安全運營需要面向未來的XDR架構
自2018年XDR(Extended Detection and Response,擴展檢測響應)概念提出以來,作為一種面向實戰化的新型安全防御架構,XDR得到了業界的高度認可。究其原因,雖然已經有了SIEM/SOC等數據分析平臺,但受制于數據收集和分析能力,以及日新月異且越來越自動化的攻擊手段,這些平臺往往無法準確判斷風險,誤報頻繁。這就給安全運營人員帶來了極大的壓力,經常淹沒在告警的風暴中,疲于奔命。
近日,360數字安全集團和國際研究機構Gartner正式發布《新一代XDR——面向未來的數字安全防御架構》白皮書(以下簡稱“白皮書”)。白皮書特別強調,XDR產品要以“打破安全孤島,實現有效地檢測與響應”的理念為驅動力,來解決數字時代新威脅格局下“看見”威脅的難題。
那么,XDR能給安全運營帶來什么價值?新一代的XDR怎么“看見”威脅?360的XDR數字安全防御架構與眾不同在何處?對這些問題,360數字安全集團副總裁余凱一一給出了解讀。
XDR讓安全運營有的放矢
當用戶購買了很多安全設備,建設了自身的安全防線之后,心里仍會犯嘀咕:這些安全設備到底能不能發揮預期的作用?是夠有攻擊發生了而我都一無所知?對此,余凱表示,360創始人周鴻祎常說“沒有攻不破的網絡”,這和國外的主流共識“假定失陷”(Assume breach)觀點是一致的。這意味著安全運營最本質的問題和挑戰,就是如何去做積極的防御。
過去,安全建設主要面向合規,解決了有無的問題。隨著業務的發展,安全體系的建設規模越來越大,而安全團隊人員有限、技能缺乏更新;攻擊者的技戰術手法不斷升級,很多企業“中招”都不自知。余凱表示,當前攻擊武器的先進性,攻擊手法的隱蔽性、業務場景的復雜化和安全產品品類的多樣化,促使行業對安全專家的技能水平要求再創新高。企業必須構建一支具備跨域數據分析、事件監控、威脅狩獵等綜合能力的團隊,才能最大程度發揮安全設備的效能,快速精準地處置每一個安全事件,這對企業來說從成本上難以接受。因此,通過SaaS服務的方式按需提供托管運營(MDR)專家服務,已經被用戶尤其是中小企業所接受。
同時,在當前越發實戰化的安全態勢下,傳統安全運營不僅低效,而且有效性無法確認,已經難以為繼。很多企業盡管購買了一堆安全設備,但最終的處置工作仍然需要大量人力完成,并且缺乏對風險的感知能力與對安全事件的精準響應能力,安全體系事實上無法真正發揮作用。
余凱認為,用戶必須站在系統隨時會被攻破的前提下,去謀劃整體安全的建設和運營,而XDR就是安全運營“落一子而全盤活”的關鍵所在。
余凱表示,上面提到的安全運營的種種問題,無論是人力不足、告警風暴,還是碎片化的產品難以運維,本質和源頭都是“檢測黑洞”的問題。對安全運營來說,檢測和響應是第一性的問題,而檢測又是其中最大的挑戰。XDR可以讓用戶精準“看見”真正的攻擊,及時做出針對性的響應,讓安全運營從被動走向主動,從大海撈針走向有的放矢,大幅提升安全運營的效率和價值。同時,有了XDR技術的加持,用戶可以清晰地看到安全運營的效果,直觀地了解安全體系的防護能力,并為未來的規劃、建設、優化等決策提供科學量化依據。
好的XDR應該有哪些必備要素?
