SOAR技术文章 【转载】Gartner:EDR 和 XDR 成为终端安全热点

jokerface · 2020年11月11日 · 172 次阅读
Gartner 2020年终端安全成熟度曲线:针对终端的攻击持续增长推动了技术创新,终端检测响应与扩展检测响应成行业热点。

一、概述

知名信息技术咨询公司 Gartner 发布的 2020 年度的终端安全成熟度曲线(如图 1 所示)显示:终端安全领域的技术和实践正遭受着两个趋势的影响:终端攻击的持续增长和远程工作的骤然激增。

安全领导者不仅需要防范和避免各种终端攻击和泄露事件,还需要确保远程访问的安全、高效以及用户体验良好。在此情况下,终端安全领域的相关技术也随之不断发展和演化,一些技术逐渐走向成熟以应对新威胁,一些技术却销声匿迹。

终端安全成熟度曲线能够帮助安全领导者追踪终端安全领域的创新技术和实践,对于安全领导者应对终端安全的问题和挑战具有重要参考意义。

图 1:2020 年终端安全成熟度曲线

首先,终端攻击的持续增长推动了终端安全技术的创新。

终端安全从业者不断改进和自动化威胁的狩猎、检测和修复,EDR(Endpoint Detection and Response)和 XDR(eXtended Detection and Response)成为焦点。

具体来说,为了应对高级攻击,需要关联来自终端和其他位置的数据进行威胁狩猎,XDR 因而首次进入了成熟度曲线。与此同时,EDR 和 EPP(Endpoint Protection Platform)越来越成熟,并被越来越多的采用。最新概念 UES(Unified Endpoint Security)结合了 EDR、EPP 和 MTD(Mobile Threat Defense)等技术正式进入成熟度曲线。

为了专门应对网络钓鱼攻击,BEC(Business Email Compromise Protection)今年进入了成熟度曲线。SWG(Secure Web Gateways)虽然是一种基于网络的技术,但对于防止针对终端(尤其是云终端)的攻击至关重要,被越来越多的组织采用。值得注意的是,大多数处于期望膨胀期(Peak of Inflated Expectations)的创新技术都涉及多通道或多系统的安全性。例如,UES 一个涉及安全工作站、智能手机和平板电脑的单一产品;XDR 并不局限于终端,而是将多个来源(如网络)的信息组合起来以检测威胁。

其次,远程工作的骤然激增使得远程访问安全摆在更加优先的位置。当前远程工作的相关技术已完全成熟,如 VPN、CASB(Cloud Access Security Brokers)、BYOPC(Bring your own PC)、UEM(Unified Endpoint Management)和 DaaS(Desktop as a Service)等,这些技术又重新引起企业和组织的重视。长期来看,ZTNA(Zero Trust Network Access)及其演化 SASE(Secure Access Service Edge)更有前景。且 SASE 处在今年成熟度曲线高峰期,是终端安全成熟度曲线中的一项变革性创新。SASE 允许任何终端以受保护的方式通过任何网络访问任何应用程序。安全领导者应该开始实施一项战略促使 ZTNA、CASB 和 SD-WAN 一起融合,形成 SASE 的长期成果。

此外,新趋势也使得一些技术被取代或演化为更加通用的技术从而销声匿迹。例如,浏览器保护技术在很大程度上已经成为 UEM 的一个特性;移动设备的 DLP 并没有按预期实现,而是被 UEM 提供的容器所取代或者作为 CASB 套件中集成的 DLP;MDR(Managed Detection and Response)虽然在安全领域仍然非常有用,但已成为 EDR 解决方案和较新的 XDR 解决方案的一个功能;UEBA(User and Entity Behavior Analytics)使用的技术已经嵌入到 EDR 等其他技术中;面向网络的物联网安全技术是大势所趋,但很大程度上受限于遗留物联网设备的糟糕状况而止步不前;内容协作平台(Content collaboration platforms)对数据泄漏保护很重要,但是创建和维护一个协作环境,并没成熟的技术支撑;随着远程工作的发展,BYOPC 已经取代了 BYOD(Bring Your Own Device)。

