网络安全永远是“道高一尺魔高一丈”的军备竞赛,但现实往往很骨感,网络安全的“道”,经常会跟不上网络攻击“魔”的脚步。而面对日新月异的攻击技术,XDR(跨层检测与响应)被看作是下一个能够御魔的高级“道”。在 EDR(端点检测与响应)、NTA(网络流量分析)和SIEM(安全信息与事件管理)等主流安全方案之外,我们为什么还需要XDR?XDR如何提升企业安全性?以下,我们尝试解答。
从被动到主动
随着人工智能技术的快速融入,新一代高级网络攻击技术变得更加隐蔽、狡猾和复杂,对传统安全方案更是建立起“降维打击”的优势。例如,对抗性机器学习的攻击威胁已成为安全社区的心腹大患。这种攻击现有主流安全方案几乎无法检测到,因为它针对的是机器学习算法,削弱其检测入侵的能力,更糟糕的是,攻击者可欺骗操纵系统对攻击者敞开大门。
为了应对类似于对抗性机器学习的高级复杂威胁,企业需要采用更高级的解决方案,因为传统的入侵检测系统(IDS)无法抵御此类威胁。而诸如端点检测和响应(EDR)和网络流量分析(NTA)之类的被动的,反应式安全方法也无法检测隐蔽攻击。上述主流安全方案能够提供对威胁的分层可见性,但对于隐蔽的网络攻击则是“睁眼瞎”。
企业需要更主动的安全方案,能够快速识别隐藏的复杂威胁,并实现对特定威胁实例的可见性。此外,这种主动方案还需要能跨网络、端点以及云基础架构提供数据的可见性。而能够兑现这种愿景的热门解决方案之一,就是XDR(跨层检测和响应)。
XDR是什么?
XDR是一种跨多个安全层收集并自动关联信息以实现快速威胁检测的方法。它可以监视企业网络中不同来源或位置的威胁。
由于传统安全工具和解决方案之间缺乏联系,事件分类和调查过程存在孤岛问题,导致大多数安全分析人员的事件关联和攻击观点存在局限性,这给攻击者隐藏自己提供了很好的机会。
XDR通过全面的整体检测和响应策略消除了安全孤岛。它收集信息并匹配许多安全层(包括为端点、服务器、电子邮件、云和工作负载配置的安全层)上的深度活动数据的关系。可以对各种数据进行自动分析,以更快地检测到威胁,并使安全分析人员有足够的时间进行彻底的调查。
传统反应式(被动式)方法的缺点
EDR、NTA和安全信息与事件管理(SIEM)绝对不是弱安全解决方案,但是,这些解决方案的工作方式为顽强而狡猾的攻击者留下了可乘之机。
传统安全系统的最大问题之一是警报过载(疲劳)。EDR等主流方案和策略会生成大量缺少有上下文信息的警报。这些不完整的,缺乏有效信息的安全警告对安全运营人员来说意义不大,“全选+删除”是这些警告的常见归宿。
根据IDC InfoBrief的数据,只有21%的企业收集了足以付诸行动的信息。大多数组企业(56%)表示,他们通过安全系统收集的信息只能使他们对问题的根源有个大略的了解,依靠这些信息无法锁定具体问题并实施适当的解决方案。
根据Solarwinds的白皮书调查数据。拥有约一千名员工的公司的SIEM系统每秒钟记录的安全事件多达20亿个,这意味着每天的安全事件高达200万个。即使是最牛的安全运营中心(SOC)分析师也难以处理如此规模事件所产生的海量警报。
困扰传统安全系统的其他问题是需要专业知识和耗时的事件调查,有时可能需要几个月的时间。例如,使用EDR,据报道,入侵识别时间最多长达197天,而遏制攻击时间可长达69天。
同样,传统安全系统的本质是以工具和技术为中心,这使得人们忽视了更为重要的运营需求。正如IDC InfoBrief中所述,有23%的公司表示其安全团队将更多时间用于维护和管理安全工具,而不是进行实际的安全调查。同时,有19%的公司报告其安全产品组合中存在碎片或缺乏集成的情况。
XDR通过其收集深度活动数据以及跨层扫描,搜寻和调查路径的综合方法来解决传统安全方案的缺点。借助人工智能和高级分析,XDR可以在安全警报过载中发现真正的威胁。
“魔”高于“道”的时代
本文无意贬低EDR的价值,大量公司有充分的理由继续依赖EDR。但是,由于其先天设计(将重点放在托管端点上)而存在功能上的局限性。同样,EDR在可以识别和阻止的威胁种类、范围,以及对被攻击实体的识别和对攻击的最佳响应方面也存在局限性。
同样,我们也不能说NTA是个摆设。网络流量分析仍然很重要,但是NTA需要跳出网络监控这个狭窄领域。NTA系统也会生成海量日志,这使得将网络警报与其他相关安全事件数据之间的关联变得非常困难。
业界已经在尝试改进EDR和NTA,但是这些改进往往最为单独的解决方案或额外的安全层来实现。这意味着数据孤岛问题依然存在。而XDR目前来看,是企业升级检测和响应系统的首选整体方法。XDR能够缩短SOC检测告警的时间,并评估哪些警报值得关注和采取行动。XDR不会替代SIEM,但会对其进行增强,以充分利用SIEM产生的安全日志和通知。
换句话说,XDR是传统安全系统进化的一个新路径,以跟上网络犯罪分子攻击技术和方法的进化速度。
扩展的检测和响应
XDR可以查明各种来源和位置的隐藏威胁并对其进行跟踪。这种先进的系统可提高企业IT团队的工作效率,并提高安全调查的速度。XDR提供了超出端点的多个安全层,从而扩大了检测和响应范围。此外,XDR创建了一个集成的自动化平台,可实现跨安全层的完全可见性。
因此,业界也有厂商将XDR(跨层检测与响应)称为“扩展检测和响应”,也有人将“X”解读为“广泛的”,因为XDR不仅可以识别和处理威胁,还是一种全面的安全解决方案。XDR能够确定用户是如何被感染的、切入点在哪里、攻击如何横向移动以及有多少其他用户受到了威胁。此外,XDR与SIEM以及安全协调、自动化和响应(SOAR)系统的集成能够使分析人员可以在更广泛的安全生态系统中使用XDR。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】