SOAR技术文章 【转载】XDR 是安全运营的最佳解决方案吗?

jokerface · 2020年10月16日 · 2481 次阅读

XDR 是 Gartner 今年的《Top Security and Risk Management Trends》报告中提到的第一项技术和解决方案。在代表趋势的 Hype Cycle 中,有两个重点的 Hype Cycle 都提到了 XDR 这个关键技术。

图 1:终端安全成熟度曲线 2020

图 2:安全运维成熟度曲线 2020

同时,国外各大厂商也在不断的宣传自己的 XDR 解决方案,包括 Palo Alto Networks、Trend Micro、Cisco、McAfee 等。

此外,在今年 Gartner 线上的 Summit 在主题演讲《Top Trends in Security and Risk Management》中的八大趋势中,第一个也是 XDR,作为 SIEM 和 SOAR 的替代方案出现在主流市场中。

图 3:《Top Trends in Security and Risk Management》中介绍的 Top8 趋势

XDR 演进路线及其定义

XDR 是一种新技术,它的演进路线又是如何呢?提到 XDR,不得不先提及一下 EDR 的发展路径。

图 4:EDR 的发展路径

EDR 首先脱胎于 EPP 这种传统的安全产品,最终在使用机器学习、行为分析、威胁狩猎等领域极大加强了终端上的安全能力。EDR 之前的核心能力还在于杀毒能力,加入了机器学习后作为高级的杀毒能力,再到后面变成了 EDR,着重于检测和响应能力,将来会发展到响应能力的自动化,包括了威胁情报,以及 SOAR 的对接等。

图 5:终端保护工具的演进

其核心能力金字塔跟 CWPP 类似,可以看出来 EDR 的重点区分点在于行为分析、异常检测和响应以及威胁狩猎。底层的能力都是传统 EPP 的范围,包括了杀毒、内存保护、应用控制等功能。

图 6:终端控制措施金字塔

从名字的演进来看,以及厂商的解决方案来看,XDR 跟 EDR 的关系最近,同时终端类型的安全产品也是在事件响应中最重要的产品。但是 XDR 是一种解决方案型的产品,在安全运营体系中加入了一些有实际安全价值的产品中,以此来提高整体的检测和响应效率。

XDR 在 Gartner 的定义是:SaaS 类型的安全威胁检测和响应平台,集成了大量的产品,并统一了相关 license 收费,具体产品功能视厂商而有所不同。XDR 产品主要有三大价值:1. 直接集成安全产品开箱即用;2. 有统一的安全数据归一化和中心化可供分析和查询;3.由于有多种产品的配合和协调,因此可以改进检测的敏感性;4.多产品联动处理改变单一产品的响应过程。XDR 产品的最小集合需要有威胁情报的持续更新,以及需要数据的归一化和中心化处理以便分析和关联。标准化的解决方案需要 SaaS 的存储,图数据库的支持分析,集成相关的安全产品,包括 EDR、防火墙、SEG、CASB、CWPP 等等。

如下图所示,XDR 的概念架构主要集中在终端客户的保护形态上,当然也可以在数据中心保护,IAM 或者是 SASE 的保护上。从下图可以看出,终端客户的保护上需要最上层的一些安全产品,然后是数据的归一化,以及数据湖再到数据关联,从而形成事件响应、自动化、工作流以及 API 的相关价值。当然在数据中心、身份安全以及 SD-WAN 的场景下也可以使用类似的架构来保证其特殊场景的安全。

图 7:XDR 概念架构

XDR 的价值与风险

讲到 XDR 的价值,最直接就是两个:一个就是能够提高安全运营的效率和价值,增强检测和响应的能力,可以通过集成多种安全产品并统一进行安全理解;另一个就是降低安全运营的复杂度。一个统一的解决方案,可以统一在一个产品界面进行安全问题的解决,而不需要每个产品进行单独的对接调整,降低了安全运营的对接成本和使用成本。

