青藤云安全性:XDR是安全性经营的最好处理计划

2021-01-21 11:08| 发布者: | 查看: |

青藤云安全性:XDR是安全性经营的最好处理计划方案吗? XDR是Gartner2020年的《Top Security and Risk Management Trends》汇报中提及的第一项技术性调解决计划方案。

XDR是Gartner2020年的《Top Security and Risk Management Trends》汇报中提及的第一项技术性调解决计划方案。在意味着发展趋势的Hype Cycle中,有2个关键的Hype Cycle都提及了XDR这一重要技术性。

图1:终端设备安全性完善度曲线图2020

图2:安全性运维管理完善度曲线图2020

同时,海外各种生产商也不在断的宣传策划自身的XDR处理计划方案,包含Palo Alto Networks、Trend Micro、Cisco、McAfee等。

另外,在2020年Gartner网上的Summit在主题风格演说《Top Trends in Security and Risk Management》中的八新趋势中,第一个也是XDR,做为SIEM和SOAR的取代计划方案出現在流行销售市场中。

图3:《Top Trends in Security and Risk Management》中介公司绍的Top8发展趋势

一、XDR演变线路以及界定

XDR是一种新的技术性,它的演变线路也是怎样呢?提及XDR,不可不先谈及一下EDR的发展趋势相对路径。

图16:EDR的发展趋势相对路径

EDR最先源自于EPP这类传统式的安全性商品,最后在应用设备学习培训、个人行为剖析、威协捕猎等行业巨大提升了终端设备上的安全性工作能力。EDR以前的关键工作能力仍在于杀毒工作能力,添加了设备学习培训后做为高級的杀毒工作能力,再到后边变为了EDR,侧重于检验和响应工作能力,未来会发展趋势到响应工作能力的全自动化,包含了威协资源,及其SOAR的连接等。

图5:终端设备维护专用工具的演变

其关键工作能力金字塔式跟CWPP相近,能看出去EDR的关键区别点取决于个人行为剖析、出现异常检验和响要以及威协捕猎。最底层的工作能力全是传统式EPP的范畴,包含了杀毒、运行内存维护、运用操纵等作用。

图6:终端设备操纵对策金字塔式

从姓名的演变看来,及其生产商的处理计划方案看来,XDR跟EDR的关联近期,同时终端设备种类的安全性商品也是在恶性事件响应中最大要的商品。可是XDR是一种处理计划方案型的商品,在安全性经营管理体系里加入了一些有具体安全性使用价值的商品中,为此来提升总体的检验和响应高效率。

XDR在Gartner的界定是:SaaS种类的安全性威协检验和响应服务平台,集成化了很多的商品,并统一了有关license收费标准,实际商品作用视生产商而有一定的不一样。XDR商品关键有三大使用价值:1. 立即集成化安全性商品开箱即用;2. 有统一的安全性数据信息归一化和管理中心化能够剖析和查寻;3.因为有多种多样商品的相互配合合谐调,因而能够改善检验的比较敏感性;4.多商品连动解决更改单一商品的响应全过程。XDR商品的最少结合必须有威协资源的不断升级,及其必须数据信息的归一化和管理中心化解决便于剖析和关系。规范化的处理计划方案必须SaaS的储存,图数据信息库的适用剖析,集成化有关的安全性商品,包含EDR、防火安全墙、SEG、CASB、CWPP这些。

以下图所显示,XDR的定义构架关键集中化在终端设备顾客的维护形状上,自然还可以在维护,IAM或是是SASE的维护上。从下面的图能看出,终端设备顾客的维护上必须最顶层的一些安全性商品,随后是数据信息的归一化,及其数据信息湖再到数据信息关系,进而产生恶性事件响应、全自动化、工作中流及其API的有关使用价值。自然在数据信息管理中心、真实身份安全性及其SD-WAN的情景下还可以应用相近的构架来确保其独特情景的安全性。

