由“被动死守”到“主动响应” XDR如何应对数字时代威胁?
日期:2022-01-21 19:57:52 来源:网络整理
作为近两年最为热门的安全技术方向,XDR成为被Gartner《Top Security and Risk Management Trends》报告提到的第一项技术和解决方案。在素有科技产业界风向标之称的Gartner Hype Cycle(技术成熟曲线)中,端点安全和安全运维两个Hype Cycle也都提及了XDR这项技术。
对于XDR,虽然很多安全厂商给出的定义都不尽相同,但是却有这样一个基本的共识:它不仅是众多安全能力的集合,更将这些单独的能力进行全面协同,从而使之成为上下联动、前后协作的有机整体。虽然XDR仍处概念阶段,但其最大优势在于把此前已经发展相对成熟的安全解决方案进行融合,发挥各自长处形成功能更为完整的解决方案。
从EDR到XDR,看懂“点线面体”才有能力谈安全战略
提到XDR,就不得不先提及一下EDR的发展路径,业界普遍认为XDR源于EDR(端点检测与响应)。EDR脱胎于EPP这种传统安全产品,在EDR出现之前,终端安全的核心能力还在于杀毒能力。不同于以往的端点被动防护思路,EDR通过云端威胁情报、机器学习、异常行为分析等方式,主动发现来自外部或内部的安全威胁,并进行自动化的阻止、取证、补救和溯源,从而有效对端点进行防护。
基于特征库的传统查杀软件由于更新速度慢,因此对新型威胁的防护响应很慢,只能在威胁发生后进行防护,属于被动防护。而EDR以主动防护视角填补了传统防病毒产品在高级威胁检测及响应方面的技术空白。
虽然EDR很有价值,但它的焦点只放在端点本身,属于“点”的范畴,无法做到更大范围的威胁检测和响应。该技术类似于从轮船舷窗往外看,视野相当有限。如果想要得到更多方面的信息,仅从舷窗是看不出什么的,只有走上舰桥才能获得全面视野。
因此,除了对端点的检测和响应,XDR还有另一个关键点就是NDR(网络检测与响应)。NDR是在网络边界上进行检测与响应,可以用来检测用户在网络上的行为轨迹,属于“线”的范畴。与传统的IDS产品相比,NDR技术不依赖于特征库,也不基于某个特定业务或资产对象,而是通过对于流量变化的监测和分析,形成相对准确且能动态调整的网络流量行为模型来发现风险和异常,从而极大提升了对于新型威胁的检出能力和安全运维效率。
可以看到,无论是EDR还是NDR,都强调对新型高级威胁的检测和响应能力。正如Gartner所预测,未来五年企业网络安全支出战略将发生重大改变,重心将从“阻止”向“检测”和“响应”倾斜。微步在线CEO薛锋也表示,检测技术是一种核心技术,将在未来的安全方面发挥重要作用,而由情报驱动的安全检测和响应体系将是大势所趋。
微步在线CEO薛锋
九层之台起于垒土,“云+端点+流量”协同安全能力至关重要
目前,市场上不乏单一安全能力做的十分出色的厂商,各家产品虽然单独应用起来没有问题,但由于缺乏产品间的联动,导致安全能力输出各自为战。
SIEM(安全信息和事件管理)作为一种成熟的安全集成方案,被很多企业用于安全运营中心。但其弊端在于仅仅做到了日志收集,将成千上万的告警展示出来,这对于日常安全运营而言基本上是无效的。由于无法将多维度的日志和事件数据进行协同分析,SIEM在检测和响应上存在诸多痛点如:抓不到、告警多、溯源难,更不用谈全面感知和及时响应了。
为了解决这个问题,不管是平时还是“战时”,都需要一套能把安全数据孤岛和防御孤岛有序串联、协同工作的系统。这时候,XDR在“端+流量”方面的协同分析能力优势就突显出来。
作为一种“全面”和“立体”的解决方案,XDR不仅可以帮助安全团队纵观攻击的所有元素,还可以更清晰、准确地追踪恶意攻击来源,对攻击进行结果判定,重建攻击全貌,让安全团队更好地理解发生了什么,确定攻击发生的位置,在最有可能的实施点加以响应,实现对威胁“面”和“体”的360°清晰认知,以此来提高整体的检测和响应效率。
