安全运营需要面向未来的XDR架构

admin 2023年1月12日00:51:09安全新闻评论9 views3601字阅读12分0秒阅读模式
安全运营需要面向未来的XDR架构
安全运营需要面向未来的XDR架构
安全运营需要面向未来的XDR架构
安全运营需要面向未来的XDR架构
安全运营需要面向未来的XDR架构

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线:010-82341063


自2018年XDR(Extended Detection and Response,扩展检测响应)概念提出以来,作为一种面向实战化的新型安全防御架构,XDR得到了业界的高度认可。究其原因,虽然已经有了SIEM/SOC等数据分析平台,但受制于数据收集和分析能力,以及日新月异且越来越自动化的攻击手段,这些平台往往无法准确判断风险,误报频繁。这就给安全运营人员带来了极大的压力,经常淹没在告警的风暴中,疲于奔命。
近日,360数字安全集团和国际研究机构Gartner正式发布《新一代XDR——面向未来的数字安全防御架构》白皮书(以下简称“白皮书”)。白皮书特别强调,XDR产品要以“打破安全孤岛,实现有效地检测与响应”的理念为驱动力,来解决数字时代新威胁格局下“看见”威胁的难题。

安全运营需要面向未来的XDR架构

那么,XDR能给安全运营带来什么价值?新一代的XDR怎么“看见”威胁?360的XDR数字安全防御架构与众不同在何处?对这些问题,360数字安全集团副总裁余凯一一给出了解读。


XDR让安全运营有的放矢

当用户购买了很多安全设备,建设了自身的安全防线之后,心里仍会犯嘀咕:这些安全设备到底能不能发挥预期的作用?是够有攻击发生了而我都一无所知?对此,余凯表示,360创始人周鸿祎常说“没有攻不破的网络”,这和国外的主流共识“假定失陷”(Assume breach)观点是一致的。这意味着安全运营最本质的问题和挑战,就是如何去做积极的防御。

过去,安全建设主要面向合规,解决了有无的问题。随着业务的发展,安全体系的建设规模越来越大,而安全团队人员有限、技能缺乏更新;攻击者的技战术手法不断升级,很多企业“中招”都不自知。余凯表示,当前攻击武器的先进性,攻击手法的隐蔽性、业务场景的复杂化和安全产品品类的多样化,促使行业对安全专家的技能水平要求再创新高。企业必须构建一支具备跨域数据分析、事件监控、威胁狩猎等综合能力的团队,才能最大程度发挥安全设备的效能,快速精准地处置每一个安全事件,这对企业来说从成本上难以接受。因此,通过SaaS服务的方式按需提供托管运营(MDR)专家服务,已经被用户尤其是中小企业所接受。
同时,在当前越发实战化的安全态势下,传统安全运营不仅低效,而且有效性无法确认,已经难以为继。很多企业尽管购买了一堆安全设备,但最终的处置工作仍然需要大量人力完成,并且缺乏对风险的感知能力与对安全事件的精准响应能力,安全体系事实上无法真正发挥作用。
余凯认为,用户必须站在系统随时会被攻破的前提下,去谋划整体安全的建设和运营,而XDR就是安全运营“落一子而全盘活”的关键所在。
余凯表示,上面提到的安全运营的种种问题,无论是人力不足、告警风暴,还是碎片化的产品难以运维,本质和源头都是“检测黑洞”的问题。对安全运营来说,检测和响应是第一性的问题,而检测又是其中最大的挑战。XDR可以让用户精准“看见”真正的攻击,及时做出针对性的响应,让安全运营从被动走向主动,从大海捞针走向有的放矢,大幅提升安全运营的效率和价值。同时,有了XDR技术的加持,用户可以清晰地看到安全运营的效果,直观地了解安全体系的防护能力,并为未来的规划、建设、优化等决策提供科学量化依据。


好的XDR应该有哪些必备要素?

了解了XDR对安全运营的巨大价值,用户不禁会问,XDR到底是什么?具体包含哪些功能?这里回到XDR的概念来看。XDR,英文是Extended Detection and Response,为了与EDR(Endpoint Detection and Response,终端检测与响应)区分开来,用“X”取代“E”,缩写成XDR。

