网络安全永远在 “道高一尺,魔高一丈” 的攻防博弈中发展演进,并逐步达到动态平衡。由于新一代高级网络攻击技术变得更加隐蔽,正对传统安全方案建立起 “降维打击” 的优势。在实战化攻防对抗的背景下,随着越来越多企业业务云化,终端种类变多、资产梳理复杂,暴露面随之扩大,传统的单点威胁检测模式难以全面实现风险可视,成为横亘在企业数字化转型过程中的 “致命” 难题。
“忽如一夜春风来”,XDR(扩展威胁检测与响应)似乎成了这根 “救命稻草”?
DR 技术演进与 XDR 应用价值 简单回顾一下 DR 类技术的发展与演进:
• 在最初的网络侧 IDS 产品中,由于只看到网络流量上的行为、数据特征等,因此在进行威胁检测时,很难实现闭环处置或者说定位真正的威胁,需要通过杀毒软件来进行处置。
• 杀毒软件产品主要采用特征库比对的检测模式,很难应对病毒软件的变种和绕过。
• 在杀毒软件之后,又出现了 EDR、NDR 类威胁检测产品,但是这些单点性的安全产品无法全面看清终端侧和网络侧的威胁状况,难以通过溯源找到真正的攻击点。
• 在这样的背景下,研究人员开始尝试把端和网,甚至像邮件、云之类的数据结合在一起进行系统化、全局化的威胁检测,因此产生了 XDR 这样的技术理念。
XDR 概念一经提出就受到业界广泛关注,被认为是一种可以实现 “交钥匙式” 威胁检测与响应技术高效集成的技术模式。根据 Gartner 的定义,XDR 是一个统一的安全威胁检测与事件响应平台,无缝集成大量安全能力到一个安全运营系统,将来自云、网、端等多源异构数据统一整合形成数据湖;精准检测高级威胁,并对入侵事件进行分诊,对入侵过程进行追根溯源;同时实现跨人员、跨设备间的交叉联动与多点处置,实现安全闭环,适配不断演进的业务需求和客户诉求。
从上述定义看,XDR 和 SIEM、SOC 等安全平台类技术似乎没有太大差别,原理都是通过采集安全数据,并用机器学习或者基于规则去做检测。但是,XDR 最大的特点在于,其核心产品能力是聚焦于通过一手遥测数据聚合分析进行检测和响应;同时,XDR 方案要求具备更快速的自动化响应能力,也可以通过对接第三方组件,在统一的集中界面中进行操作,完成响应任务。
综合来看,XDR 技术,最根本的目的是满足企业在面对新型网络攻击时不断提升检测及响应能力。对于企业用户而言,XDR 的应用可以体现出三个方面的价值:一是能够提高安全运营的效率和价值,可以更快地发现威胁和自动化响应处理威胁事件;二是降低安全运营的复杂度,实现对整个攻击面全面可视化,及时发现高级复杂威胁及攻击;三是统一的解决方案,降低了安全运营的对接成本和使用成本。
XDR 落地应用的挑战 从国外先进国家的应用经验来看,DR 类产品已经在市场上得到较广泛的应用,EDR、NDR 产品已经成为很多用户的标配。但目前单一检测产品的可见性不足,存在大量误报漏报,理论上来讲,XDR 的检测更全面、生成事件更准确,因此,可以认为它会是未来 5-10 年里主要的安全技术发展方向之一。
尽管 XDR 产品具有巨大的前景,但 XDR 产品理念能否真正兑现仍然充满挑战。安全牛《XDR 应用指南报告》调研发现,我国企业用户在 XDR 的建设过程中会面临挑战主要包括:
1、是否能够有效实现终端威胁检测能力?XDR 一般需要部署终端组件或产品,那么终端是不是能部署下去,是不是容易部署下去?以及终端探针部署上去以后,对企业原有业务的干扰、影响等。比如,有些用户通过现有的桌面管理系统、上网行为管理之类的产品,就可以很方便地部署下去。有些可能需要一个个人工部署,这种方式的成本就非常高,负担太重。
2、是否能够保护企业现有的安全投资?由于对网络安全的重视,很多企业已经应用了很多单点安全设备,这些用户会有保护现有安全投资的需求。对于 XDR 厂商来说,是否能够把用户现有产品的数据接进来,把它们利用起来,保护现有投资,是一个比较大的挑战。
3、能否实现可持续的安全运营?企业建设 XDR 的初衷是提高安全运营效率,而且需要快速安装上线并立即发挥作用,同时还要考虑到安全运营能力与成本。但现在很多 DR 类产品设计得曲高和寡,一般用户比较难用起来,因为很多就只是检测结果展现,需要人工介入做响应。如果用户没有专业的安全分析师(团队),如何让 XDR 项目也能被真正有效的使用起来?
