Palo Alto 的 CTO Nir Zuk 在2018年首先提出了扩展检测与响应(XDR)。在XDR的定义中,Palo Alto 将其描述为“打破传统的安全孤岛,将所有数据源用于安全检测与响应”。这并非一家之言。随着业务上云以及SaaS模式在全球的火热,从所有孤立平台、工具中获取数据,应用于一处安全能力——即本文讨论的XDR——近年来已经成为了大家公认的需求。
然而从概念到落地,往往还有相当长的一段距离。笔者认为,无论是单一厂商XDR还是混合型XDR,要想在市场中获得成功,都有其先天的局限性。
单一厂商XDR的问题
单一厂商XDR承诺,用户使用一家产品就能开箱即用成功实现多源数据的威胁检测与响应,包括所需的采集、汇总、关联、分析等多项能力。然而,期待某一家供应商具备最强的技术能力与商业能力,将各个分散数据与众多独立的安全工具有效整合在一起,是十分不现实的。即使有厂商声称能够做到,也需要它以行业巨头的身份,收购多家中小厂商,并将众多中小厂商的能力分解、消化、整合为一个完整的安全能力集。虽然将这些各自分散独立的技术紧密整合在一起,对构建一个功能完整的XDR平台是有必要的,但是在商业上的收益却十分有限。
另外,XDR的出现主要是为了应对安全信息与事件管理(SIEM)与安全运营中分析能力的不足。然而,作为最早的多源数据采集点,SIEM的规则与分析能力却导致了海量的报警以及大量的误报。包括后来出现的安全编排与自动化响应(SOAR),如果这两者都无法帮助我们在汇总数据后,通过上下文或相关信息提供准确的安全分析能力,给出可靠的响应决策建议,为什么我们认为XDR就可以做到呢?特别是在数据的种类与总量都越来越难以集中化的今天。
最后(其实还有,不仅仅这三条),为了这一个单一厂商的XDR平台,客户需要割舍替代其已投资多年的原有技术栈。你可以想象一下,当客户的CISO或安全团队负责人要求抛弃之前花费的所有时间、资金、努力,转而将其安全体系的鸡蛋全部放进这一家XDR厂商的篮子里时——这家厂商号称能够集中所有数据提供更加精准的检测与响应能力的承诺甚至还未得到验证——客户的 CEO或董事会成员会做何反应。
混合型XDR的问题
在这种XDR模式中,客户可以以单点解决方案形式采购多个厂商混合而成的XDR。针对绝大多数已经构建了自有安全体系的企业客户而言,这一模式解决了“割舍替代”的问题,但是就如同单一厂商XDR的问题一样,这里也仍然需要一个安全中台,将所有孤岛安全工具整合在一起。这就导致了一个新问题:谁来负责做这件事?我们能够指望某一家独立厂商代替客户承担起无缝整合其他厂商产品的重任吗?即便厂商愿意,客户是否愿意被迫签约接受托管检测与响应(MDR),将这个重任托付出去?
能否不要这个安全中台呢?其实很好评估。若没有中台,各个独立的工具与平台就无法整合在一起,这就意味着所有孤岛数据无法整合利用,帮助安全分析师理解数据之间的关系,从而给出可靠的响应措施建议,最终意味着XDR会失去它原有的目的。
还有一点需要考量的是:我们已经看到有XDR类的联盟开始出现,目的是解决各联盟成员间的的技术和工具在整合为一个生态过程中出现的问题,帮助分析师改进威胁检测与响应的能力。然而,这类组织仍然属于封闭生态,会限制客户只能采用联盟中的供应商提供的技术和工具。因此,客户仍然需要割舍替代其原有的设备,重新申请预算和资源,花费时间部署实施这些新的技术和工具。
炒作过后是什么
那XDR还有希望实现其最初的目标吗?答案是可能的。XDR供应商们已经开始意识到安全中台的重要性,这个中台需要位于整个安全生态的顶端,并提供对各安全工具所产生的全部数据的访问能力。
问题是XDR的炒作还能够持续多久,也许过不了几年,它就会成为一个“过去”的技术。当那一天到来时,它也只是几十年来人们提升安全能力有效性的众多努力中一个新的尝试而已。也许届时人们会看到一个似曾相识的结果,就像与SIEM和SOAR打交道的经历一样——数百万美元与数年时间的投入,换来的是疲于应对告警但却收效甚微。
这里的要点是人们不应该将“炒作”误认为真正的价值,只看着“新奇高大上”的缩写字母就盲目投入。安全团队在采购实施任何新技术前,都需要对其做足“尽职调查”。另外,无论是XDR、SIEM、SOAR亦或是其他以提升安全能力有效性为目的的技术工具,安全团队都应当考虑将其加入安全中台。只有这样才能将安全分析所需的数据从之前的一个子集扩展为全部数据,从而给出更精确的分析结果,做出更可靠的响应决策。