻擊范圍擴(kuò)大之前快速做出響應(yīng)??缍鄠€不同產(chǎn)品和平臺的開箱即用集成和預(yù)先調(diào)整的檢測機(jī)制有助于提高生產(chǎn)力,、攻擊檢測和取證。
簡而言之,,XDR 擴(kuò)展到終端之外,,可以根據(jù)來自更多產(chǎn)品的數(shù)據(jù)做出決策,,并且可以通過對電子郵件、網(wǎng)絡(luò),、身份等采取行動,進(jìn)而在整個堆棧中采取防御,。
XDR 與 SIEM 有何不同,?
當(dāng)我們談?wù)?XDR 時,有些人認(rèn)為我們是在以不同的方式描述安全信息和事件管理 (SIEM) 工具,,但是 XDR 和 SIEM 是兩種不同的東西,。
安全信息事件管理 (SIEM)從整個企業(yè)收集、聚合,、分析和存儲大量的日志數(shù)據(jù),,SIEM 以一種非常廣泛的方法開始了它的旅程:從整個企業(yè)的幾乎任何來源收集可用的日志和事件數(shù)據(jù),以便為多個用例進(jìn)行存儲,。其中包括治理和合規(guī)性,、基于規(guī)則的模式匹配、啟發(fā)式/行為攻擊檢測(如 UEBA),,以及跨遙測源尋找 IOC 或攻擊指標(biāo),。SIEM解決方案就像飛行員和空中交通管制員使用的雷達(dá)系統(tǒng)。如果沒有該數(shù)據(jù)安全管理解決方案,,企業(yè) IT 無異于處于“盲飛”狀態(tài),。雖然安全設(shè)備和系統(tǒng)軟件擅長捕捉和記錄孤立的攻擊與會產(chǎn)生威脅的異常行為,但是當(dāng)今最嚴(yán)重的威脅是分布式的,,跨多個系統(tǒng)協(xié)同工作,,并使用先進(jìn)的逃避技術(shù)來避免進(jìn)行威脅情報檢測。如果沒有SIEM安全信息事件管理,,攻擊就會發(fā)生并發(fā)展成為災(zāi)難性事件,。
然而,SIEM 工具需要大量的微調(diào)和努力才能實(shí)現(xiàn),。安全團(tuán)隊也可能被來自 SIEM 的大量警報淹沒,,導(dǎo)致 SOC 忽略關(guān)鍵警報。此外,,即使 SIEM 從數(shù)十個來源和傳感器捕獲數(shù)據(jù),,它仍然是一種發(fā)出警報的被動分析工具。
XDR 平臺旨在解決 SIEM 工具有效檢測和響應(yīng)針對性攻擊的挑戰(zhàn),,包括行為分析,、攻擊情報、行為剖析和分析,。
XDR 與 SOAR 有何不同,?
成熟的安全運(yùn)營團(tuán)隊使用安全編排和自動響應(yīng) (SOAR) 平臺來構(gòu)建和運(yùn)行多階段劇本,,以在與 API 連接的安全解決方案生態(tài)系統(tǒng)中自動執(zhí)行操作。相比之下,,XDR 將通過 Marketplace 實(shí)現(xiàn)生態(tài)系統(tǒng)集成,,并提供針對第三方安全控制的簡單操作自動化機(jī)制。
SOAR是復(fù)雜的,、昂貴的,,并且需要一個高度成熟的SOC來實(shí)現(xiàn)和維護(hù)合作伙伴的集成。而XDR的目標(biāo)是“SOAR-lite”,,即一個簡單,、直觀、零代碼的解決方案,,提供從XDR平臺到連接的安全工具的操作能力,。
什么是 MXDR?
托管擴(kuò)展檢測和響應(yīng) (MXDR) 將 MDR 服務(wù)擴(kuò)展到整個企業(yè),,以獲得完全托管的解決方案,,其中包括跨終端、網(wǎng)絡(luò)和云環(huán)境的安全分析和操作,、高級攻擊搜尋,、檢測和快速響應(yīng)。
MXDR 服務(wù)通過 MDR 服務(wù)增強(qiáng)了客戶的 XDR 功能,,以提供額外的監(jiān)控,、調(diào)查、攻擊搜尋和響應(yīng)功能,。
為什么XDR越來越受歡迎,?
XDR 取代了孤立的安全性,并幫助組織從統(tǒng)一的角度應(yīng)對網(wǎng)絡(luò)安全挑戰(zhàn),。通過包含來自整個生態(tài)系統(tǒng)信息的單一原始數(shù)據(jù)池,,XDR 允許比 EDR 更快、更深入,、更有效的攻擊檢測和響應(yīng),,從更廣泛的來源收集和整理數(shù)據(jù)。
XDR 為攻擊提供更多可見性和背景信息,,以前無法處理的事件將會浮出水面,,使安全團(tuán)隊能夠糾正和減少任何進(jìn)一步的影響,并將攻擊的范圍降到最低,。
典型的勒索軟件攻擊會遍歷網(wǎng)絡(luò),,到達(dá)電子郵件收件箱,然后攻擊終端,。通過獨(dú)立地查看每一個變量來解決安全性問題會使組織處于不利地位,。XDR集成了不同的安全控制來提供跨企業(yè)安全領(lǐng)域的自動化或一鍵式響應(yīng)操作,,如禁用用戶訪問、強(qiáng)制對可疑帳戶進(jìn)行多因素身份驗(yàn)證,、阻止入站域和文件哈希等,,所有這些都是通過用戶編寫的自定義規(guī)則或內(nèi)置在規(guī)范響應(yīng)引擎中的邏輯實(shí)現(xiàn)的。
通過包含來自整個生態(tài)系統(tǒng)信息的單一原始數(shù)據(jù)池,,XDR 允許比 EDR 更快,、更深入、更有效的攻擊檢測和響應(yīng),,從更廣泛的來源收集和整理數(shù)據(jù),。
這種全面的可見性帶來了幾個好處,,包括:
?通過跨數(shù)據(jù)源的關(guān)聯(lián)減少平均檢測時間(MTTD),;
?通過加速分類和減少調(diào)查和范圍的時間來減少平均調(diào)查時間 (MTTI);
?通過實(shí)現(xiàn)簡單,、快速和相關(guān)的自動化來減少平均響應(yīng)時間 (MTTR),;
?提高整個安全領(lǐng)域的可見性;
此外,,由于人工智能和自動化,,XDR 有助于緩解安全分析師的手動工作負(fù)擔(dān)。XDR 解決方案可以主動,、快速地檢測復(fù)雜的攻擊,,提高安全或 SOC 團(tuán)隊的生產(chǎn)力,并為組織帶來巨大的投資回報,。