面对以上建设挑战,我们也看到行业中有一些对 XDR 未来发展的质疑:对于企业组织,特别是一些安全运营能力有限的中小企业用户,能否真正从 XDR 项目中获益?XDR 需要实现多种安全能力的整合,在此过程中是否会潜藏很多的陷阱?XDR 的应用价值是否真正可以兑现?企业是否应该积极开展 XDR 的建设应用呢?
SaaS 化的 XDR 落地部署 尽管存在很多挑战,但更高效、更有效的安全运营总体回报使 XDR 成为前景光明的企业安全防护创新方法。对于企业用户而言,开展 XDR 项目建设主要有以下三种模式:
最传统的部署方式就是本地化部署。一些基础安全能力建设比较完善的企业,或者出于合规等各方面的考虑,不能将数据放到云端的企业,通常会采用本地化部署建设的 XDR 构建模式;
另一种正在兴起的就是 SaaS 化部署,这在国外比较常见;
还有一种是 “本地化存储 + 连接云端”(本地化连云)的部署方式,就是数据在本地存储,但可以访问连接到云端,可以从厂商的云端去拉取一些情报,获取快速更新的检测能力,得到专家意见和反馈之类服务。
用户在选择 XDR 建设模式的时候,需要充分考虑自身的实际使用情况。如果用户对自身数据的合规要求比较严格,或为了灵活扩展各种功能应用,只能考虑本地化或者纯离线方式。对于大多数企业用户,可以从两方面来考虑:一方面,看预算。相对而言,像 SaaS 化这种部署方式就比较经济,并且可以根据期望效果按需购买;另一方面,看用户自身的安全运营能力。如果用户没有足够的安全运营能力保障,就需要考虑如何更有效地利用 XDR 厂商的专家服务。
在我国,早期的 XDR 项目建设大多以本地化部署的方式存在。然而在 Gartner 对 XDR 定义中,基于云计算的 SaaS 化服务则是 XDR 的基础性要求之一。随着用户对托管安全建设需求的增加,SaaS 化的 XDR 方案在国内也开始正式落地。
以深信服科技为例,其在今年 5 月正式发布了新一代基于 SaaS 的安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将一手关键数据聚合,综合利用网端聚合分析引擎、上下文关联分析,实现攻击链深度溯源,并结合托管检测与响应服务 MDR,释放人员精力。同时,平台还具备可扩展的接口开放性,能够协同 SOAR 等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验。
深信服 XDR 平台 CTO 顾立明表示,通过云端的存储和计算资源,深信服 XDR 能够帮助用户解决原有安全设备一次性投入成本高、能力更新慢、可扩展性差等问题;同时可基于不同的场景时期的不同需求,弹性扩展,适配用户的业务发展需要,由此,深信服 SaaS XDR 显著降低投资建设成本和运营人资成本,实现更高性价的同时,安全效果和安全运营效率也显著提升。
需要指出的是,SaaS 化的 XDR 技术并不能被看成是 MSS、MDR 等服务,MDR 和 MSS 是一个纯服务的方案,XDR 则是一个技术能力平台,两者结合可以实现更好的威胁检测与响应。在没有 XDR 技术的情况下,MSS 和 MDR 服务也可以进行。XDR 技术结合 MSS\MDR 服务,可以实现服务效率更高、成本更低、响应更快。
SaaS 交付可以实现安全运维更高效、更高性价比,但如何保障安全性?据顾立明介绍,深信服 SaaS XDR 在架构设计方面,建立数据加密兜底机制,即使被攻破导致数据外泄,也无法解密,同时通过深信服安全蓝军、安服团队、外部机构持续进行攻防演练。在稳定性方面,深信服 SaaS XDR 基于托管云底座,稳定性 SLA 高达 99.9%,通过安全运维团队对平台各项指标、日志、资源进行实时监控。
除了平台自身能力,深信服 SaaS XDR 还可对接托管检测与响应服务 MDR,实现云地协同 7*24 小时在线,持续监测威胁和事件,从监测、判断、调查到处置,服务专家实时处置闭环,定期汇总成果和分析安全趋势,减轻运维人员日常工作压力。
