本期解读专家
随着企业的数字化转型,信息安全越来越重要,企业数字化架构暴露面也越来越广(远程办公、SaaS Apps、公有云),另一方面以APT为代表的攻击导致传统的单点、一次性、被动的安全产品已经很难有效地保护企业的数字资产安全,现代企业面临的安全问题越来越严峻。在这个大背景下,持续、主动、多维度防护的XDR(Extended Detection AndResponse)解决方案诞生了。在RSAC2022大会上,包括Crowd Strike在内的安全企业有11家新发布了自己的XDR服务或与XDR有关的能力,从而也加入了XDR竞争队伍中。本文先从这11家企业新发布的产品/服务简介中抽取出一些关键词来分析:
Automated/自动化的:通过Playbook自动化地做Investigation/调查和Response/响应,此外,还有针对Hunting/狩猎领域提出了预置“威胁狩猎Filters”等自动化措施,来降低海量告警对安全运营团队的压力。
Managed/托管:Deepwatch、Net Witness发布了自己Managed XDR服务,通过云化的SaaS平台,使大量企业的集中安全托管服务成为了可能,也使企业原本的安全运营开销转移到了安全厂商身上,安全厂商在整个收入的拼图上又多了一块。
SaaS、Cloud Based/云化:基本上所有的新产品发布都是在云上,产品SaaS化,除了Exabeam提供了私有云版的方案。
Extended/扩展的:除了原本XDR范围内的终端、网络、邮件、Cloud Workloads安全一些典型的防护体系外,还增加了Qualys的Vulnerability相关的VMDR2.0,以及Wiz的Cloud Detection And Response(CDR)。
Alliance/联盟:Mandiant在情报和APT方面有非常丰富的经验,然后和Cloudflare、Crowd Strike、Google Cloud、Inner Activ、Interos、Iron Net、Microsoft、Netskope、Nozomi Networks、Nucleus Security、Sentinel One、Sim Space、Snap Attack和Trellix形成了技术联盟,共享威胁信息和技术集成。再进一步,有可能Mandiant以后会接收这些公司一部分的托管服务。
Visibility/可视化:Crowdstrike介绍了资产图,通过这项技术来更好地展示攻击面。编排、调查、溯源、狩猎等方面都需要很强的可视化能力,除此之外,好的可视化能力也能引导客户和安全专家更有效率的完成安全运营的作业和流程闭环。
上述的关键词也体现了XDR重要的能力和发展趋势。
整体上XDR大势已成,除了Cisco、PA、Trend Micro、Microsoft等安全大厂在前几年已经发布了自己的XDR领域方案外,此次包括Crowd Strike在内的9家企业也发布了XDR解决方案,以后在安全检测、分析、运营领域乃至设备、应用管理XDR很有可能是大一统安全解决方案,安全玩家如果不提供XDR解决方案,以后逃不掉偏安一隅或者逐渐消亡的命运。
当前XDR的能力模型基本已经成型,前几年是大厂在探索,现在随着各路厂商的跟进,业界基本达成共识,如下所示:
eXtended的维度会持续的扩展,收编更多种类的Endpoint、网络设备、Firewall、Cloud Workload等安全检测以及分析领域,当前安全还有一种趋势向上走到应用层:Email Security、Storage Security、SaaS服务、API等扩展,XDR也应该会逐渐收编各层、各种粒度的应用层产品安全。
范围扩展的同时Detection能力在eXtended的基础上会增加更多维度的关联检测能力,智能以及其他检测维度依旧会持续加强;同时由于成本与MTTR&MTTD方面的原因,XDR之下的单个领域的安全产品依然会存在,单领域安全产品的检测&响应闭环的能力会继续加强,但是和上层XDR的关系会越来越微妙,未来XDR应会纳管所有的管理和配置能力,各领域子产品只是的单纯的执行各类的策略(检测&相应)的工具。
在Response领域人工处置一直都是检测产品的痛点和关键能力,未来如何提升检测结果准确度和自动化处置率?Alert/Threat消噪、自动化调查&响应闭环依然会是巨大的挑战。虽然现在有很多的厂商在开发Playbook、预置狩猎Filter但这些都是枚举,不同的行业、企业的情况不同,定制的化的服务依然不可避免。
XDR是需要有安全专家运营的,但是大部分的企业是没有安全专家的,所以Managed业务就诞生了,托管的服务会持续的增强,也会持续的增加客户覆盖面,这也是未来安全企业收入持续变现的巨大的增长点之一,有可能会超过XDR产品本身的软件的收入,所以,在未来,一些当前在企业的IT安全人员可能会到安全公司上班,也会出现很多专门的安全托管公司(自己不提供产品,只在客户购买的平台上做安全运营),比如Mandiant。
由于上述集中能力,XDR需要一个强大的平台能力做支撑,XDR需要大数据实时流处理能力、大数据的批处理能力、多云能力、安全业务可视化(Visibility)设计、SOAR、智能、安全各个领域的安全知识积累以及规则化能力(XDR领域DSL)、产品UX能力。
虽然XDR厂商之间短期内可能会在表面的能力上有所差异/差距,长远看在业界已经基本达成共识的情况下,特性差异最终会补齐,所以最终XDR的关键竞争力会体现在:
-
成本&易用性&响应时间等非功能属性层面:对于大数据和SaaS 形态的XDR,最终的成本都体现在安全厂商身上,这个和传统的OP模式有本质上的差异,OP模式原本的运行成本都在客户侧;另外SaaS模式极大的增强了XDR厂商的持续收入以及高市值,参考Crowdstrike与传统安全厂商的销售额与市值之间的差异。
-
安全运营能力:由于产品形态与安全运营能力与之前的安全产品形态的不同,会出现”Expert In Managed-XDR Loop”托管的工作模式 ,对运营层面的Workbench/工作台能力有较高的要求。另外安全专家在于安全人员的持续积累,工作台在于软件能力,以Splunk 为例,Splunk简单易用的平台能力是其他公司很难简单的模仿成功的。
原文始发于微信公众号(华为安全):RSAC2022解读丨XDR趋势分析—从蓝海到红海
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论