了解了XDR對安全運營的巨大價值,用戶不禁會問,XDR到底是什么?具體包含哪些功能?這里回到XDR的概念來看。XDR,英文是Extended Detection and Response,為了與EDR(Endpoint Detection and Response,終端檢測與響應)區分開來,用“X”取代“E”,縮寫成XDR。
Gartner在2020年發布的《Hype Cycle for Endpoint Security, 2020》中,首次將XDR列入技術成熟度曲線。根據 Gartner 的定義,XDR是一個安全平臺,可集成、關聯來自多個安全防御、檢測與響應組件的數據與告警,并集成到一個統一的安全運行系統中。在Gartner新發布的《擴展檢測和響應的市場指南》中,已經將XDR技術擴展至EDR、NDR、SWG、UTM等能力的綜合體。
簡而言之,XDR的核心價值是解決安全產品孤島問題,它將用戶的安全產品整合起來,把各類安全數據匯聚到集中的大數據平臺,在此之上建設安全運營平臺,自動化地提供檢測與響應能力。
經過近幾年的發展,XDR開始從概念走向落地,相關技術方案各有千秋。余凱認為,一個好的XDR應該要有過硬的終端安全技術和大數據分析技術。從國際上優秀的XDR廠商可以看出,他們都同時具備終端安全和大數據分析的能力。
在終端安全技術層面,余凱表示,XDR不是“下一代”,而是“跨時代”。XDR的核心是攻擊鏈檢測,“X”代表著以終端為起點的安全視野持續擴展。EDR(終端檢測與響應)、EPP(終端防護平臺)等都是XDR的前端,是做好XDR的基礎。終端能獲得高質量數據,直接增強了用戶“看見”威脅的能力。XDR以EDR等終端安全數據為核心,串聯跨域安全設備數據,可以更高效地看見威脅并基于攻擊鏈快速做出檢測與響應。沒有一個好的終端安全產品,XDR 的檢測與響應效果無從談起。但終端安全環境多變,壓力巨大,不是任何一家安全公司都能做好終端安全,這需要長時間的積累。
在大數據分析技術層面,余凱表示,XDR的檢測能力,實際上是在大數據中找到小數據,能否快速地處理好大數據,在大量的告警中到攻擊的蛛絲馬跡,這對大數據分析引擎的計算與智能的能力要求非常之高。所以,是否具備高性能和靈活分析的大數據能力,是做好XDR的基礎性技術。對此,360不僅是個安全公司,同時還是互聯網公司,具備安全與大數據共同的基因,可以游刃有余地處理好安全大數據。
同時,XDR的技術棧還包括了人工智能、攻防知識百科以及安全評估等新興技術。余凱強調,XDR是個復雜性工程,一個優秀的XDR,是終端安全技術、大數據處理技術、大數據分析技術、AI人工智能技術、智能安全評估BAS技術、APT基因庫和攻防知識百科、安全運營和對抗專家服務有機整合發展到高峰的自然成果。
新一代 XDR的優勢是什么?
數字時代將數字化深植于社會的方方面面,所帶來的安全威脅挑戰也更加錯綜復雜。Gartner在白皮書中指出了破解思路——以數據為基礎,分析還原攻擊鏈,進而提升威脅應對能力。對此,360給出的解決方案是,打造新一代XDR數字安全防御架構,針對不同體量客戶提供一站式開箱即用解決方案,全面提升安全運營效率。
基于360多年在終端安全上的積累和成就,此次新一代XDR的推出可謂是順理成章。余凱表示,在新一代XDR的探索和實踐上,360基于數字安全大腦,在自身龐大的安全運營系統下率先進行了應用,取得了非常好的效果。在此基礎上,360將新一代XDR在其他一些對安全運營要求較高的用戶進行了場景落地,取得了不錯的口碑。余凱強調,對數字時代的XDR,360選擇了一條難而正確的道路,就是堅定地將XDR構建在EDR和大數據分析上面,唯有如此,才能讓XDR真正發揮作用,有效解決“看見”攻擊的問題。
余凱介紹,360 XDR可以從終端、流量、瀏覽器等多個來源收集數據,并基于從海量攻防數據中抽象出的威脅模型,進行自動化的高級威脅檢測和響應處置。這離不開360在多項核心技術上長年積累的核心優勢。
對用戶如何落地XDR,余凱表示,從技術視角來看,所有的企業都需要XDR解決方案,當前最容易應用的是中小企業。一體化的XDR方案、SaaS化的XDR產品都可以滿足中小企業的安全需求,做到高性價比、一體化、合規,同時開箱即用。但這不是說大型企業對XDR沒有需求,實際上,大型企業的安全運營更加規模化、自動化、整合化,更強調安全運營中心的建設,在其中XDR發揮的價值會更大。只是大型企業在部署XDR時,由于自身已經具備大量分散的安全控制點,需盡快引入過硬的EDR,通過源于實戰的數據標準擴展連接更廣泛的數據源,以在XDR平臺構建攻擊鏈故事線,精準看見,快速處置。余凱強調,XDR的浪潮勢不可擋,當前國內外的主流安全廠商以及用戶都在堅定地選擇XDR架構。
可以看出,XDR不僅僅是一種技術架構,更是一種主動防御的理念。對XDR未來的發展,余凱表示,正如白皮書中所指出的,未來的XDR將從攻擊者的視角出發,以結果為導向,以運營為中心,整合威脅情報、零信任架構,針對威脅而不是報警,向著不斷優化快速“看見”和極速響應能力的方向演進。同時,未來的XDR可能會嵌入到用戶數字業務的每一個組成部分中,以數據價值為中心,基于數據的全生命周期流轉,成為原生安全基礎設施,重塑數字安全的底座。