XDR 的关键能力评价 目前,XDR 市场整体发展还不成熟,有很多安全厂商都宣称其可以提供 XDR 产品,但是实际功能差异很大,产品应用表现也参差不齐。可见构建实战化攻防有效的 XDR 能力比看起来更具挑战性。缺乏数据收集、通用数据格式和 API,以及建立在传统数据库结构上的产品,导致了很多 XDR 产品不能具备很好的可扩展性和云原生能力。
从 XDR 方案架构的角度看,现在 XDR 技术主要有两类:一类是以同一厂商的组件为主,即端、网、云等安全产品等都由一个厂商提供,可能会少量兼容、接入第三方设备,但以同一厂商的产品为主;第二类是厂商做一个开放性 XDR 平台,并制定统一标准,类似 Open XDR 之类的组织,它会拥抱第三方组件接入,给它提供数据和能力。
顾立明表示:对于我国企业用户来说,这两种方案各有利弊。从短期来看,前者在安全效果、安全效率等各方面都更有保障,因为同一个厂商对自己数据的整合会更好,对数据的深入使用、分析也会做得更好一些。从长期来看,理论上讲第二种方案会更好一些,但目前尚缺乏统一的 XDR 技术行业标准,因此在多厂商能力的标准化整合中,其实现效果还需要进一步观察和验证。
从产品可用性角度来看,新一代 XDR 产品需要通过其收集的深度活动数据以及跨层扫描,防止针对端点、数据和应用程序的恶意攻击,在海量的安全告警信息中发现真正的威胁,并且快速进行处置。顾立明认为,考量新一代 XDR 系统的核心能力指标应该包括以下方面:
看 XDR 终端侧探针的操作系统支持程度。现有 XDR 方案一般都会涉及终端侧的探针,可能是一个 EPP,也可能是一个 EDR,或者是一个终端的智能探针。用户需要根据自己的业务情况,判断厂商的探针种类是不是足够丰富。
终端探针的性能如何也是重要指标。比如:终端探针的轻量性是不是足够好,资源开销是不是控制得比较好,对用户业务的干扰能否尽可能低,以及终端探针是不是容易部署等,这些都是判断终端探针优劣的关键性能力指标。
看 XDR 产品或方案检测精度如何。例如:看它的误报控制做得怎么样;看它在做溯源和影响面评估时,支持的场景是不是足够丰富,对场景的还原程度怎么样等。举个例子,比如说进程注入、机器重启、跨终端溯源时,是不是都可以覆盖到,可以自动溯源。
对于安全建设比较完善的客户来说,他们有自己的安全团队,因此会有较多的定制化安全要求。譬如:他们会看厂商是不是支持自定义检测;会看厂商的威胁狩猎支撑情况;会看厂商的内建情报系统怎么样,是不是支持第三方情报导入等。
XDR 的未来发展 XDR 技术的出现,是为了更好解决当前高级威胁引发的安全问题,因此,其价值需要通过更多实际的应用去验证和展现。而 XDR 技术未来需要完善的地方,也应该从目前企业安全防护体系中效果最差、实现最难的角度去思考:
1、AI 技术的深入应用
随着攻击手段层出不穷,用户经常需要面临未知威胁和复杂攻击,未来的威胁检测会基于海量数据分析,而 AI 是自动分析海量数据的主要技术手段。因此,在威胁检测领域需要人工智能技术不断迭代优化,增强自我学习及数据分析运算能力。XDR 系统威胁检测能力依赖于人工智能技术的发展水平。
2、更精准的响应
很多企业由于安全和运维人员短缺,更希望通过自动化方式执行重复任务。更精准的自动化响应需要 XDR 平台支持更灵活的剧本编排,能够与更多的安全产品联动,支持更丰富完善的策略下发和响应动作执行。
3、结合 MDR 服务
MDR 作为外包服务运行,外部专业人员通常使用 EDR、NDR 和 XDR 工具对组织的系统执行检测和响应。对于没有内部专业知识或资源来操作检测和响应工具的组织来说,这可能是一个不错的选择。据 ESG 的调查显示,73% 的北美和加拿大组织已经在使用或者积极开展项目使用 MDR 服务,有超过一半的人认为,MDR 供应商在威胁检测和响应方面比他们自己做得更好,38% 的人认为 MDR 是安全运维工程师技能提升的有效工具。
4、通过标准实现互通
许多企业出于降低安全风险考虑,需要采购多个供应商的安全设备。多种安全设备需要有统一的互联互通标准,企业才能享受到联防联控带来的益处,其中格式及协议的 “开放性” 是关键,包括数据格式、API 标准、互操作协议等。