二、技术成熟度分析

成熟度曲线包括创新启动期(Innovation Trigger)、期望膨胀期(Peak of Inflated Expectations)、幻觉破灭期(Trough of Disillusionment)、稳步爬升期(Slope of Enlightenment)和生产高峰期(Plateau of Productivity)等 5 个主要周期。

2.1 创新启动期

创新启动期意味着技术的突破、公开演示、产品发布或其他活动会引起媒体和行业的极大兴趣。统一终端安全(Unified Endpoint Security,UES)、扩展检测和响应(Extended Detection and Response,XDR)和商业电子邮件泄露保护(Business Email Compromise Protection,BEC)处于该阶段。

UES 集成了 EPP、EDR 和 MTD 的主要特性,基于单个控制台跨所有终端设备进行威胁分析,通过跨数据分析检测以前未发现的威胁。UES 满足了 IT 对所有安全事件采用单一控制台进行集中控制的需求,新冠疫情加速了这种需求。与之前的 UEM 市场一样,UES 需要几年时间才能成熟并获得认可。未来的市场属于那些能够从安全和运营的集成中获得显著生产力且能够快速处理大量数据以检测先前未知威胁的供应商。

XDR 是一个供应商专门的威胁检测和事件响应工具,将多个安全产品统一到一个安全运营系统中。XDR 在功能上与 SIEM 以及 SOAR 工具相似,区别在于其具备在部署时集成特定供应商产品的能力,更加聚焦威胁检测和事件响应。新兴的 XDR 产品主要由具有基础设施保护系列产品(例如,EDR、CASB、SEG、SWG、防火墙、IDS、身份基础设施)提供能力的供应商销售。更高级的 XDR 产品仍处于开发阶段,试图建立集成身份、数据保护和应用程序访问的堆栈。这些高级产品充满风险,对于 XDR 的过度保证可能会导致对单个供应商的过度依赖,最终只会有一小部分供应商能够真正提供 XDR,并且大型供应商在应对新威胁方面往往比同类最佳的初创公司慢得多。

BEC 保护用来检测和过滤冒充业务伙伴进行资金或数据诱导的恶意电子邮件。BEC 检测往往采用机器学习和自然语言处理技术,尽管这些技术很成熟,但在电子邮件安全特别是 BEC 保护方面的应用才出现几年,往往局限于预警用户,易产生 “告警疲劳” 问题。目前的采用率很低,随着技术的成熟,其将成为电子邮件安全解决方案的一部分,而不是一个独立的补充产品。

2.2 期望膨胀期

期望膨胀期意味着技术正处于过度热情和不切实际的设想阶段,随着技术被推向极限,技术领导者们采取了一系列广泛宣传活动并带来了一些成功,但更多的是失败。自带个人电脑安全(Bring your own PC,BYOPC)、安全访问服务边缘(Secure Access Service Edge ,SASE)处于该阶段。

BYOPC 允许员工使用个人自主选择的客户端设备来访问企业应用程序、服务和数据。虽然新冠疫情使得 BYOPC 广泛采用,但是 BYOPC 因未管理、未匹配和受感染的用户设备而构成严重的潜在安全威胁,需要立即采用新的工具来保护能够访问数据和应用程序的设备安全。

SASE 用来支持分支机构和远程工作者访问。SASE 是由企业数字业务转型驱动的,发展潜力巨大,但尚处于市场开发的早期阶段,供应商正在积极地进行营销和开发。尽管 SASE 术语相对较新,但架构方法已经部署了至少两年。随着用户、设备和服务离开传统的企业边界,网络和网络安全的模式逆转将彻底改变网络和网络安全作为一种服务的竞争格局。真正的 SASE 服务是云本地化的,具备动态可伸缩、全球可访问的特点,通常基于微服务和多租户。

2.3 幻觉破灭期

幻觉破灭期意味着技术还达不到其过度膨胀的预期,并且很快变得过时,媒体的兴趣逐渐减弱。应用程序内保护(In-App Protection,IAP)、浏览器隔离(Browser Isolation,BI)、一线工作人员的设备终端安全(Device Endpoint Security for Frontline Workers,DESFW)、虚拟移动基础设施(Virtual Mobile Infrastructure,VMI)、桌面即服务(Desktop as a Service,DaaS)、统一终端管理(Unified Endpoint Management,UEM)、移动威胁防御(Mobile Threat Defense,MTD)、零信任网络访问(Zero Trust Network Access,ZTNA)处于该阶段。

