XDR只是炒作吗?

攻防
2年前

20220224215530.png

  随着安全团队在试图获得尽可能多的可收集的安全数据,还要在麻烦尽可能少的情况下检测并响应威胁信号,XDR就获得了越来越多的关注。现在依然是XDR的早期阶段,对XDR到底是什么还众说纷纭。

  XDR的基础基于中心化的遥测能力,不仅仅是从整个网络中的安全工具获取数据,还包括了其他关键领域,比如端点、云和身份等。而之后的奥秘就在于XDR如何使用这些数据,可以用机器学习和威胁情报将数据进行关联,并且将所有不同的数据维度分别进行上下文联系,同时对风险得分进行关联,从而在减少分析师多余工作的前提下,提供更快、更可信的检测能力。

  专家认为XDR的成功在于能够实现SIEM这类产品未实现的安全目标,可以加速安全团队检测、调查、修复威胁的速度。这个听上去很不错,但是市面上依然有大量认为XDR是噱头的嘲讽。那么,我们从一些安全专家这边,看一下他们认为XDR是否是一个噱头,以及甲方在落地XDR的时候需要注意些什么。

新的魔法简称

20220224215839.png

Defenced首席网络安全顾问,Luck Bron

XDR确实是一个带有魔力的新词。和所有带有魔力的新词一样,XDR被过度炒作,并且被各种方式去解释。它被用于所有能够不止在某个单点进行解决方案的能力上。这对那些不是很了解的客户来说却是一个潜藏的陷阱。

另一方面,“扩展”检测与响应和“所有”检测与响应有很大的不同。在我们公司,我们无比相信能够将所有可能的资源都包容进去。这样能够更好地为客户提供支持,尤其当他们采取选择最优产品策略,或者他们已经有多个单点解决方案的长期合同的时候。

无论是否有炒作,运营团队正在使用XDR

20220224220014.png

Anomali总裁,Hugh Njemanze

组织正在使用多重技术层来解决不同的安全挑战。不过和以往一样,攻击者始终会发现新的方式去绕过现有的防御,这对新的安全产品和服务来说会一直成为麻烦。

XDR作为最新的创新技术出现,目标是缩小检测和响应之间的差距。XDR到底是被高估了,还是被低估了,又或者只是炒作,还不确定。但是,安全运营团队正在积极用它连接现有的单点工具、威胁数据和情报能力,从而能够更快、更有效地识别并响应攻击和泄露事件。

只有团队使用它的时候才有价值

20220224220159.png

Netenrich首席威胁猎人,John Bambenek

  从暂时来看,安全厂商们只是将现有工具打包,然后称之为XDR——那XDR显然只是个炒作。如果说XDR只是基于现有工具组无法发现失陷情况,而将一些想法重新组装,那XDR不是什么新鲜事。SIEM“应该”能够从各种设备和(来自端点和网络的)日志中获取和管理不同类型的数据,从而实现有效的检测。但是SIEM最后只做到了节省存储成本的数据优化。

  就和任何安全工具一样,XDR只有当安全团队使用它保护IT环境,以及对数据进行处理的时候,才有价值。组织要么自己有威胁研究或者狩猎团队,要么通过外包给可信第三方的方式进行威胁应对。

端点数据是关键

20220224220326.png

Critical Start的CTO,Randy Watkins

  XDR显然值得去炒作。它是为了实现我们原本对SIEM的期望而出现的,又不需要额外的支出进行维持。另外,通过基于端点数据——这一更有权威性的数据来源,进行上下文分析,告警变得更为可信,调查速度更快,同时响应可以从XDR平台直接进行。

  由于XDR的定义相当模糊,大部分的误解都围绕着XDR的能力出现,包括数据的来源是聚合还是关联,或者是否需要替代SIEM,还有就是缺少决定性的能力组合,这一切都让许多组织只能基于市面上的材料来评估收益。

一定要揭开帷幕看看内容

20220224220457.png

NetWitness现场CTO,Ben Smith

  我们已经过了“我们觉得只有SIEM就还行”或者“我们觉得只有EDR就还行”来实现运营环境可视化的时期了。XDR最大的卖点,以及最大的收益,是它不仅有能够收取所有东西的能力,同时能让我们人类在SOC中更容易,也更快找到正确答案。

  现在你需要解开帷幕来确认,这是一个构建完全、紧密集成的技术集合,而不是一堆看上去各不相同又很难协同的产品堆。在考虑使用这些技术的时候,始终将你的人类分析师作为核心——这个XDR解决方案是让他们每天的工作复杂化了,还是简单化了?

误解太多

20220224220626.png

Kroll Cyber Risk管理主任兼管理服务全球总经理,Marc Brawner

  毫无疑问,XDR在短时间内获得了大量的注意,并且其重要性不言而喻。但是,组织绝对不能把它视为能解决所有网络安全问题的“魔法子弹”。XDR能够为之前主流的检测与响应技术进行提升,但是这并非全部的情况。

  我们将XDR视为一系列的能力组合,当一起使用的时候,能够提高主流检测与响应技术的标准。但是,当厂商宣称自己独特的方式才是真正的XDR的时候,大量误解就产生了;就跟近十年前EDR出现的时候定义一系列端点检测和响应技术一样。就算是现在,还是有许多不同实现方式的“EDR”产品,但依然做到了需要的安全效果。

SOC工具链演化的市场手段

20220224220745.png

Cyzen运营管理主任,William Mendez

  我认为XDR只是一个描述现在已经实现的某些东西的市场用语。如果你看看那些有成熟安全项目的企业,尤其是那些能够通过SOC实现有效监测策略的企业,XDR的关键元素已经就在那里了。

  这些企业从端点、云服务、网络遥测探针等不同来源采集数据。他们将那些信息和人类元素——也就是安全分析师,进行结合,然后快速检测可疑或者恶意的行为,再启动合适有效的响应。只不过现在有一个正式的市场推广名字罢了。


数世点评

XDR需要解决的问题,其实也是安全领域长期以来都在努力的方向,而XDR可以看成是新的一种实现这个目标的方式。安全行业肯定是需要有新的理念、新的方法论出现,不仅仅是为了推动市场热度,甚至有一定炒作的情况,也是需要能有新的理念去概括复杂的东西——这点上,XDR众说纷纭的概念显然并没有达成言简意赅地让人们理解其价值的目的。另一方面,安全始终是一个需要实践的领域,对于企业而言,最终看的是安全解决方案能够保障自己的业务安全性,而不是一些概念上的夸夸其谈。



参考阅读

XDR推动EDR的终结?

XDR落地的三个切入点

52亿美元的收购整合出一家XDR公司Trellix

超越XDR?安全观察、优先级与验证(SOPV)