2021年4月8日更新 ID G00718616
扩展检测和响应(XDR)描述了一个统一的安全事件检测和响应平台,自动收集和关联来自多个专有安全组件的数据。安全和风险管理领导者们应该考虑XDR方案的风险和优势。
概述
关键发现
-
安全和风险管理领导者们正在和来自不同厂商过多的安全工具做斗争,基本没有集成数据或事件响应。
-
扩展检测和响应(XDR)产品,使用报警和事件关联,以及内置的自动化,在提高安全运营生产力方面,开始体现真正的价值。
-
XDR产品也许能够减少安全配置和事件响应的复杂性,相比分散的最佳安全产品组合,提供更好的安全结果。
-
XDR产品有巨大的前景,但也有被单一厂商绑定的风险,XDR市场还不成熟,不同厂商的产品功能区别很大。
推荐
寻找提高基础设施安全运营生产力、改善检测和响应的安全风险管理领导者们,应该:
-
基于员工和生产力水平、IT联合水平、风险容忍度、安全预算等,和团队成员一起决定,一个XDR策略是否适合组织。在现有能力和希望XDR方案能达到的效果之间,做一个差距分析。
-
进行彻底的产品评估和测试,保证输出结果符合这一新产品的功能承诺。
-
制定一个和XDR战略相配的内部架构和购买策略,包括允许例外的时间和原因,保证将来的安全购买和技术退役计划符合长期的XDR架构战略。
-
外包给一个托管安全服务提供商(MSSP),如果超出了现有团队的技能,它能够打造一个XDR的代替方案。
分析
新兴的XDR产品,把多个安全产品融合成一个整体的安全事件检测和响应平台,刚刚进入主流市场。XDR产品是端点检测和响应(EDR)平台的自然演变,已经变成安全团队主要的事件响应工具。XDR主要的价值主张在于把更多的安全组件,包含到一个统一的整体中,提供多个远程诊断流、多种检测形式选项、并行应用多种响应方法,从而提高安全运营的生产力,增强检测和响应能力。XDR产品其他优点是能提供传统上非常复杂的安全运营功能,使没有资源提供更多定制方案的安全团队更容易使用。
XDR在功能上,同安全信息和事件管理(SIEM)及安全编排自动化和响应(SOAR)工具有些类似。然而,XDR的区别在于在部署时,集成产品的水平不同,重点在威胁检测和事件响应用例。虽然SIEM市场很成熟,许多组织还没有部署SIEM工具,或者经历了失败或不完整的实施,或仅仅使用SIEM作为日志存储和合规。XDR产品目标是解决使用SIEM产品的挑战,如对针对性攻击的有效检测和响应,包括行为分析、威胁情报、行为画像和分析的原生支持。
SIEM厂商一般都没有XDR厂商同等水平的威胁检测和研究分析实验室。虽然SIEM市场现在能够作为SaaS来交付,大多数XDR产品使用新的云原生架构和服务来开发,使之成为当前SIEM工具新出现的替代品或补充(请参阅安全信息和事件管理魔力象限)。然而,XDR不是能代替所有场景中的SIEM,例如通用日志存储或合规。
XDR系统的三个主要需求是:
-
标准化数据的统一存储,但主要关注XDR厂商自己的生态系统。
-
安全数据和报警关联到事件中。
-
作为事件响应和安全策略设置的一部分,集中的事件响应功能,能改变单个安全产品状态。
XDR最初的重心主要在保护终端用户,和他们使用的应用程序和数据(见图一)。然而XDR概念能扩展到数据中心防护、身份和访问管理、安全访问服务边缘产品等组合中。
图一 XDR 概念性架构