IAP 是指在应用程序中实现的保护,用于检测和防范恶意数据过滤、入侵、脚本注入、篡改和逆向工程等攻击。随着移动设备和移动应用程序的不断发展,网页也越来越多地与移动设备相连,IAP 所采用的加固技术已经成熟,但需要适应这些新的设备以及操作系统;日益增长的用户需求使得供应商将重点放在反篡改保护上,然而防篡改技术较新,成熟度较低;现代 web 应用程序保护吸引了更多关注,使得 IAP 技术成熟度最近有所下降。但是,随着攻击也越来越突出,以及开发人员越来越意识到 IAP 解决方案的可用性,采用率将会越来越高。

浏览器隔离是将浏览过程与最终用户系统紧密分离,用来保护应用程序、系统、网络及资源免受浏览器攻击。大多数组织采用浏览器隔离技术方面进展缓慢,而是使用 SWG 形式的 URL 过滤来保护用户和设备免受互联网的危害。此外,浏览器隔离采用了会话隔离技术,但是最近激增的勒索软件攻击仍能通过并实施攻击。

DESFW 为专门构建的设备及其用户提供保护。当前,许多一线员工采用了完全受控、专门制造、锁定和加固的移动设备,给设备更新和补丁维护带来挑战,使得一些企业和组织在移动应用程序周围探索具有保护功能的个人设备。但是,这些设备比完全受控的设备提供控制更少,并可能使组织面临数据泄漏或其他恶意攻击。此外,一些企业和组织尝试让一线员工能够访问云 SaaS 应用程序,可能会面临额外的云安全风险。

VMI 用来提供对企业移动工作区的应用程序和数据的远程访问。VMI 提供对企业信息的安全访问,用户可以快速登录和注销帐户,而无需在设备上留下数据,将数据丢失风险降至最低。但是,VMI 的虚拟化技术在适配 iOS 和 Android 等移动操作系统时存在一些局限性:1)提供有限的离线功能,需要可靠的高速连接才能运行;2)不能使用 Google Play 服务;3)提供了有限的实时使用本地设备传感器的应用程序的能力,如扩展现实和沉浸式计算应用程序。

DaaS 为用户按需提供虚拟的桌面体验。企业长期以来都对采用 VDI(Virtual Desktop Infrastructure,虚拟桌面基础设施)感兴趣,但技术复杂性和高投入使 VDI 的实施变得困难。依靠服务提供商来承担平台扩展的风险并提供大规模计算服务,并在此基础上交付应用程序,对于企业和组织才是有吸引力的选择。另外,新冠疫情加速了 DaaS 的采用。新冠疫情使得场地工作由于数据中心访问和基础设施供应链的问题而停滞,而 DaaS 能够快速实现远程工作,具有价值和业务连续性优势。未来,即使当员工返回办公室时,DaaS 也可能会作为一种交付架构继续存在。

UEM 已经超越了对 PC 和移动设备的管理,通过终端分析、身份和访问管理以及 UES 工具深入集成,提供更深入的洞见。除了 UEM 基本功能外,许多供应商也在扩展产品以实现差异化。尽管一些客户接受了 UEM 工具和现代操作系统管理,但大多数组织仍将 UEM 视为未来几年中需要解决的一个路线图项目,例如,使应用程序堆栈现代化以消除关键应用程序对特定平台、特定浏览器或运行时环境的依赖,整合移动和终端管理团队以消除采用 UEM 的政治障碍,提高员工技能以了解如何使用 UEM 技术解决 CMT 的关键功能。UEM 的成熟度曲线正在下滑,但对 UEM 的兴趣仍然强烈,并且是案例驱动的,因企业和组织都发现了管理现代化所需的重要过程和技术变化。