对于 XDR来说,产品自身的功能与产品间的配合能力都十分重要。同时,威胁情报能力是产品检测响应能力的基础,如此才能发挥“端+流量”深层次的联动能力。
以微步在线为例,其迈向XDR的做法在于,将威胁感知平台TDP与主机威胁检测响应产品OneEDR结合,把网络流量监测和端点监测两部分联动起来。
其中,威胁感知平台TDP,作为一种NDR服务,提供网络流量的监测,可以作为防火墙和DNS解析等安全措施的补充。当前者失效,NDR的流量检测能力可以通过网络攻击的行进路线来判断分析。
而主机威胁检测响应产品OneEDR,作为一种EDR服务,能够在服务器和PC等终端内部做安全的检测与响应。
值得注意的是,目前市场上大多数NDR和EDR联动的产品都做不到这一点,其主要原因在于一般NDR和EDR的联动,只能做到两者互为彼此的眼睛,但无法使用同一个大脑来分析。XDR则将NDR和EDR的安全能力进行深度融合,升级为一种综合的、高维度的分析能力,其最大价值在于让安全人员对威胁的认知视角从“一维”进化到“多维”。
聚焦威胁检测与响应 深挖以XDR为核心的综合安全能力
目前,XDR这类新型检测与响应解决方案目前还处于初期阶段,后续的演进路线更多的应该强化在云、端点、流量方面的协同分析能力,使之成为一个前后联动、全面检测、深度分析、及时响应的有机系统。
XDR的内涵其实非常丰富,XDR的“X”包含所有对检测有帮助的技术或者是产品,大趋势是“两条腿走路”,要想检测和响应做得好,威胁情报和机器学习能力都少不了,云端威胁情报需要做到量大、高准确度、高频率更新,机器学习则是要通过动态建模来帮助企业建立自己的检测响应体系,包括企业自身的威胁情报库、企业的误报告警特征等。
一般而言,威胁情报做得好的厂商一般在机器学习领域都有着丰厚的成果积累,响应的前提是检测,而威胁情报也正是准确检测的核心能力,所以威胁情报能力出众的厂商会在迈向新型检测和响应解决方案的时候具备先天优势。早期的XDR厂商包括Cisco、Fortinet、McAfee、Microsoft、Trend Micro、Sophos、FireEye和赛门铁克。这些XDR产品的一大吸引力在于,由于开箱即用的集成和跨产品的预调检测机制,可以快速实现价值。
在中国,还有一些像微步在线这类创新型安全厂商涉足XDR领域。在产品侧,微步拥有基于网络流量检测的威胁感知平台TDP,用于对客户网络流量、数据分析来进行威胁感知。同时,构建起一个广阔的威胁情报云,通过对互联网以及多个渠道中开放数据的不断采集,再对这些数据进行加工、分析,进而生产出威胁情报,去感知攻击者的行为、动态以及新变化。在掌握庞大的威胁情报数据后,只需要和企业用户的信息做比对,就能清晰地洞察企业是否受到攻击,这是微步在线在检测模式上与传统安全厂商的本质不同。
2021年,微步在线正式发布了主机威胁检测响应产品OneEDR,与TDP、互联网安全接入服务OneDNS、本地多源威胁情报管理平台TIP等共同构成微步在线的“云+流量+端点”威胁检测响应模式,向XDR方向迈出了重要一步。
如今,以XDR为代表的新型检测和响应解决方案不仅在国内已成为各家安全厂商关注的焦点,在国外也已经有一些安全厂商提供相关的案例可以作为参考,其核心解决方案的产品也有一定的共性。攻击链可视、根本原因分析、威胁狩猎都是此类解决方案的核心场景。
不过,XDR在国内的落地还有一段比较长的路要走,但为未来的安全运营提供了一种创新思路。不积跬步无以至千里,不积小流无以成江海。新型检测和响应解决方案能否成为最佳的安全解决方案,还需要全球安全厂商的共同努力。
免责声明:新闻资讯来源于合作媒体等,不代表本网观点,仅供参考,并不构成投资建议,风险自担。如涉版权,联系处理。
- 由“被动死守”到“主动响应” XDR如何应对数字 ...
- 为了查找裸照美国一男子窃取大量iCloud照片 ...
- 抖音也要做“长视频”了? ...
- 集邦咨询:三星电子第二季度DRAM市占率达43.6% ...
- vivo芯片研发总部落户上海 X70系列或搭载第一款 ...
- 马斯克:7000年后可能不会说英语了 ...
- 深化产业赛道优势,夯实产业运营能力 复地产发深 ...
- 穿梭虚实次元,创新生活体验,商汤以AI打造新时 ...
- 英特尔联手美国国防部 全力打造芯片制造生态系统 ...
- 车主对修车有分歧要走被索要16万停车费,4S店: ...
- 壹钱包旗下万里通积分服务覆盖线上线下2000+商户 ...
- 腾讯汤道生:共建工业互联,共创智造未来 ...
- 全国超40万个新能源充电桩受理云闪付APP ...
- 关店、降价、转向,能不能让呷哺呷哺“回血”? ...
- 一场直播1.2亿人次观看 百度用AI描绘未来图景 ...
- 知名个人成长作家张德芬:怯懦的沉默不会带来安 ...
- 由“被动死守”到“主动响应” XDR如何应对数字时代威胁?
- 保仕婷亮相大广节学院奖2021秋季启动仪式,邀百万大学生共话青春创意
- 为了查找裸照美国一男子窃取大量iCloud照片
- 抖音也要做“长视频”了?
- 探讨中国教育,舍得酒业《舍得智慧人物》对话“网红”校长郑强
- 窦骁出任AIGLE中国品牌代言人
- 昂科威S GS领衔 曝别克成都车展阵容
- 集邦咨询:三星电子第二季度DRAM市占率达43.6% 位居第一
- 短视频成互联网最强内容王者:用户时长占比达手游4倍
- 山东高速公布2021年半年度业绩 实现营业收入65.74亿元,归母净利润同比增长419.08%
- vivo芯片研发总部落户上海 X70系列或搭载第一款自研芯片
- 马斯克:7000年后可能不会说英语了
- 新基建领跑十四五开局,一书读懂数字技术的全民机遇
- 湖北一传科技有限公司开网店没基础没经验怎么走捷径
- 湖北一传科技有限公司给大家分析开网店具体细节
- 俄罗斯2030年拟生产21.7万辆电动车,建成7.2万个充电站
- 老铺黄金 ▏开启中国古法黄金市场传奇
- 蔚来车主回应“站车顶维权当事人” 蔚来总裁也笑了
- 深化产业赛道优势,夯实产业运营能力 复地产发深耕产城融合蜂巢之路
- 尬得飞起!特斯拉微博又翻车,复旦教授也看不下去了:失败的公关文示范
- 下一代云原生开发工具华为云CloudIDE技术揭秘
- “十四五”数字化关键之年 如何下好网络安全的“大棋局”?
- 锐见数字化未来,新华三大学重磅发布2021H3C认证体系战略
- 穿梭虚实次元,创新生活体验,商汤以AI打造新时代生产交互工具
- 英特尔联手美国国防部 全力打造芯片制造生态系统
- 新华热评:遛狗拴绳,守住法律和道德的底线!
- 车主对修车有分歧要走被索要16万停车费,4S店:936元/小时
- 商用车股比放开再添“新人” 沃尔沃卡车7.81亿元接盘江铃重汽
- HERE和WeatherOptics合作 在恶劣天气优化路线并改进ETAs
- “臻风科技”入选《信用中国》栏目