如今,变化的安全挑战、多态的 IT 架构、复杂的建设需求、严苛的合规审查……,甲方心力交瘁,乙方疲于奔命。传统安全产品交付模式,投入大、成本高、难维护、效果差,完全无法应对。
网络攻击的增长导致合规要求更加严格。法案、标准、监管——所有的这些都需要组织来实现一组全面的安全控制,包括监测、审计和报告,所有这些都促进了 SIEM 系统。有近二十年的时间,安全信息和事件管理 (SIEM) 平台是唯一可以帮助安全团队集检测、调查和响应为一体的解决方案。
不幸的是,随着时间的推移,SIEM 面临着一系列挑战。虽然 SIEM 曾经足够好了,但它们在预防、检测和响应不断增长的攻击面的威胁方面不再那么有效。此外,SIEM 工具以价格昂贵、部署具有挑战性以及操作和维护繁琐而著称。
后来,许多机构在 SIEM 的基础之上,通过安全编排、自动化和响应 (SOAR -Security Orchestration, Automation and Response) 解决方案聚合来自端点、电子邮件、云和其他系统的警报以提升其能力。SOAR 解决方案支持自动化、编排和其他分析工具,从而可以集中管理与潜在威胁相关的关键信息。但 SOAR 也伴随着高成本和复杂性,需要一个很成熟的安全运营中心 (SOC) 来实施并维护其与合作伙伴的集成和剧本。
SIEM 和 SOAR 等解决方案在当今的网络安全环境中已达到其极限,在预防、检测和响应不断增长的攻击面的威胁方面不再有效。因此,机构正在转向扩展检测和响应 (XDR) ,以统一整个企业的威胁检测和响应。事实上,60% 的机构计划在未来 12 个月内实施或进一步增加 XDR 的使用。
但是这些解决方案之间有什么区别呢?哪个适合自己的组织?
什么是 SIEM?
SIEM 不是一个单独的工具或应用程序,而是一组不同的构建块,它们都是系统的一部分,它是一个由多个监视和分析组件构成的安全系统。SIEM 没有标准的 SIEM 协议或已建立的方法,包括了聚合、处理和标准化、关联、呈现、缓解和修复等五项元素。
SIEM 负责收集、汇总、分析、存储和报告自整个组织的大量日志数据,用于事件响应、取证和合规性,旨在帮助组织检测和减轻威胁。虽然首字母缩略词 SIEM 是 Gartner 在 2005 年首次创造的,但 SIEM 的基础功能已经存在更长时间了。早在 1990 年代,有远见的机构就认识到他们需要将不同源的安全日志整合到一个系统中,以便分析和满足合规性要求。
SIEM 工具聚合日志数据,从分布式自动收集和处理信息来源,并将它集中存储,为 SecOps 团队提供了统一的遥测资源。它还可以保留用于取证和合规目的的数据,并进行不同事件之间的关联,跨系统查询数据以进行威胁检测和调查,并根据这些信息生成警报和报告,以及提供仪表盘等,以帮助 SecOps 员工按需监控环境,满足审计要求。
然而,SIEM 工具需要大量的微调和努力来实施,安全团队也可能被来自 SIEM 的大量警报所淹没,导致 SOC 忽视关键警报。此外,即使 SIEM 从几十个来源和传感器捕捉数据,它仍然是一个被动的分析工具,发出警报。
什么是 SOAR?
安全自动化是安全操作相关任务的自动处理,包括管理职责和事件检测与响应。安全自动化使安全团队能够随着工作负载的增长而相应扩展其能力。安全编排是一种连接安全工具和集成不同安全系统的方法,是简化安全流程和支持自动化的连接层。目前有 66% 的分析工程师认为他们的一半任务可以自动化。出于这个原因,一些机构转向了 SOAR 平台。
SOAR 通常被用作为 SIEM 系统的扩展,可以提供剧本将分析师常用工作流程自动化,并可帮助实施 “安全中间件”,允许不同的安全工具进行通信。SOAR 通过丰富数据、改进警报分类和自动执行重复性任务来改进 SOC 流程。
但是,SOAR 很复杂,成本很高,需要一个高度成熟的 SOC 来实施和维护合作伙伴的集成和操作手册。
什么是扩展检测和响应(XDR)?