MTD 保护组织免受 iOS 和 Android 移动设备上的威胁。大多数情况下,企业和组织将 MTD 与 UEM 集成来提高安全性。现在越来越多的组织在非托管设备上使用 MTD,如 BYOD 场景中,主要是由移动网络钓鱼、移动终端检测和响应(EDR)、应用程序审查和设备漏洞管理等用户案例驱动的。MTD 已经达到一定的成熟,适合广泛的企业采用,但是当前采用速度比较慢,业界一直在等待高度可见或公开的移动漏洞尚未出现。在构建 UES 产品时,通过 EPP 供应商提供 MTD 会更容易采用。MTD 在经历一段时间激烈创新之后,创新速度有所放缓。除了应对不断发展的移动恶意软件变种之外,还需改善设备上的 MTD 用户体验。

ZTNA 在应用程序或其集合周围创建基于身份和上下文的逻辑访问边界。ZTNA 早期市场产品更多涉及市场准入,需要新的、更完整的产品才能支持更广泛的应用程序和协议。随着越来越多的企业和组织在转向远程工作,基于硬件的 VPN 显示出了局限性。而 ZTNA 能够支持灵活的 VPN 访问、支持本地和云中对应用程序进行精确访问以及对会话进行控制,引起和企业和组织的广泛兴趣。ZTNA 供应商继续吸引风险投资资金,促使更多的新创企业进入日益拥挤的市场,寻求差异化的途径。并购活动正在 ZTNA 市场上进行,几家初创企业供应商已经被更大的网络、电信和安全供应商收购。

2.4 稳步爬升期

稳步爬升期意味着技术被越来越多企业和组织实践,人们真正了解了技术的适用性、风险和好处,并且技术的开发过程因商业化的方法和工具而简化。数据清理(Data Sanitization)、安全即时通信(Secure Instant Communication,SIC)、终端检测和响应(Endpoint Detection and Response,EDR)、安全 Web 网关(Secure Web Gateway,SWG)、云访问安全代理(Cloud Access Security Brokers,CASB)、企业数据通信安全(Secure Enterprise Data Communications,SEDC)处于该阶段。

数据清理是有目的、永久的且不可逆转的删除或销毁存储设备上的数据,使其不可恢复。随着存储介质容量不断扩大以及边缘计算和物联网设备数量不断增加,人们对数据隐私和安全性、泄漏、合规性遵从的担忧,使数据清理成为所有 IT 组织的核心级要求。全面的数据清理要求将适用于所有具有存储功能的设备,如企业存储和服务器、PC、移动设备,以及越来越多的边缘计算和物联网设备。如果企业和组织缺乏这种鲁棒的数据清理能力,通常是因为将资产生命周期阶段作为孤立事件对待,财务、安全、采购和 IT 之间缺乏协调。对于移动设备,远程数据擦除功能通常通过 MDM(Mobile Device Manager,移动设备管理器)实现,尽管这种远程功能不应被视为故障安全机制,但对于大部分丢失或被盗的移动设备,可靠性足够。

SIC 为即时通信形式(如即时消息、文本消息、语音和视频通信)提供保密性和数据保留,支持智能手机、平板电脑和个人电脑等多种类型设备。SIC 大多作为设备上的应用程序实现,能够在数据通道上使用加密。SIC 已经随着底层移动操作系统的成熟而成熟,能够满足网络性能、电池消耗以及密钥管理和加密的要求。为了能够与主流企业通信企业竞争,用户体验是接下来需要改进的主要方面。数据保留功能因支持法规遵从性的监视和归档以及确保安全的即时删除,变得越来越重要,甚至开始作为集成到第三方即时通信应用程序,如微信和 WhatsApp。

EDR 能够用来检测和调查安全事件、阻断攻击。EDR 是任何终端安全策略的主要模块,并不局限于成熟的安全运营组织。EDR 的采用越来越多是因为高级威胁越来越多以及 EDR 产品内置自动化、编排和功能管理的能力不断提升。EDR 的相关特性正在越来越多地集成到更通用 EPP 中,如通过增加基于行为的检测和基本威胁狩猎功能。同样地,EDR 也在融合其他产品特性,如在其核心检测和响应功能中增加了保护功能。在未来两三年内,云交付的终端安全解决方案将取代传统的本地(主机服务器)架构,进入主流市场。一些厂商正在将网络遥测、电子邮件和 Web 安全产品结合起来,进行数据富化从而增强检测能力。XDR 实现了与其他安全工具的集成,正利用高级分析来识别未知威胁并揭示战术和技术,提供更高的检测效率。