讲到这个价值,自然而然就会想到 SIEM 这种类型的产品,他们之间的区别又是什么?XDR 跟 SIEM 最大的区别在于集成模式的部署上以及目的上。XDR 可能自带一个统一界面以供直接集成相关的安全产品,而 SIEM 更多的需要一些单点的产品与其进行定制的对接。XDR 更多的关注与威胁的检测和响应,而 SIEM 更多的在于报警的集中处理和存储以及合规的考虑。

XDR 的厂商本身会拥有相关的安全研究团队,针对于每一种安全攻防技术和产品检测会有深入的研究。然后再集成相关的安全产品来解决这些安全问题,可以使用 SaaS 交付甚至可以使用云原生的架构。但是目前 XDR 的解决方案都是一个安全厂商整体提供的,一般来说都是有比较长的产品线的厂商,从中选取比较有安全运营价值的安全产品形成整体解决方案,包括 Cisco、 Fortinet、 McAfee、Microsoft、 Palo Alto Networks、 Trend Micro、 Sophos、 FireEye 和 Symantec 等厂商。

对于每个厂商来说,要真正实现 XDR 解决方案所宣称的价值都是巨大的挑战。所以在客户自行进行对接时,比如使用 SIEM 来对接每个单点的安全产品,也会出现更大的问题,比如要协调沟通各个厂商。由于每个厂商并不熟悉其他厂商的产品,所以很难做相关的关联分析和联动。鉴于缺乏数据,对于数据缺乏理解,没有归一化,不同产品的数据库也不一致,这就很难打通不同厂商的不同产品,甚至打通一个厂商都有挑战,因此,建设一个有效的 XDR 解决方案还是比较困难的。

另外,对于企业来说,安全运营在以下两个方面始终面临着挑战:一是员工的招聘、培养和留存;另一个是安全运营体系的在威胁检测和响应上的高效。同时这两个问题交织在一起很难解决。

XDR 的核心优势体现在三个层面:1. 改进保护、检测和响应的能力;2. 提高安全运营员工的效率;3. 降低获得有效检测和响应能力的总体拥有成本(TCO)。

在改进保护、检测和响应能力上,可以使用共享的威胁情报联动对每个安全组件进行检测,比如网络和终端的安全组件;也可以将一些低级别的告警合并形成一个高级别的事件;同时通过关联分析和自动化报警确认发现报警;对警告进行相关的分类分级。

在提高员工的生产率上,可以将大量的告警转换为少量需要人工调查处理的事件;提供所有安全组件的能力,让安全调查更加快捷方便;提供更多的响应方式,包括网络和终端等方面的;对于重复的工作可以做到自动化;可以减少对 Tier 1 人员的培训,只需要相关的工作流和管理流程;提供相对高质量的检测方法,并不需要太多的调整。

XDR 解决方案本身的特质决定了这种产品的开箱即用的特性,所以客户一般只在乎是否能够实现实际价值,在交付中并不用考虑跟 SIEM 产品一样要对接各种各样的安全产品,然后还要考虑整体 UseCase 的设计以及关联分析的深度问题。

一般来说,安全市场都是在每个细分行业选择最好的安全产品,而不是选择这种方案型的套装。一个安全产品成熟了,市面上安全产品的领导者就会成为这个市场的定义者。安全行业发展到目前,基础架构的产品趋于成熟,一部分厂商已经拥有了相关的产品组合,所以集成这些安全产品变成了水到渠成的事情。同时利用大数据和机器学习又可以很好地提升安全能力。

在每个品类中采购最好的产品的思路会导致安全产品太多,但是很少有集成和联动。安全报警会过多,经常会无人值守,也没人经常性地去调整策略或者测试其有效性,升级一般也比较滞后。传统的企业的结合点在 SIEM 上,但是 SIEM 的优势在于收集日志,但是很少能改进检测的效率和真实性,也很少用到上下文分析和相关安全产品的关联分析。所以,对于企业来说,开发 SIEM 的 Use Case 以及深度和丰富的集成异构环境的产品是很难的事情。

XDR 这类解决方案型产品就是应对这些挑战而出现的。XDR 降低了对接各个厂商的成本,同时就可以开箱即用一些现成的安全事件剧本;也可以让一些务实的企业不用采购每个细分行业的最佳产品,而是直接打包一个产品来提高整体的安全运营效率。

XDR 的核心能力要求有两个:一个是使用大数据技术,可以进行数据的收集、归一化、索引、搜索等等;另外一个能力使用多种检测技术,将每个安全技术检测点进行结合放大,把报警归结为事件。

XDR 这类解决方案的产品目前还处于初期阶段,后续的发展演进路线可能出现风险。比如事件管理的基础问题就是新的事件源和数据量不断增加,所以会导致更复杂的分析、集成、检测和响应,XDR 只能改进这个状况,并不能解决这个问题。XDR 可能会导致对单一厂商过度依赖,会导致厂商锁定,也有可能牺牲某些组件的能力,而不能选择某个品类中最好的厂商。XDR 可以提高效率,但是有可能牺牲一些能力。虽然集成了一些安全组件和能力,并不见得可以解决某些深度的安全问题。XDR 的厂商一般只会提供自家的产品,但是产品是否有效就不见得,XDR 可能变成一个集成方案而不是真正有价值的产品。提供 XDR 的厂商一般都是大厂商,一般来说演进速度要慢于创业公司,尤其是某个品类中的最好的公司。为了保证领先性,还需要通过收购或者集成的方式来保证竞争力。XDR 厂商同样有一些盲点,需要集成其他安全厂商的产品,所以要考虑盲点的问题,来解决安全场景 100% 覆盖。一些新兴的 SIEM 或者 SOAR 厂商在集成某个门类中最优秀的产品来形成解决方案,这对 XDR 产品有极大的冲击。这种叫做 OTT 的安全能力,比如 SOAR 的一些新兴厂商就使用这种杠杆来实现这种效果。XDR 的采购周期一般会比较长,可能企业安全负责人的任职周期都没有采购周期长,这可能会影响 XDR 产品的成功。

厂商的解决方案

下文将介绍厂商的一些评估标准。

  • Hunters.AI

Hunters.AI 在介绍自身时是说开放的 XDR 解决方案,并能够利用丰富的终端、网络和云端的数据进行自动的威胁狩猎。这是一家专业的 XDR 厂商,重点在于强调其威胁狩猎能力。

图 8:Hunters.AI XDR 产品界面

这张产品截图说明了很多问题,最上面 Raw Events 主要是指收集的终端、网络、云端以及身份认证的数据,Leads 条目可以理解为一些潜在的线索,Hot Leads 是比较重要的线索也是经过 AI 算法或者做了优先级排序得到的相关数据,Hot Stories 可以按照事件的时间、地点、路径、上下文等相关信息把威胁进行串接,形成一个完整的安全故事。这个产品最核心的能力就是自动化威胁狩猎发现所有其他安全产品无法发现的安全问题。产品实现分为四步走:第一步收集相关的数据,包括终端数据、防火墙数据、云平台数据、身份认证数据、甚至是 wifi 数据,可以通过各种方式包括 syslog 或者 API 的方式进行对接。第二步做自动化的调查分析以及威胁狩猎,使用威胁情报,以及 TTP 的相关行为,主要基于 MITRE ATT&CK 框架进行分析,使用机器学习,最终也对事件进行分级排序。第三步做相关的关联分析以及可视化表示。根据相关威胁的关联性,包括时间维度、位置、威胁上下文、IP 等信息进行聚合,并利用图数据库来表示威胁的前因后果,可以按照完整的 “安全故事” 呈现出来。最后一步就是将分析的结果对接给 SIEM 或者 SOAR 这些产品,可以进一步归总或者进行相关的响应。

