XDR關鍵能力與產品演進分析
隨著人工智能技術的快速融入,新一代網絡技術使攻擊變得更加隱蔽和快速,基于對抗性機器學習的攻擊和高級威脅使攻防對抗的戰斗越來越慘烈,而為了應對各種挑戰,“XDR”解決方案應運而生。在安全牛最新開展的《XDR技術應用指南報告》研究項目中,我們通過對國內外安全廠商XDR發展現狀以及甲方企業應用需求的調研,對XDR進行了以下定義:XDR是一種新一代安全技術框架,全面收集威脅情報、端點數據、安全日志、流量分析數據以及云端安全數據等企業安全運營數據,綜合利用大數據、人工智能、自動化技術,以體系化方式實現對威脅或攻擊的快速檢測和響應。
當前,越來越多的安全廠商推出XDR產品或方案,但是因為數據處理(多源數據處理解析、業務場景建模、威脅分析等)的算法和能力基本隱藏于幕后,它們之間也沒有統一標準,導致廠商之間能力差異較大。同時XDR作為一種高交互體驗型的產品,在可視化、自動化響應、關聯分析查詢時也會存在較大的應用體驗差異。
通過調研,我們認為合格XDR產品應該具備的主要能力包括以下方面:
1) 跨越網絡、云和端點進行分析,更快發現隱藏威脅
通過收集多種來源數據,并對上下文進行分析,實現對端點、網絡甚至云環境的全面可視和情境理解,一旦有攻擊發生,可以智能檢測攻擊的每個階段,并快速識別。
2) 對威脅簡化調查和溯源
孤立的安全設備每天產生海量的告警,安全人員不得不把大量的精力和時間消耗在這些“事件”上,XDR可以基于上下文安全信息對警報進行關聯和分組,減少無意義的報警,只把有意義的告警生成事件提交給安全人員,通過智能的關聯分析,實現事件溯源。
3) 自動化威脅響應
XDR提供自動化技術和工具,以減少安全人員手動操作的頻率和人為操作出錯的概率,提高安全運營效率;通過安全劇本編排將安全人員經驗固化為自動執行的劇本,配合安全設備聯動響應,達到快速阻斷攻擊的目的。
4) 自適應優化
需要能夠融合第三方情報以及現有事件轉化而來的情報,不斷耦合威脅發現模型,進行自適應優化。
XDR在實際應用中能不能真正達到預期效果是企業CSO最關注的問題之一,組織在選擇XDR工具時需要綜合考評產品的實際能力,考慮XDR產品自身特點、以及使用體驗上的主觀影響因素等,各類考評指標難以具體量化。
因此,我們認為可以通過能力矩陣模型的方式來評估XDR產品的實際能力。我們將XDR能力級別表示為五個層次,五個層次在“可視化”、“數據集成”、“檢測技術”、“響應技術”、“自適應優化”這五個方面均有不同的能力體現。
XDR能力矩陣
通過XDR能力矩陣模型,可以評估XDR產品對應的能力級別,并對XDR產品未來發展進行展望:
L1-基礎的威脅發現與響應
大部分的威脅告警、事件分析、事件響應任務都由安全運營人員完成,因為人工介入的工作很多,系統的聯動響應能力得不到發揮,也很難得到完整的攻擊路徑分析及可視化呈現。
L2-基于已知威脅的發現與響應
能夠基于多種來源的安全數據進行分析并發現威脅,能夠發現簡單的攻擊行為并告警,但此級別的檢測與分析能力基本基于對已知威脅,事件響應往往還需要借助人工處置。
L3-基于高級威脅的發現與響應
能夠對多種來源的安全數據進行關聯分析,并能通過機器學習和人工智能算法深度挖掘分析數據,從而發現一些復雜的攻擊以及高級威脅行為。通過聯動響應技術,對可疑及未知威脅,進行緩解或消除,協助安全人員快速溯源、調查取證,并顯示復雜攻擊的完整攻擊鏈。
L4-自動化的威脅發現與響應
在L3級別的基礎上,通過內置或者自定義響應流程,自動化處理大部分的重復安全事件,通過與多種安全產品的聯動響應自動化阻斷、攔截大部分攻擊,對于關鍵信息可以進行自動留存或者溯源分析。
L5-自適應的威脅發現與響應
在L4級別的基礎上,XDR系統通過自適應機制,將企業安全運營過程中總結的經驗,及與自身業務相關的威脅情報等不斷與系統耦合,不斷修正威脅模型,以增強對威脅的檢測能力,提高威脅發現的精準度。
目前,國內XDR還處于早期探索階段,但隨著市場需求的快速增長,安全廠商正在快速提升XDR產品的應用能力。國產XDR主要包括兩種產品發展路線:
一種是全面整合自有品牌下的大數據分析平臺、EDR、NGFW、NDR、蜜罐等單點能力,組成完整XDR整體解決方案,提供覆蓋終端、網絡、應用、云端等多層防御的安全能力。該類XDR方案通常具備較豐富的私有API來執行自動化操作,可通過開箱即用式集成和跨產品的預先調優檢測機制,快速實現可擴展的威脅檢測和響應。
另一種類型是打造通用性、輕量化的XDR平臺,通過靈活、智能化的日志分析及關聯查詢,實現威脅快速檢測和響應。這種模式的開放性更高,可以對接更多第三方安全產品,通過標準協議或安全API與不同廠商的安全產品進行聯動響應,但在與第三方安全供應商進行能力集成時也將面臨挑戰。
根據報告調研,我們發現目前多數國產XDR產品(方案)在輕量化部署、復雜策略生成、快速關聯分析、智能告警、快速溯源等方面表現穩定,具備了較強的可用性。但是,在安全能力整體聯動和實現自動化響應等方面,僅有少數頭部廠商產品表現較出色, 國產XDR解決方案要實現智能安全運營所要求的理想價值,還需要一定時間的升級迭代。
作者簡介:
陳發明,安全牛分析師,CCIE/CISP/CISSP。長期從事網絡安全產品研發及市場研究15年+,關注信息安全領域相關技術與應用的發展與演進。