SWG 利用 URL 过滤、ATD(Advanced Threat Defense,高级威胁防御)和恶意软件检测技术强制执行互联网策略遵从性并保护企业和组织的网络安全。随着云计算服务的发展,SWG 已经发展到了启蒙阶段,基于云的 SWG 服务的查询量超过基于设备的 SWG 的查询量四倍多。SWG 的市场前景乐观,企业和组织继续从云安全服务提供商寻求更通用的安全服务。随着供应商将 CASB、ZTNA、RBI(远程浏览器隔离)等服务添加到其可用产品列表中,SWG 市场将继续发展。

CASB 为 SaaS 和 IaaS 中的可见性、数据安全、威胁保护和合规性评估提供云治理控制。,供应商之间应用一致的策略,提供功能丰富的产品,增加了云的可见性,CASB 已经成为采用云计算技术的企业和组织的普遍选择。但不同供应商之间的产品差异化越来越小,一些供应商努力超越 SaaS 治理和保护,开始支持 IaaS 应用程序自定义、CSPM(云安全态势管理)以及 UEBA(用户和实体行为分析)功能。领先的供应商仍在进行大量投资,这有助于市场的迅速成熟,而独立的供应商表现出持续创新和广泛的市场影响。

安全企业数据通信为网络和应用程序提供加密和认证的 “虚拟” 连接。最近远程工作的激增使得虚拟专用网(VPN)成为 IT 中最重要的技术之一。VPN 技术是比较成熟和平稳的,但由于带宽有限和硬件限制,远程访问 VPN 访问具有挑战性,迫使相关基础设施向云端推进。因而,安全浏览器的应用程序和其他使用 TLS 的应用程序成为事实上的标准。SDP(软件定义的外围设备)、SD-WAN(软件定义的广域网)和云应用提供商正在搭建各自的虚拟隐私连接。CASB 正在云中创建相当于企业网关的云,能够进行集中身份管理并对业务用户目的地进行受控加密连接。ZTNA 也是 VPN 的潜在替代品,因为用户迁移到云应用程序上,不再需要传统的本地访问。

2.5 生产高峰期

生产高峰期意味着技术的实际好处已被证明和接受,并随着工具和方法进入第二、三代而越来越稳定,越多越多的客户对实际的使用效果感到满意,客户规模开始快速增长。当技术进入这一阶段时,大约 20% 的目标客户已经或正在采用该技术。终端保护平台(Endpoint Protection Platforms,EPP)处于该阶段。

EPP 针对现有和新出现的威胁和漏洞利用进行保护,包括针对恶意软件的保护、基于文件和无文件的攻击、使用行为分析识别和预防威胁、已知应用程序、进程和脚本的白名单,以及对终端配置的调查和报告。EPP 市场已经适应了高级威胁和隐蔽的攻击者。目前,组织将重点放在防止未知和无文件攻击上,并将机器学习和基于云的查找技术作为基于本地签名识别的替代方案。EPP 使用方便,资源利用率低,维护工作量少。未来,EPP 市场的主要发展方向是更易于部署和管理的云本地解决方案,以及能够识别零日威胁的基于行为的检测和分析技术。但是,本地操作系统的安全性改进保护了凭证,防止了内核攻击,可以隔离浏览器和应用程序,实现了漏洞管理和强化,正在侵蚀 EPP 供应商的业务范围,并将攻击者的焦点转移到应用程序的安全漏洞和终端用户的不可靠上。若高级威胁变得更加隐蔽,仍然需要 EDR 来检测和响应,否则这些威胁将绕过仅依赖于预防和保护的 EPP 工具。

本文译者:安未然

声明:本文来自虎符智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。

转载声明

  • 本文译者:安未然 ,转载链接:(https://www.secrss.com/articles/26520

  • 声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表本人立场,转载目的在于传递更多信息。如有侵权,请联系 2769905554@qq.com。

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册