  • Palo Alto Networks

PA 的 XDR 解决方案也集成了网络、终端和云端的各种数据,基于存储和分析的能力,对外提供威胁发现和狩猎,以及自动化调查和威胁响应。

图 9:XDR 打破了检测与响应的传统竖井

XDR 中的 X 被 PA 解读为各种数据来源。根据 PA 多年的积累以及与所收购的各类公司的良好集成,PA 的 XDR 解决方案包括了 SIEM、UEBA、NTA 和 EDR 等产品,能够很好的集成在一个解决方案中,打破了之前的每个产品都是一个竖井的情况。按照自适应架构最终形成了闭环,从保护、检测、调查、响应四个阶段都能有相关的数据、功能得到实现。

图 10:XDR 不断进行自适应调整,增强防御能力

根据 PA 对 XDR 的理解,XDR 常见的使用场景包括:威胁分级、威胁调查和威胁狩猎。在威胁分级方面,又包含 5 个步骤的动作:第一步是评估,包括外部报警、集成在 SIEM 中的报警、也包括内部的报警,主要是一些安全产品的报警,去确定是否是潜在的威胁行为;第二步是优先级排序,对这些报警进行自动分组进而变成安全事件,对于这些事件进行安全优先级排序,以便于安全分析师进行进一步分析;第三步分析,分析师可以进行可视化攻击链分析,这点是核心能力表现。第四步信息富化处理,根据攻击链的需要,需要更多的上下文以及不同设备的数据,所以需要更多的相关攻击信息上下文,可以做到根本原因分析;最后一步是验证,根据上述所有步骤的自动化,可以极大减少分析人员的手动行为,分析人员只用在信息富化的环节参与,可以将大量的事件投入在如何响应的环节,考虑如何缓解威胁等。

图 11:使用 XDR 实现攻击链可视化

为了减少手动的调查威胁的事件,XDR 可以加速这个过程,比如查询报警、查询威胁情报、查看相关网络相关细节等。如果在传统的方式下,需要手工的收集,在脑子中将这些信息进行聚合,并且要花费大量的时间。XDR 可以自动化这些过程,并且分析出根本原因,并且进行攻击的时间线绘制。

威胁狩猎也是 XDR 重点解决的高级威胁问题。威胁狩猎根据内容的驱动不同分为:基于情报、基于知识、基于经验、基于合规、基于机器学习这五大类威胁狩猎能力。威胁狩猎一般都是针对于高级威胁而进行的人工动作,在这里可以自动化的通过产品进行分析。

  • Trend Micro

趋势科技也较早在全球范围内推出了 XDR 的解决方案,其口号是 “看到你之前错过的”。根据收集自身相关产品的相关安全事件,包括了云工作负载、终端、邮件、网络的信息,收集到所谓的数据湖中,在此之上进行自动化的检测、威胁狩猎、根本原因分析等,可以将这些结果数据对接给 SIEM 或者 SOAR,同时也可以搭配相关的安全服务以便于此种类型的产品体系的良好运营。

图 12:趋势科技的 XDR 服务

其解决方案的重要突出特点是脱离仅仅一个视角,进行关联的检测和集成的调查和响应。XDR 将分析的结果报警发送给 SIEM,如果 SIEM 对这种高可信度的报警需要进一步的分析,需要在 XDR 的分析界面进一步调查,并采取相关动作。同时可以利用趋势科技的威胁情报资源对 XDR 进行赋能。很多的检测技术是参照 ATT&CK 的攻击战术和技术来进行检测技术的提升和覆盖。

  • Cynet

Cynet 是一家从事 EDR 的以色列公司,同时也有其 XDR 的方案,其 XDR 的方案会与 SOAR 和 MDR 的服务一块表述,统一叫做自动化泄露保护平台。从下图可以看出其 XDR 的解决方案有 EDR、UBA、NTA 和蜜罐,基本的产品矩阵跟上述类似,唯一的区别就是用户层面的保护和蜜罐。