Gartner在2020年发布的《Hype Cycle for Endpoint Security, 2020》中,首次将XDR列入技术成熟度曲线。根据 Gartner 的定义,XDR是一个安全平台,可集成、关联来自多个安全防御、检测与响应组件的数据与告警,并集成到一个统一的安全运行系统中。在Gartner新发布的《扩展检测和响应的市场指南》中,已经将XDR技术扩展至EDR、NDR、SWG、UTM等能力的综合体。
简而言之,XDR的核心价值是解决安全产品孤岛问题,它将用户的安全产品整合起来,把各类安全数据汇聚到集中的大数据平台,在此之上建设安全运营平台,自动化地提供检测与响应能力。
经过近几年的发展,XDR开始从概念走向落地,相关技术方案各有千秋。余凯认为,一个好的XDR应该要有过硬的终端安全技术和大数据分析技术。从国际上优秀的XDR厂商可以看出,他们都同时具备终端安全和大数据分析的能力。
在终端安全技术层面,余凯表示,XDR不是“下一代”,而是“跨时代”。XDR的核心是攻击链检测,“X”代表着以终端为起点的安全视野持续扩展。EDR(终端检测与响应)、EPP(终端防护平台)等都是XDR的前端,是做好XDR的基础。终端能获得高质量数据,直接增强了用户“看见”威胁的能力。XDR以EDR等终端安全数据为核心,串联跨域安全设备数据,可以更高效地看见威胁并基于攻击链快速做出检测与响应。没有一个好的终端安全产品,XDR 的检测与响应效果无从谈起。但终端安全环境多变,压力巨大,不是任何一家安全公司都能做好终端安全,这需要长时间的积累。
在大数据分析技术层面,余凯表示,XDR的检测能力,实际上是在大数据中找到小数据,能否快速地处理好大数据,在大量的告警中到攻击的蛛丝马迹,这对大数据分析引擎的计算与智能的能力要求非常之高。所以,是否具备高性能和灵活分析的大数据能力,是做好XDR的基础性技术。对此,360不仅是个安全公司,同时还是互联网公司,具备安全与大数据共同的基因,可以游刃有余地处理好安全大数据。
同时,XDR的技术栈还包括了人工智能、攻防知识百科以及安全评估等新兴技术。余凯强调,XDR是个复杂性工程,一个优秀的XDR,是终端安全技术、大数据处理技术、大数据分析技术、AI人工智能技术、智能安全评估BAS技术、APT基因库和攻防知识百科、安全运营和对抗专家服务有机整合发展到高峰的自然成果。


新一代 XDR的优势是什么?

数字时代将数字化深植于社会的方方面面,所带来的安全威胁挑战也更加错综复杂。Gartner在白皮书中指出了破解思路——以数据为基础,分析还原攻击链,进而提升威胁应对能力。对此,360给出的解决方案是,打造新一代XDR数字安全防御架构,针对不同体量客户提供一站式开箱即用解决方案,全面提升安全运营效率。

基于360多年在终端安全上的积累和成就,此次新一代XDR的推出可谓是顺理成章。余凯表示,在新一代XDR的探索和实践上,360基于数字安全大脑,在自身庞大的安全运营系统下率先进行了应用,取得了非常好的效果。在此基础上,360将新一代XDR在其他一些对安全运营要求较高的用户进行了场景落地,取得了不错的口碑。余凯强调,对数字时代的XDR,360选择了一条难而正确的道路,就是坚定地将XDR构建在EDR和大数据分析上面,唯有如此,才能让XDR真正发挥作用,有效解决“看见”攻击的问题。
余凯介绍,360 XDR可以从终端、流量、浏览器等多个来源收集数据,并基于从海量攻防数据中抽象出的威胁模型,进行自动化的高级威胁检测和响应处置。这离不开360在多项核心技术上长年积累的核心优势。

安全运营需要面向未来的XDR架构

对用户如何落地XDR,余凯表示,从技术视角来看,所有的企业都需要XDR解决方案,当前最容易应用的是中小企业。一体化的XDR方案、SaaS化的XDR产品都可以满足中小企业的安全需求,做到高性价比、一体化、合规,同时开箱即用。但这不是说大型企业对XDR没有需求,实际上,大型企业的安全运营更加规模化、自动化、整合化,更强调安全运营中心的建设,在其中XDR发挥的价值会更大。只是大型企业在部署XDR时,由于自身已经具备大量分散的安全控制点,需尽快引入过硬的EDR,通过源于实战的数据标准扩展连接更广泛的数据源,以在XDR平台构建攻击链故事线,精准看见,快速处置。余凯强调,XDR的浪潮势不可挡,当前国内外的主流安全厂商以及用户都在坚定地选择XDR架构。

可以看出,XDR不仅仅是一种技术架构,更是一种主动防御的理念。对XDR未来的发展,余凯表示,正如白皮书中所指出的,未来的XDR将从攻击者的视角出发,以结果为导向,以运营为中心,整合威胁情报、零信任架构,针对威胁而不是报警,向着不断优化快速“看见”和极速响应能力的方向演进。同时,未来的XDR可能会嵌入到用户数字业务的每一个组成部分中,以数据价值为中心,基于数据的全生命周期流转,成为原生安全基础设施,重塑数字安全的底座。





《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图 了解详情


安全运营需要面向未来的XDR架构

原文始发于微信公众号(中国信息安全):安全运营需要面向未来的XDR架构

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月12日00:51:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  安全运营需要面向未来的XDR架构 http://cn-sec.com/archives/1514401.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: