近日,知名咨询机构 Gartner 正式发布 2022 安全运营技术成熟曲线(Hype Cycle),正如业界大多数人所预测的那样,XDR 终于站上了 Peak of Inflated Expectation 的顶端,成为安全运营体系中最炙手可热的技术之一,具体如图所示:
一直以来,业界对于 XDR 技术抱有两种截然相反的观点。虽然 XDR 近年来风头强劲设置盖过了零信任。Gartner 也预测到 2027 年,XDR 技术的应用比率将从 5% 飙升至 40%。不过,即便是风头正盛,依旧有不少安全专家对 XDR 持否定态度,认为 XDR 自身存在局限性,这将使其未来的市场化难度非常高。
此次 XDR 登顶并未让众人对 “XDR 将成为未来安全运营的关键技术” 的观点趋于一致,反而进一步激化了彼此之间的分歧,如同粉丝和路人对于流量明星的态度一样,讨论者对于 XDR 的态度可是泾渭分明:赞成方认为 XDR 必将引领全新的安全运营体系,是未来不可或缺的关键技术;而反对方则认为 XDR 技术人间不值得,是比 SIEM、SOAR 更加糟糕的存在,不过是在炒作技术概念而已。
对于 XDR 技术未来的发展趋势也是讨论的焦点,不同技术、不同背景的安全从业者看到的趋势大有不同。有意思的是,此次 Gartner 还导入一个新的运营服务分支——Managed SIEM,于是乎 “明年是否会有 Managed XDR” 成为众人新的话题点。
在 XDR 技术登顶的当下,我们决定加入这场热烈的讨论:XDR 在安全运营体系中有多大的作用,其未来的发展趋势又将会是怎样?若是读者对此也感兴趣,不妨也凑个热闹,留下您宝贵的见解。
XDR 为什么会这么火?
在回答这个问题之前,我们首先要弄清楚,什么是 XDR 技术。
2018 年,Palo Alto Networks 首席技术官 Nir Zuk 首次提出了 XDR(扩展检测和响应)的概念。2020 年,Gartner 发布的《顶级安全和风险管理趋势》报告,XDR 被命名为第一大安全趋势,一时成为业界最热门的网络安全技术。
随后 Gartner 又连续发布了《扩展检测和响应(XDR)的创新洞察》、《扩展检测和响应(XDR)市场指南》两大核心报告,详细阐述了 XDR 的技术架构、核心能力、市场趋势等,对于 XDR 给予极高的评价。
Gartner 给出的 XDR 定义为:XDR 是一种基于 SaaS 的、绑定于特定供应商的安全威胁检测和事件响应工具,它将多个安全产品集成到一个统一了所有许可安全组件的内聚安全运营系统中。
而用更通俗的话来说,理想中的 XDR 技术,其实安全信息和事件管理(SIEM)、安全编排自动化和响应(SOAR)、端点检测与响应(EDR)以及网络流量分析(NTA)等产品综合起来的结果。其核心部分可分为前端和后端:前端组件包含多种安全工具与传感器以获取多点安全能力与多源安全数据,后端组件提供汇总分析的能力,达到关联分析、编排及自动化响应的效果。
从上述信息中不能难看出,XDR 实际上就是 SIEM 的进阶版本,这就意味着 XDR 的出现的需求侧原因,是当下 SIEM 等解决方案无法满足企业安全运营体系关联和分析的需求,产生了大量无效告警信息,降低了安全运维的效率,导致企业安全运营出现孤岛效应。
随着疫情全球化和企业数字化的加剧,企业数据呈井喷式爆发增长,其数据联动需求进一步增强,而大量的数据也让孤岛效应更加明显。
两相叠加之下,企业迫切需要一款能够将数据采集、集中分析、统一处置、响应编排的安全产品,以此让安全运营摆脱孤岛效应,更重要的是将企业安全运营水平和标准化产品挂钩,而非依赖不稳定的个人技术水平。
此时,我们再回到 “XDR 为什么会这么火” 这个问题。其底层支撑逻辑是,安全运营体系已经到了必须要发生改变的时候,其日益增长的数据联动和打破孤岛效应的内在需求已经成为共识。
此时,谁能解决这一难题谁就将成为安全运营下一阶段的核心要素之一,其未来的增长和市场足以让资本心动不已。正是在这样的背景下,XDR 概念横空出世,给出了一个看起来似乎真的能够实现这一目标的具体路径。它不火谁火?
XDR 到底有没有用?
这里需要明确的是,红不一定就意味着对,且一项技术在走红的过程中必定会产生泡沫,这是无法避免的情况。
因此,反对方认为 XDR 技术不过只是安全运营难题的一次尝试,在资本的助推下而快速走红,这种表象掩盖了其自身的局限性,最终只能落得一个劳民伤财,陷入无休止的警报疲劳和低于标准的结果。
那么,XDR 技术到底有没有效果,是假噱头还是真技术?
众所周知,SIEM 遭到诟病的原因是,对于不同源安全数据的处置能力仍然较弱,其能够提供的事件响应与可视化也非常有限,相互孤立的安全设备每天产生海量告警,导致安全运营痛苦不堪。
而 SOAR 虽然对 SIEM 平台进行了优化,可以增强安全数据间的联动效应,并根据事先预置的剧本(Playbook)对于安全事件进行编排,实现自动化响应。但是对于诸多不同源的安全数据,安全团队仍然需要手动设置行动手册、定义警报级别与响应措施。
XDR 技术的出现似乎可以解决上述这些问题。
XDR 的核心作用在于能够跨越不同数据源与 IT 架构,集中汇集云、网、端、威胁情报等多源安全数据/工具。通过大数据与人工智能、用户行为分析等智能分析手段,对安全数据/事件进行关联分析,还原攻击路径,达到对整个攻击面的全面可视,解决安全孤岛的问题。基于动态更新的事件库与预置处置场景将产出的告警进行自动化编排与分诊,实现自动化响应。
因此,XDR 技术要比 EDR、SIEM、SOAR 具备一定的先进性,甚至可以看出是 SIEM、EDR、SOAR 等技术的整合升级版。换句话说,XDR 技术至少要比现有的安全技术更具发展潜力。
概念再好如果无法落地,终将面临泡沫破碎的结局,那么 XDR 又该如何落地?
事实上,不论是国内还是海外,XDR 技术的落地效果不仅没有其概念所描述的那么完美,对庞大数据的分析计算能力还需突破,事件生成机制以及事件分析的方法还需要继续完善并标准化。
此外,在落地时还会给企业带来新的问题。目前 XDR 技术落地方式主要有两种:一是原生 XDR 解决方案;二是混合 XDR 解决方案。
原生 XDR 解决方案最大的优势是可以最大化保证 XDR 技术的落地效果,依托安全产品和工具的原生性,完全可以实现云、网、端数据联动和深入分析,进行全面监控和自动化响应,大大简化安全运营工作,提升安全运营的效率。
但是其弊端也非常明显,企业必须要放弃原有的安全架构,转而采用全新的原生安全架构,并采购某一供应商的原生安全产品。但大部分的安全产品全都来自同一个供应商,对于企业来说这本身就是一件不安全的决策,更别提如此大改需要投入大量的资源,很难在管理层通过。
混合 XDR 解决方案则不需要对安全架构进行更改,也不需要局限在某一个供应商,但是其效果不如原生 XDR 解决方案。毕竟,想要让不同厂商的安全产品和工具存在一定的差异性,实现自动化关联与响应存在一定的难度。
综上所述,XDR 技术的核心优势便在于能够深度集成多源、跨 IT 架构的所有安全组件,打通各项安全数据与事件,并配合人工智能等前沿分析手段实现关联分析与自动化响应。在实际落地过程中远没有技术概念那般美好,企业需要承担相应的成本,且还需调低对 XDR 的潜在期望。
换句话说,XDR 技术未来的发展趋势值得期待,但在现阶段还存在一定的概念泡沫,而寻找 XDR 更具体的落地方式就是在挤出其中的泡沫。
XDR 赋能高效运营 MSS
正如上文所说,原生 XDR 和混合 XDR 解决方案都存在一定的弊端,依靠现有的技术和条件暂时无法完全解决这些弊端,因此业界也开始将目光转向 “以 XDR 技术为支撑的 MSS 运营服务”,尝试 “曲线实践 XDR 技术”。
而这两者之间似乎存在着某种契合。
MSS 并不是一个新兴的概念,早在 20 世纪 90 年代,MSS 服务概念就已经在海外诞生。经过二十多年的发展和完善,MSS 已经成为企业强化安全能力的重要措施之一,将厂商强大的安全能力持续赋能企业,实现预期的安全效果。
MSS 的核心优势在于,厂商可远程监控企业安全态势,持续感知安全风险,并在风险出现的时候及时预警和消除,保障企业自身业务不受影响。这样既避免了安全人员驻场的负担,也满足了企业对于安全的需求。
同时,这也是企业用户最担心的地方,仅在线上是否真的能够实时了解安全形势,出现问题时又是否可以及时进行响应?
而这恰恰是 XDR 技术的强项,可以帮助厂商进一步强化 MSS 的能力。在 XDR 的赋能下,MSSP 可以利用 XDR 的底层框架以更低的成本提供更智能、高效的安全运营服务。另一方面,XDR 方案也可以借助 MSSP 成熟的管理模式与丰富的专家经验实现成功落地。
MSS 与 XDR 相结合的趋势在近年不断被市场所实践与验证。很多 XDR 提供商将 MDR(托管检测与响应)服务包含在其产品方案内,或者与网络安全托管服务商 MSSP 进行合作,为客户提供 7/24 小时全天候的监控与管理。
随着 MSS 与 XDR 的进一步结合,供应商服务形态及技术水平的进一步提升,MSS 与 XDR 将分别从技术框架与管理形态两个维度提升企业安全运营效率。
在疫情持续影响,数字化转型加速的当下,安全基础相对薄弱的中小型企业,更容易遭受网络攻击,故而对于网络安全能力的需求更加迫切。在缺乏安全投入和安全团队的前提下,依托 MSS 服务快速提升整体安全能力,反而是一个不错的选择。
与之不同的是,大型集团企业因为具备完善的安全体系和人员制度,对于 MSS 服务的需求远没有中小企业那么强烈,反而更倾向于在长期的企业信息安全体系的建设过程中逐步落地新技术、新架构。
此时,XDR 技术的落地方式因企业体量出现了明显的变化:中小型企业更倾向于通过 MSS 来间接加强安全能力,而大型企业则根据自身具体情况,选择原生 XDR 或混合 XDR 解决方案,对于拥有强横自研能力的大厂,原生 XDR 解决方案反而更加完美。
XDR 技术未来可期
目前国际 XDR 市场尚处于早期探索期,但即便如此,和现有的安全技术相比,XDR 也已经呈现出较为明显的优势。
埃森哲曾对 XDR 与行业其他安全运营工具的效果进行调研分析,结果显示,XDR 产品在各个维度的表现均完全领先于行业平均水平,其平均威胁检测周期小于 1 分钟,平均威胁响应周期小于 10 分钟,远高于同类安全工具的效果。
更为关键的是,XDR 技术还有广阔的提升空间,随着安全运营中的产品、工具高度集合,在多源数据的集成与联动分析能力、关键事件自动化识别与响应能力等方面将会更强,数据孤岛问题有望得到解决。
这要求 XDR 必须持续迭代智能化、自动化检测与响应技术,以 AI 自动化操作代替安全人员,实现自动收集、解析数据,并进行综合分析和自动化处置。可以预见的是,未来自动化与智能化将会成为 XDR 的核心指标,也具备了可实现的可能性。
同时,原生 XDR 解决方案正在向云原生快速转变,也让 XDR 落地变的更加容易。云环境是一个天然的集成点,可以满足 XDR 集中式部署的需求,安全组件与应用程序借此摆脱与物理资源/设备的紧密捆绑,虚拟化的部署进一步强化了安全组件间的弹性与互操作性,也更容易实现数据间的联动分析与处置。
混合 XDR 解决方案也有相应的进步。随着越来越多的安全厂商纷纷抱团成立 XDR 联盟,彼此之间通过技术融合来克服,不同厂商的安全产品之间数据无法互通的弊端,以此提升产品工具的联动效率,实现数据的深入分析以及自动化决策和响应。而当混合 XDR 解决方案的效果凸显后,还会进一步倒推更多的安全厂商加入 XDR 联盟,由此形成良性循环。
由此可见,虽然 XDR 技术当下落地依旧存在一定的问题和弊端,但是业界已经在寻求可实现的路径,并且已经产生一些可预期的效果。
随着网络安全形势日渐复杂,安全运营的底层支撑逻辑将会更加坚挺,并成为推动 XDR 技术快速进化的核心动力。
正因为如此,XDR 技术未来可期。