图 13:Cynet 自动化泄露保护平台

根据这些产品组合和统一化分析,Cynet 可以做到的也是根本原因分析以及攻击时间轴表示。

图 14:Cynet XDR 产品界面

其 XDR 带来的价值包括提高威胁的可见性和精确性,综合相关威胁的指标,有些威胁可能由大变小,有些威胁可能由小变大;同时可以降低很多威胁噪音。另一方面的价值在于提高效率,自动化降低误报的几率,让人员充分关注真正的威胁,从而让人员的效率得到了极大地提升。还有一方面就是降低成本,Cynet 提供的服务都是免费的,同时其产品综合了一揽子安全产品,比单点采购要便宜一些。最后一个角度是,对于安全运营人员来说就是睡个好觉,这主要是通过 7*24 的服务体现的。

还有很多其他公司的 XDR 方案也集成了其自身的安全产品,进行了相关的威胁的检测和响应的组合。

总结

XDR 作为新的解决方案出现也就是近一两年的事情,但是在国外其已经得到了主流客户和主流咨询机构的认可,这也侧面印证一些其自身价值。XDR 这种解决方案主要是面临实际的威胁检测和响应而存在,之前 EDR 仅仅解决了终端上的检测响应,但是其他层面解决的较少,所以才出现了 XDR 这种综合的威胁检测和响应平台。这种解决方案的价值主要存在于,可以打破壁垒,可以将安全产品天然融合在一起,可以产生 1+1>2 的效果,将终端、流量、认证、邮件等相关安全产品的报警集成在一起,可以关联分析。同时可以降低实际的采购成本和拥有成本。还有重要的一点就是可以提高个人和组织的综合效率。

这些特点都是针对于 SIEM 这种产品进行对标表述的,可能 SIEM 实际的中心地位会受到 XDR 这种产品的挑战,SIEM 的部署成本极高,需要对接每个安全产品,同时进行关联分析,需要了解每个产品的报警属性,变相增加了产品拥有成本,也让这种每种都采购最好的安全产品集成的采购成本居高不下。同时 SIEM 形成的 SOC,也会分 Tier1、Tier2、分析师等角色,存在大量报警需要人员进行确认,需要安全运营人员花费大量时间处理简单而繁琐的事件甚至是误报。

其实短期内不存在 XDR 代替 SIEM 的情况,大部分 XDR 的解决方案都将其报警对接给 SIEM,然后 SIEM 接收到的其他报警也可以通过 XDR 进行进一步分析。两者目前还是配合状态,SIEM 还是发挥其报警归并、日志存储等基本核心功能。

XDR 也有其自身的局限性,比如一般来说都是单一厂商提供的解决方案,基本都是全家桶性质的,这个要做好区分,必须能够实际带来威胁检测和响应的特殊场景和效率的,更进一步说必须要提高安全运营的效率和效果。也可能会有供应商锁定的情况,同时采购周期一般也会比较长,需要有远见并有长期规划的单位才适合。

XDR 在国外已经有一些供应商提供了相关的解决方案,可以作为一些参考,其核心解决方案的产品也有一定的共性。攻击链可视、根本原因分析以及威胁狩猎都是此类解决方案的核心场景。XDR 这种解决方案在国内的落地可能还有一段的距离,但是可能是未来安全运营的一种思路和解决方案,但是不是最佳解决方案,具体要看实际情况。

本文转载于微信公众号:安全喷子

  • 原文链接:(https://mp.weixin.qq.com/s/5enE8cWGNRl0iKXl11HIRw

  • 声明:本文来自安全喷子,版权归作者所有。文章内容仅代表作者独立观点,不代表本人立场,转载目的在于传递更多信息。如有侵权,请联系 2769905554@qq.com。

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册