图7:XDR定义构架

二、XDR的使用价值与风险性

提到XDR的使用价值,最立即便是2个:一个便是可以提升安全性经营的高效率和使用价值,提高检验和响应的工作能力,能够根据集成化多种多样安全性商品并统一开展安全性了解;另外一个便是减少安全性经营的繁杂度。一个统一的处理计划方案,能够统一在一个商品页面开展安全性难题的处理,而不用每一个商品开展独立的连接调节,减少了安全性经营的连接成本费和应用成本费。

提到这一使用价值,当然而然便会想起SIEM这类种类的商品,她们中间的差别也是甚么?XDR跟SIEM较大的差别取决于集成化方式的布署内以及目地上。XDR将会内置一个统一页面以供立即集成化有关的安全性商品,而SIEM大量的必须一些多点的商品两者之间开展订制的连接。XDR大量的关心与威协的检验和响应,而SIEM大量的取决于警报的集中化解决和储存及其合规管理的考虑到。

XDR的生产商自身会有着有关的安全性科学研究精英团队,对于于每一种安全性攻防技术性和商品检验会出现深层次的科学研究。随后再集成化有关的安全性商品来处理这种安全性难题,可使用SaaS交货乃至可使用云原生态的构架。可是现阶段XDR的处理计划方案全是一个安全性生产商总体出示的,一般来讲全是有较为长的商品线的生产商,从这当中选择较为有安全性经营使用价值的安全性商品产生总体处理计划方案,包含Cisco、 Forti、 McAfee、Microsoft、 Palo Alto Networks、 Trend Micro、 Sophos、 FireEye 和Symantec等生产商。

针对每一个生产商来讲,要真实完成XDR处理计划方案所声称的使用价值全是极大的挑戰。因此在顾客自主开展连接时,例如应用SIEM来连接每一个多点的安全性商品,也会出現更大的难题,例如要融洽沟通交流每个生产商。因为每一个生产商其实不了解别的生产商的商品,因此难以做有关的关系剖析和连动。由于欠缺数据信息,针对数据信息欠缺了解,沒有归一化,不一样商品的数据信息库都不一致,这就难以连通不一样生产商的不一样商品,乃至连通一个生产商都是有挑戰,因而,基本建设一个合理的XDR处理计划方案還是较为艰难的。

此外,针对公司来讲,安全性经营在下列2个层面自始至终遭遇着挑戰:一是职工的招骋、塑造和保存;另外一个是安全性经营管理体系的在威协检验和响应上的高效率。同时这2个难题交错在一起难以处理。

XDR的关键优点反映在三个方面:1. 改善维护、检验和响应的工作能力;2. 提升安全性经营职工的高效率;3. 减少得到合理检验和响应工作能力的整体有着成本费(TCO)。

在改善维护、检验和响应工作能力上,可使用共享资源的威协资源连动对每一个安全性部件开展检验,例如互联网和终端设备的安全性部件;还可以将一些低等其他告警合拼产生一个高級其他恶性事件;同时根据关系剖析和全自动化警报确定发觉警报;对警示开展有关的归类等级分类。

在提升职工的生产制造率上,能够将很多的告警变换为小量必须人力调研解决的恶性事件;出示全部安全性部件的工作能力,让安全性调研更为便捷便捷;出示大量的响应方法,包含互联网和终端设备等层面的;针对反复的工作中能够保证全自动化;能够降低对Tier 1工作人员的学习培训,只必须有关的工作中流和管理方法步骤;出示相对性高品质量的检验方式,其实不必须过多的调节。

XDR处理计划方案自身的个性特征决策了这类商品的开箱即用的特点,因此顾客一般只在意是不是可以完成具体使用价值,在交货中其实不用考虑到跟SIEM商品一样要连接各种各样各种各样的安全性商品,随后也要考虑到总体UseCase的设计方案及其关系剖析的深层难题。

一般来讲,安全性销售市场全是在每一个细分化制造行业挑选最好的安全性商品,而并不是挑选这类计划方案型的套服。一个安全性商品完善了,市面上上安全性商品的领导干部者便会变成这一销售市场的界定者。安全性制造行业发展趋势到现阶段,基本构架的商品趋向完善,一一部分生产商早已有着了有关的商品组成,因此集成化这种安全性商品变为了顺理成章的事儿。同时运用和设备学习培训又能够非常好地提高安全性工作能力。