当前,XDR工具主要通过安全方案提供商来销售,他们有基础设施保护产品,并通过他们自己SaaS形式的XDR管理平台来统一管理。云交付的XDR有潜力从新的分析用例中受益。这些XDR产品在范围上仅限厂商自己的产品和技术,早期XDR厂商候选名单包括思科,Fortinet、Fidelis Cybersecurity,McAfee,微软,Palo Alto Networks,Trend Micro,Sophos、FireEye和Symantec。这些厂商对底层数据有私有的理解,能提供私有API更有效地保证自动化的操作,优于需要集成多个厂商的产品。这些XDR产品的一大吸引力是跨多个产品的开箱可用集成和预调整的检测机制,带来快速的价值实现。
随着行业的成熟,SIEM和SOAR工具,加上进入市场的新厂家,都可以宣称自己的XDR功能。例如,Hunters.AI是一个早期的XDR产品,集成了多个产品。然而,厂商打造有用的XDR产品的复杂度,例如它要拥有所有的组件,能够天生溯源数据,也正是独立厂商要集成多个厂商产品、面对的挑战。今天的现实是几乎没有数据集成的标准,或提供大量API能自动化跨多个产品。
不过,打造一个有效的XDR仍然比它看起来的更有挑战性。缺少数据收集、通用数据格式和API,以及在传统数据库结构上开发的产品,甚至在厂商自己的产品套装中,也很难集成安全工具,老产品中的开发决策不是总能很好的扩展和集成到云原生的工具中,营销炒作能赶在工具成熟之前在市场上宣传,但厂商可能无法交付。
尽管这些挑战,接下来还会介绍的更多,但在主流市场更有效、更高效的安全运维的总体回报,使XDR变成一个对企业安全做出承诺的新方法。所有安全组织的两个最大挑战是招聘和保留技术安全运营团队,打造安全运营能力,能够自信地配置和维护防御性的态势,并提供快速检测和响应能力。主流组织常常被这两个问题的相互交错而打败。
安全市场一直处在钟摆的两极,是选最好的产品,还是选组合套装。随着安全产品成熟,前者在向后者转移。当前,安全基础设施防护的许多主要部分,都变得非常成熟,许多厂商提供多个产品,并把他们集成到一起是很自然的步骤,同时,云大数据存储和分析,和机器学习能力正使得安全集中变成现实。
购买最好的产品,导致过多的厂商和产品,只有有限的集成或关联。安全报警常常过多,无法协调,经常无人问津。没有主动的维护或测试配置的有效性。安全产品更新频率太低。在大多数企业中,传统的集成点是SIEM工具,它善于收集日志,但很少提高检测粒度、使用上下文指标来结合多个报警,或提供完整的事件响应能力。组织常常很难跨异构环境,开发SIEM攻略手册,打造更深入、更丰富的集成。设计较新的SIEM工具来提供跨多个组件集成,但由于缺少可用的API、数据融合问题和启动有效的响应活动的检测活动,而受到阻碍。
XDR产品被用来缓解这些挑战,他们将多个厂商特定的安全产品,融合成为一个统一的安全事件检测和响应平台,不需要大量的集成工作,就可以被主流的安全市场使用。
XDR产品对务实的企业安全买家有吸引力,他们没有资源把最佳产品组合集成到SIEM或SOAR工具中。
XDR产品的核心需求是一个按通用的数据格式,集中收集历史和实时事件数据。事件数据必须存储在高扩展和高性能的存储设备内,实现无限期快速索引搜索。另一个需求是使用多种检测技术,把来自多个产品的弱信号,组合成恶意活动的有力证据。此外,在自动化的帮助下,XDR用来实现更快的、更有效率的响应能力。最后,如果XDR更容易维护,其有潜力改善整个安全态势。
XDR的主要优势应该有三个:
-
提高防护、检测和响应能力。
-
提高整体的运营安全团队生产力。
-
降低整体拥有成本,生成有效的检测和响应能力
理想上,依靠如下功能,XDR能提高防护能力:
-
立即在所有组件安全产品中,共享本地威胁情报,在组件中提供高效的威胁阻止。在多个不同的检测方法中(例如网络和端点),使用外部获得的威胁情报。
-
结合来自多个组件的弱信号,组合成恶意企图的明显信号。
-
自动化关联和证实报警,减少漏报。
-
整合有关数据,实现更快、更精确报警分类。
-
提供集中配置和加固功能,具有加权指南,优化行动。
XDR能潜在的提高运营安全团队的生产力:
-
把大量的要求人工调查的报警流,转换成较小数量的事件。
-
提供集成的事件响应选项,有来自所有安全组件的、必要的上下文信息,快速解决报警。
-
提供超出基础设施控制点(即网络和端点)的响应选项。
-
为重复性工作提供自动化能力
-
跨所有安全组件,提供通用管理和工作流体验。减少培训和上一层级支持。
-
提供可用的高质量的检测内容,只需要微调或无需调整。
一些XDR产品关注集成基础设施安全工具,如结合网络和端点安全。然而,更高级的XDR通过集成身份、数据保护和应用访问,重点在于全栈数据。这些安全服务更接近事件的业务价值。例如,事件响应利用有敏感数据或者对关键IT或业务应用有特权访问的端点,把获得的知识来丰富自己。
当前,新兴的XDR产品主要关注防护针对端点、数据和应用的恶意攻击。因此,在XDR系统中,主要的安全服务类型常常包括:
-
端点防护平台(EPP),端点安全检测和响应平台(EDR)
-
云访问安全代理(CASB)
-
安全web网关(SWG)
-
安全邮件网关(SEG)
-
网络防火墙、网络入侵防御系统(NIPS)、统一威胁管理
-
身份和访问管理产品
-
数据防泄漏产品
-
用户和实体行为分析
-
网络流量分析
-
全球威胁情报
XDR概念能扩展到数据中心防护,包括如下工具:
-
云工作负载防护平台
-
云安全态势管理产品
-
web应用防火墙
既然XDR的目标是提高检测精度和安全操作中心(SOC)的生产力,跨常见的杀伤链,集成能上下文关联并通知事件响应行动的产品是其最初目标,结合同一个攻击链中没有涉及的产品,价值不大。
定义
XDR是一个基于SaaS的、特定厂商的、安全威胁检测和响应工具,把多个原生的安全产品,包含所有许可的安全组件,集成为一个整体安全运营系统。
XDR系统的四个主要功能为:
-
开箱即用,集成常见安全产品。
-
为了分析和查询,统一存储标准化数据。
-
通过多个安全产品的协调,改善检测敏感度。
-
关联能改变单个安全产品状态的事件响应功能,作为恢复过程的一部分。
好处和使用
XDR仍然是一个新兴的产品范畴,因此,主要的好处还没有得到证实。
理想情况下,XDR厂商能交付包含重要安全功能的统一产品套装,提供:
-
更精确的检测和阻止能力。
-
降低由更高安全运营生产力和更低的购买成本驱动的整体拥有成本。
-
更快的实现价值的时间(和买家自己集成最好的产品相比)。
-
安全能够适应正在变化的基础设施和应用架构。
-
更少的盲点。
-
更快、更精确和通知的检测,也就是说,警报关联以及完整事件响应数据关联。
-
更快的修复时间—攻略手册和运营集成—和自动化。
-
更好的可视化和搜索能力。
-
优化加固,使用产品配置和软件漏洞管理,作为整个产品套装中的集成任务,不是分离的的活动。
数据统一存储和标准化,结合更多组件的弱信号来检测可能被忽略的事件,改进检测。跨组件的检测能检测很棘手的一些问题,如账户接管攻击、内部威胁、检测IOT/OT系统里事件。也可以通过更快的分享本地组件中IOC信息,跨所有设备,提供更快的防护。例如,事件响应能收集独特的IOC信息,传播到所有的安全组件,同时检查历史数据,发现类似事件。
