全面检测与响应网络威胁,靠XDR来实现,靠谱吗?
在网络安全行业中,网络威胁的检测与响应是个历久弥新的研究方向,魔高一尺,道就要高一丈。全球著名IT信息化咨询研究机构Gartner追着这个方向看了多年,从NTA推到NDR,从EPP说到EDR,在去年又提出了Extended Detection and Response的概念,也就是可扩展的检测与响应。国内厂商一向追热点概念追得很紧,不管是安全大厂还是站稳在细分领域里的新兴创业公司都纷纷跟了一波XDR的浪潮。是概念还是方向,是昙花一现还是任重道远?本文今天就此简单探讨一二。
一、XDR是个筐,什么都可以往里装?
先说定义。Gartner给出的定义是,XDR is a SaaS-based, vendor-specific, security threat detection and incident response tool that natively integrates multiple security products into a cohesive security operations system that unifies all licensed security components.这意味着XDR是某一个特定供应商的整体检测响应解决方案,可以将多个安全产品集成到一个统一的安全操作系统中,至少要包含“云-端-流量”的结构。简单来说,如果想做好威胁检测这件事,就得保证SIEM/SOC系统能看到更多的东西,同时也要看得更准。
然而实际情况是,如果想看得更多,就要接入更多的安全产品把各种日志数据收过来,结果就是每天几十上百万的告警,根本没法看得准。如果想要看得准,那就要接入各种安全产品,比如NTA/NDR,从流量里发现威胁,以及EDR,从端点上发现威胁,还有UEBA、蜜罐、资产和攻击面盘点等,统统都要用上,这就又出现了新问题,即使各家产品都非常OK,但在对网络威胁的分析上仍然很难协同,尤其是在各家供应商在某些细分领域有竞争关系的时候。
XDR更像一种“破罐子破摔”,既然没办法和其他产品打通,那干脆全都一揽子自己做吧!产品线完善的大厂们开始窃喜:该有的模块我都有,搞个XDR不就是手拿把掐的事儿,就算现在没有,我也可以用钱解决,缺啥买啥不香吗?有单点优势的新型创业公司们自己已经开始私下偷偷开搞,有流量的盯着端点,有端点的盯着威胁狩猎,蜜罐起家的直接全都想要……一时间,XDR仿佛变成了一个筐,有关检测和响应的产品/服务全都可以往里面装。
二、XDR到底是啥?
事实果真如此吗?脱离现象看本质,我们先要明确XDR为什么会被提出来。XDR出现,背后的需求就是单一安全的场景下,检测与响应能力或多或少都会受到限制,安全事件的故事讲不完整。就好比写字楼里有一伙惯偷,流量检测只能通过他们的行进路线来判断他们是坏人,端点检测则会清楚记录他们在每一间办公室里做了什么,而这两个场景之间的联系却没办法建立起来——单个场景中低风险的告警需要聚合起来,才能成为一个完整的、高风险的攻击事件,而这是单个检测产品无法做到的,因此才会产生检测与响应的盲区。
因此,XDR系统的主要功能应该包括以下几点:
1.把现有的安全产品全都集成起来。
2.在中央存储库中对数据进行集中和规范化处理和存储,最好是基于SaaS化的,以进行分析和查询。
3.在协同了其他安全产品的基础上,提高检测准确率。
4.一键处置响应,快速关闭相应攻击点。
一言以蔽之,XDR要统一多个安全场景,一键处置攻击事件,并且也能将攻击事件的来龙去脉述说得清楚明白。所以在这个基础上,能够辅助讲故事的模块都是好模块。XDR更像是一种需要长期规划的解决方案,要往筐里装什么全看各家厂商八仙过海。目前典型的整合手法比如市值非常高的CrowdStrike收购日志管理平台Humio,指名道姓要补足自己XDR能力;跨领域补足自己模块的比如微步在线,刚拿了E轮5亿人民币,还发了新品OneEDR,结合他们此前的流量检测产品TDP,也打算要走XDR的路线了。国内想或者已经在做XDR的还有未来智安和亚信安全,一个是初创的A轮公司,一个是递交申请挂牌科创板的老牌安全公司,由此也能看出,XDR无论在国际还是国内,都将成为大厂小厂同台竞技的新领域。
三、XDR可能有哪些搞法,关键技能和需要注意的点是什么?
前面说到XDR的底配版就是要满足“云+端+流量”,除去端点和流量以外,企业的资产和攻击面盘点也非常重要,网关、邮件、防火墙、DNS解析、用户行为分析等产品都需要接入,要么自己具备,要么API化打通。理论上讲,XDR产品需要和SIEM/SOC深度结合,来提高整体威胁的检出和处置能力,而一部分XDR可以作为SIEM/SOC的平价替代品,当企业组织没有精力/人员/预算去搞一套SIEM/SOC时,选一家好的供应商来一套XDR可能也是不错的选择。
目前Gartner在《Innovation Insight for Extended Detection and Response》报告中列出来的供应商名单还仅限于大厂们,如思科、趋势、McAfee、微软、赛门铁克、Palo Alto Networks等,也有像CrowdStrike、Rapid7这类从某一个产品起家、跻身于世界上最优秀安全公司行列的企业。对这些大厂们来说,实现XDR的愿景或许会更容易一些,但XDR对产品仍然会存在一些要求。
第一,产品需要足够开放,各个产品API化的程度要高,并且因为XDR要处理来自四面八方的日志,这就要求产品在交换数据时更加顺畅,对网络带宽和计算资源的占比要小,处理能力要高,简而言之就是要“丝滑”。
第二,目前来看XDR产品大的趋势都是两条腿走路,要想检测做得好,威胁情报和机器学习能力都少不了,这俩一个负责知彼,一个负责知己。云端威胁情报需要做到量大、高准确度、高频率更新,机器学习则是要通过动态建模来帮助企业建立自己的检测响应体系,包括企业自身的威胁情报库、企业的误报告警特征等。这两条腿一个都不能少,不过理论上来说,威胁情报做得好的厂商一般在机器学习领域都有着丰厚的积累成果,而威胁情报也正是准确检测的核心能力,所以威胁情报能力出众的厂商会在迈向XDR的时候具备先天优势,这也能从Gartner列出的名单上窥见一二,这份名单可以说绝大部分重合了Gartner的《全球威胁情报市场指南》可信供应商列表。
第三,大厂推出自己XDR解决方案的时候容易陷入“你们就是想让我买全家桶”的困境中,各条产品线能力的参差不齐会很影响XDR的效果以及客户满意度;而小厂、新兴公司的XDR解决方案往往又会缺不少东西,毕竟是从单点起家,想变成多面手也需要历经风雨才能见到彩虹。所以XDR能否作为一种战略持续在一家安全公司中推行下去,还是非常考验产品的梳理和研发迭代能力的。
说了这么多,理想的XDR会是什么样?可能安全运维人员关注最多的就是首页的风险模块,以一个又一个攻击事件为维度,展现出企业内部目前存在着多少网络威胁,低级的威胁已经被自动化处置和溯源,中高级的风险则需要安全运维人员或分析师介入,而这背后则是通过收集网关、DNS解析、邮件、蜜罐、流量、终端等等各种地方的数据,尽可能穷尽了企业的服务器、端口、IP域名、应用组件、进程等可能遭受攻击的资产,同时威胁情报和机器学习不断地运作,才能呈现出这样的结果。不过肉眼可见的是,想达到这样的境界,不管是大厂小厂还都有长路要走,毕竟产品的堆栈不是一切,XDR好不好用,还是误报率和漏报率说了算。