当单独的端点安全无法完全满足当下的安全需求时,就需要各个端点、网络之间的联动进行检测和响应。XDR自然而然就从EDR演化而来。XDR(Extended Detection and Response)是一系列IT架构中安全产品的集成组合,包括LAN、WAN、IaaS、数据中心等;XDR的目的是将这些工具协同,从而实现威胁防范、检测和响应。XDR将控制点、安全遥测器、数据分析、运营统一管理到同一个企业系统中。
XDR中的“X”意味着将威胁检测从分散状态转化为统一。XDR不再仅仅单独识别终端、网络和邮件中的安全事件,而是通过安全管控将这些事件收集并进行关联。因此,将威胁检测理解为攻击链,或者结合MITRE ATT&CK框架。“D”则数据收集、处理和分析,从而能够比现有系统更快、更精确地检测攻击。一般而言,这些活动会在云端发生,从而能够对数月,甚至数年之久的海量数据进行进一步分析。最后。“R”和自动化能力息息相关。XDR需要通过自动化,将大量的安全运营工作从人类手中解放——有点像简约版的SOAR。
这是市场对XDR的理解,但是我们已经说了好多年工具的组合使用——那可比XDR这个概念存在的时间长多了。那XDR真的能够实现吗 ?
ESG的高级分析师Jon Oltsik和他的同事Dave Gruber最近完成了XDR的一项调研项目。Dave关注于EDR,而Jon侧重于安全运营中心,因此他们从多个角度来看XDR这个概念。根据他们的研究,XDR不仅仅很现实,甚至可能影响2021年整个安全产业。其中,关键的结论有:
- 组织已经在威胁检测前做了很多工作。当被问及他们如何定义自己的威胁检测目标时,34%的组织表示希望能够改善自己对高级威胁的检测,29%希望减少修复的平均时间,27%希望能够在威胁优先级的排序方面得到帮助。这一点代表了对流程和技术改进的需求。
- 现有工具并没有效果。哪怕投了几十亿在安全领域,企业依然无法及时对威胁进行检测和响应。当被问及威胁检测和响应面临的挑战时,31%的安全专家表示需要在自己的业余时间进行应急响应,29%承认安全监控中存在盲点,23%表示不同工具之间很难关联安全警告。这显然表示安全运营中存在很多混乱。
- 威胁检测和响应的预算在增加。83%的受访组织表示正在增加自己的维系检测和响应预算——代表了企业对于这方面的需求已经到了火烧眉毛的地步。
研究同样表明,许多组织已经将XDR作为一种可行的解决方案:70%的受访者表示已经将XDR放在未来12个月的预算中;有23%的甚至表示已经在建立XDR项目——比如将EDR和网络检测和响应工具集成、结合威胁情报等等。
组织显然愿意为威胁检测和响应买单,因此XDR很快在市场上得到了大量关注。安全厂商显然看到了这个机会,像博通(收购赛门铁克)、Check Point、思科、火眼、Fortinet、McAfee、微软、派拓网络、趋势科技等大厂已经在将各种端点产品集成为XDR套装。另一方面,Crowdstrike、Cybereason、SentinelOne等EDR厂商也已经开始部署XDR战略;LogRhythm和RSA等SIEM厂商也准备进入XDR领域。与此同时,还有许多XDR的创业公司正在出现。这些都表示,会产生大量的XDR的研发投入,产生新的创新。不过,研究同样发现XDR面临的一些困境。安全从业人员最好能理解到以下一些问题:
- XDR解决方案包括哪些内容。只有24%的受访者表示他们很熟悉XDR;剩余的受访者只是对XDR有所知晓,甚至完全不了解。当被问及XDR定义的时候,36%的受访者表示“XDR基于多个来源和管控的遥测器进行收集、处理、分析以及响应”——这是一个准确但相对宽泛的说法。这个不难理解,毕竟大部分XDR解决方案是基于多种不同的安全管控而成,没有标准化的套装。一些XDR解决方案更倾向于在现有的管控和分析工具上抽象一层出来。这些概念的不清晰意味着在企业开始购买XDR前,需要一定的市场层面的教育。
- XDR如何和SIEM协调。许多组织已经在SIEM解决方案上花了数百万,并且有71%的企业认为SIEM在威胁检测和响应上有效。然而,研究也发现SIEM更加昂贵、复杂,而且在未知威胁或者复杂攻击面前并不那么有效。基于这个数据,大部分组织需要XDR来加强他们的SIEM——而非取代SIEM,至少在短期来看如此。因此,XDR厂商需要发展出一个强有力的SIEM辅助策略。
- 数据管理问题。就和SIEM一样,XDR必须能实时收集、处理和分析Tb级别的数据。几乎每个安全工程师都会表示,他们花了大量的时间建立数据管道来实现这些。ESG研究发现,组织面临的数据管道挑战包括:过滤警告噪音(38%)、为了适应增长的安全遥测数据延展数据管道(37%)、建立流水化的有效数据管道(34%)。XDR厂商可以利用云原生的优势建立数据管道。现在,他们有机会通过说明他们如何管理数据管道来教育市场。
- 安全服务。73%的企业计划,或者已经在使用某种类型的MDR服务,可能是完全外包,也可能是外包一部分。这就代表安全服务应该是每个XDR解决方案的一部分,但对很多之前只卖终端安全产品的XDR厂商而言,是一项挑战。
CISO们需要威胁检测和响应能力的帮助,而且愿意为合适的服务买单。XDR可以满足这个需求,但是在XDR成为安全运营的时代答案之前,还需要大量的市场教育和拓展。