理想情况,这种改进的关联性、上下文环境和分析将减少需要人工干涉的安全报警,利用自动化操作提供更强的预先验证功能。好处是分析师花费更多的时间在“事件上”,更少的时间在缺少上下文的“报警”流上。例如,网络报警能被端点活动分析所证实或证伪。通过将单个产品报警结合到整个系统范围内,整体的报警量减少几个数量级。例如,一个引起电子邮件、端点和网络的报警能被结合成一个单一事件。分析师就有更多的实时的“上下文”,能够更快更好做出的决策。XDR产品也瞄准了提高安全团队的生产力,在一个容易理解的管理平台中,通过合并和分析上下文所有证据,提高SOC操作人员事件响应能力。而不是必须在多个控制台之间浏览,寻找问题之间的关联。
集中数据也有助于跨多个组件,实现更快的查询功能。和SIEM一样,这是一个功能强大的XDR方案的关键优势。XDR对市场很新,还无法做出承诺,但一开始就内置API的事实,为更快和部分实现自动化事件响应能力,提供更多的机会,集成更多的其他进程及系统,如SOAR,漏洞管理,ITSM,CMDB。
采用率
XDR产品的开发还在进行中,只是集成了少量产品。因此,XDR的采用仍然处在初级阶段,对大多数产品来说,属于测试和早期试用阶段。少于5%的组织有自己的XDR战略。
风险
XDR产品仍处在开发阶段,还有大量的风险可能扼杀这个新方法。
事件管理有一个基本问题—新的事件源和事件量比处理他们的技术增长得更快。每一次在集成、检测、响应和自动化上先进性的提高,只能部分弥补问题的规模和复杂性,虽然XDR可以改善这种情况,但无法解决。
XDR能导致对单一厂商的过度依赖。XDR也许帮助提高了安全效率,但也许导致厂商绑定,和使用最好的产品组件相比,牺牲了组件中潜在的功能。
XDR能提高效率,但这么做,可能牺牲安全效率。主要是因为一个厂商集成多个产品,并不意味着它能都做得最好,效率对IT安全领导者是一个关键指标,你不仅要回答他是否发现了什么,还要回答这是你现在的工具无法发现的。
厂商最初把他们大多数产品集成到一起,也许会缺少使他们更有效的关键的组件。XDR仅仅变成尝试和绑定一个厂商的机制,套装方案和真正的整体编排对比时,并没有带来真正的效益。因此,买家选择XDR供货商时需要有战略眼光。
目前,只有一个小的供货商名单能真正提供XDR方法。许多XDR产品还不成熟,没有完全集成所有组件。大多数组织没有一个来自单一XDR厂商完整的产品套装,也没有预算去购买他们。因此,大多数组织会花费三到五年时间,才能实现XDR产品的真正价值。
事实上,如果这些前期XDR厂商交付了太少的安全或产品价值,或方案提供商没有按照他们的路线图提供产品,或XDR产品最终需要和现代SIEM工具同等水平的集成,XDR很有可能死于幻想破灭。
大型厂商能够提供XDR产品,但应对新的威胁时,相对于最好的产品,常常执行的更慢。为了保持吸引力,XDR方案提供者必须跟上最新技术的发展,或者通过收购来保证新厂商能集成到他们的平台上。
XDR厂商在产品套装中有漏洞,因为有一些产品,没有集成到XDR方案中,导致盲点。大多数组织已经有盲点,因此即使他们不能100%的集成,XDR也能够增加价值。领先XDR厂商将有选择性地集成合作伙伴,提高覆盖。
大型多产品厂商在提供开箱即用的XDR体验方面,有自己的方法。理论上,他们已经拥有许多组件,然而,随着更多的安全产品提供API及信息共享机制,独立的初创公司、MSSP、SIEM/SOAR方案将有可能够集成最好的组件,交付和XDR一样的价值,而且不会绑定厂商。他们以创新的方式实现这个目的,称之为“向上叠加”的功能。例如,SOAR方案在现有方案之上,提供一个抽象层,这个方案完全可行,特别是如果初创公司提供更好的分析和存储,能从云上做这些工作,将很有可能成功。
非常可能的是,销售和市场营销无法吸引当前买家的注意,消耗厂商对XDR的热情。显然,XDR购买周期比购买单个产品更长、更复杂。CISO平均任职时间,可能会小于实施一个战略性XDR组件的购买时间。此外,在XDR战略完成之前,单次收购在组合中引入新的产品。XDR战略要求高度依赖单一厂商,这产生了许多潜在的问题,包括:
-
厂商绑定
-
单点失败
-
在威胁防御技术上,缺少多样性。
-
厂商支持或更新问题,越来越依赖厂商
-
厂商未能适应变化的威胁或市场环境
-
买家担心,如果他们选择错误的XDR产品,带来更高的战略风险
大型XDR厂商也许有足够的威胁情报,和足够的安全工具产品组合,每个工具使用不同的检测和阻止技术,一个XDR产品能实现深度防御,不需要复杂的多厂商战略
安全行业的专家们,想要市场上最新的和最好的工具,即使他们不是很确信是否需要最新的功能,通常情况,很难和CISO讨论对高级功能的需要,很难去坚持购买得到更多XDR功能的战略。
XDR将不可能消除对日志存储机制的需求,要符合合规或其他要求。
尽管存在这些风险,但很明显,安全市场整合的时机已经成熟,XDR产品将吸引更多害怕安全复杂度、缺少安全技能运维团队的务实组织。
评估因素
XDR厂商将主要在集成安全工具的范围和质量、SOC生产力的提高、检测和阻止上的改进方面进行竞争。
其他的关键功能包括:
-
组件质量—安全效率仍然很关键。
-
集成到XDR系统的产品数量,可视化程度越高越好。
-
跨组件集成的深度(例如是否是数据级集成,还是深度配置集成,允许XDR系统改变组件的状态,人工或自动方式)。
-
报警关联成事件的准确性。
-
使用高级分析,如UEBA,检测更复杂威胁。
-
实现更快修复的用户界面和上下文分析。
-
检测能力的质量,检测更细微的攻击。
-
自动化能力的深度和范围,包括预定义攻略手册,定制自动化的能力
-
能集成到XDR系统、开箱即用的合作伙伴范围。
-
厂商在完成路线图方面执行力,把新产品和收购整合到XDR系统中。
-
厂商提供高级支持的能力,包括托管服务功能和培训。
-
云原生的服务架构。
买家应该关注能够提供下列功能的方案:
-
通用数据模式。
-
通用编程标准/框架,包括平台上内部开发的应用,第三方开发。
-
丰富的API集。
-
来自多个源的丰富/关联数据,支持如威胁狩猎和高级AI/分析用例。
-
除了端口代理软件/远程诊断技术之外的检测手段。
-
端点操作之外的响应动作。
-
一个工具初始化,其他工具来执行的操作。
-
在同一个门户/用户界面之内的集成工具的切换。
-
管理员使用门户,链接到自动化的管理工作流。
-
自动化启动常见任务。
SIEM和SOAR
XDR的替代方案是使用现代基于SaaS的SIEM和SOAR,并针对检测和响应用例进行了优化。(参阅安全信息和事件管理魔力象限)。另一个替代方案是使用安全托管服务,提供类XDR的体验。MSSP不提供专门标记为XDR的服务,但MSSP主要的价值主张是通过集成和报警关联的辛苦工作,承担XDR的角色。
推荐
-
和有关团队一起商议,确定XDR战略是否适合你的组织。
-
评估现有的和潜在XDR供货商的产品功能和路线图。
-
制定符合XDR战略的内部采购策略,包括允许例外的时间和原因。
-
保证将来的安全采购符合长期的XDR集成战略。
-
提高购买决策时集成和自动化的重要性。
代表厂商
以下是具有代表性的厂商,但并不全面,未来XDR厂商潜在名单:Cisco,Fortinet,Fidelis Cybersecurity,McAfee,Microsoft,Palo Alto Networks,Symantec,Trend Micro,FireEye,Rapid7,Sophos。(完)
原文始发于微信公众号(安全行者老霍):Gartner 扩展检测和响应(XDR)创新洞察 2021
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论