XDR 是一种安全产品集成套件,能够全面跨越混合型 IT 架构(涵盖局域网、广域网、基础设施即服务乃至数据中心等),实现威胁预防、检测与响应等要素的互操作与协调功能。换句话说,XDR 正努力把控制点、安全遥测、分析与操作整合到统一的管理系统中。
安全行业正经历着转向 XDR 这个新型解决方案的过程。因为 XDR 聚合了整个企业的安全数据,所以有些人可能会认为它只是 SIEM 的进化版本。但事实却是 XDR 远远超出了传统 SIEM 的特征,它通过更有效的安全能力、更快的工作流程、更好的事件管理和更高的可见性提供了有形价值。
XDR 一词于 2018 年首次引入,指的是新一代安全解决方案。分析公司 Gartner 将其描述为 “威胁检测和事件响应工具,将多种安全产品原生集成到一个有凝聚力的安全操作系统中”。XDR 中的 “X” 代表对整个 IT 生态系统保护的集成和扩展,从而比以往任何时候都更进一步地 “扩展” 了保护。XDR 的前身是端点检测和响应 (EDR),EDR 专注于监控和保护组织机构免受端点威胁。随着数据越过边界,XDR 有必要将保护范围扩展到网络、服务器、云以及端点。
XDR 承诺以开箱即用的自动操作快速应对各类繁琐枯燥的安全任务。在这方面,我们也可以把 XDR 理解成一种低成本的交钥匙型安全协调与响应(SOAR)解决方案。
XDR 能提供高级检测、快速响应和直观的自动化,可满足大多数客户的需求,而无需 SIEM 不可预测的定价或第三方 SOAR 解决方案的额外成本。通过将多个安全工具整合到一个威胁检测和响应平台中,XDR 缓解了管理多个独立解决方案所需要的时间、精力及格外的复杂性。
比较 SIEM 、SOAR 和 XDR
SIEM 非常适合收集和分析大量日志和其他数据。对 SIEM 进行了大量投资的机构可能仍会选择将其用于合规性和审计的目的——尤其是在金融和医疗保健等面临严格监管审查的行业。但是 SIEM 技术是在 2000 年代中期首次引入的,当时的威胁形势与现在大不相同。虽然 SIEM 曾经满足过当时的需要,但面对不断增长的攻击面威胁,它在预防、检测和响应不再那么有效了。
SIEM 用户面临着一系列的挑战,包括不可预测的成本、过多的噪音以及有限的检测和响应能力。运行 SIEM 需要高度专业化的工作人员,不仅需要构建 SIEM,还要开发检测分析功能。对于想要完善其安全程序并提高其对攻击做出反应和响应能力的公司而言,XDR 是一种更具成本效益且量身定制的解决方案。
XDR 可以作为一个互连系统,使环境中的各个方面都获益于威胁情报,而不会带来任何共担风险或格外成本。XDR 可以对目标攻击提供更有效的检测和响应,包括对行为分析、事件响应、威胁情报和自动化的原生支持。
SOAR 解决方案将 SOC 核心流程自动化,从而只需要更少的资源和时间实现更高效的响应。增加的效率帮助机构减少了平均响应时间 (MTTR - mean time to respond)。而快速响应可减少滞留时间,快速遏制入侵者,限制攻击的影响。SOAR 对 SIEM 有很大价值的补充。
相比之下,XDR 内置威胁检测、调查和响应 (TDIR) 用例包,提供了规范工作流和数据源、检测模型、监视列表、调查清单和响应等内容。XDR 能够提供高级检测、快速响应和直观的自动化,可以满足大多数客户的需求,而无需增加 SOAR 解决方案所带来的成本。XDR 自动关联、确定优先级和验证警报,使安全团队能够高效地处理最紧迫的威胁。它还提供内置的安全调查工作流程和自动化剧本,有助于简化调查并加快响应行动。简而言之,XDR 超越了端点,旨在成为 "SOAR-lite":一个简单、直观、零代码的解决方案和轻量化工具,提供从 XDR 平台到连接安全工具的可操作性。根据来自更多产品的数据做出决策,并可以通过对电子邮件、网络、身份和其他方面采取行动,在你的堆栈中采取行动。除此之外,XDR 还可有效降低长期折磨安全人员的大量警告噪音,减轻手动工作的负担并节省分析师的宝贵时间。
XDR 目前仍是一个新兴的安全领域,结合了安全信息和事件管理 (SIEM)、安全编排自动化和响应 (SOAR)、端点检测与响应 (EDR) 以及网络流量分析 (NTA),集中安全数据和事件响应,是一种跨多个安全层收集并自动关联信息以实现快速威胁检测的方法。XDR 平台旨在解决 SIEM 工具的挑战,以有效地检测和应对目标攻击,包括行为分析、威胁情报、行为剖析和分析。此番行动不禁让大家联想到,SIEM 是否会就此转向 XDR。而 XDR 和 SIEM 并不是融合,而是相互碰撞。XDR 目前并不能取代安全分析平台或安全信息和事件管理 (SIEM) 解决方案,目前还是一个共存的局面。而安全分析平台可以帮助 XDR 增强威胁检测能力。
SIEM、SOAR、XDR 的比较如下:
XDR 的快速发展,SIEM 领域终于有了真正的竞争对手,这对于 SIEM 厂商来说既是挑战,也是机遇,因为安全行业最能够拉开差距的就是技能方面的差异。