在每一个类目中购置最好的商品的构思会造成安全性商品过多,可是非常少有集成化和连动。安全性警报会过量,常常会没有人值班,也没有人常常性地去调节对策或是检测其合理性,升級一般也较为落后。传统式的公司的融合点在SIEM上,可是SIEM的优点取决于搜集系统日志,可是非常少能改善检验的高效率和真正性,也非常少采用左右文剖析和有关安全性商品的关系剖析。因此,针对公司来讲,开发设计SIEM的Use Case及其深层和丰富多彩的集成化对映异构自然环境的商品是难以的事儿。

XDR这种处理计划方案型商品便是解决这种挑戰而出現的。XDR减少了连接每个生产商的成本费,同时便可以开箱即用一些现有的安全性恶性事件台本;还可以让一些实干的公司无需购置每一个细分化制造行业的最好商品,只是立即装包一个商品来提升总体的安全性经营高效率。

XDR的关键工作能力规定有2个:一个是应用绝大多数据技术性,能够开展数据信息的搜集、归一化、数据库索引、检索这些;此外一个工作能力应用多种多样检验技术性,将每一个安全性技术性检验点开展融合变大,把警报归纳为恶性事件。

XDR这种处理计划方案的商品现阶段还处在前期环节,事后的发展趋势演变线路将会出現风险性。例如恶性事件管理方法的基本难题便是新的恶性事件源和数据信息量持续提升,因此会造成更繁杂的剖析、集成化、检验和响应,XDR只有改善这一情况,其实不能处理这一难题。XDR将会会造成对单一生产商过多依靠,会造成生产商锁住,也是有将会放弃一些部件的工作能力,而不可以挑选某一类目中最好的生产商。XDR能够提升高效率,可是有将会放弃一些工作能力。尽管集成化了一些安全性部件和工作能力,其实不看的能够处理一些深层的安全性难题。XDR的生产商一般总是出示自己的商品,可是商品是不是合理也不看的,XDR将会变为一个集成化计划方案而并不是真实有使用价值的商品。出示XDR的生产商一般全是大生产商,一般来讲演变速率要慢于自主创业企业,特别是在是某一类目中的最好的企业。以便确保领跑性,还必须根据回收或是集成化的方法来确保市场竞争力。XDR生产商一样有一些盲区,必须集成化别的安全性生产商的商品,因此要考虑到盲区的难题,来处理安全性情景100%遮盖。一些新起的SIEM或是SOAR生产商在集成化某一类别中最佳秀的商品来产生处理计划方案,这对XDR商品有巨大的冲击性。这类称为OTT的安全性工作能力,例如SOAR的一些新起生产商就应用这类杆杠来完成这类实际效果。XDR的购置周期时间一般会较为长,将会公司安全性承担人的就职周期时间也没有购置周期时间长,这将会会危害XDR商品的取得成功。

三、生产商的处理计划方案

下面将详细介绍生产商的一些评定规范。

Hunters.AI

Hunters.AI在详细介绍本身时是说对外开放的XDR处理计划方案,能够够运用丰富多彩的终端设备、互联网和云空间的数据信息开展全自动的威协捕猎。它是一家技术专业的XDR生产商,关键取决于注重其威协捕猎工作能力。

图8:Hunters.AI XDR商品页面

这张商品截屏表明了许多难题,最上边Raw Events关键就是指搜集的终端设备、互联网、云空间及其真实身份验证的数据信息,Leads内容能够了解为一些潜伏的案件线索,Hot Leads是较为关键的案件线索也是历经AI优化算法或是干了优先选择级排列获得的有关数据信息,Hot Stories能够依照恶性事件的時间、地址、相对路径、左右文等有关信息内容把威协开展串接,产生一个详细的安全性小故事。这一商品最关键的工作能力便是全自动化威协捕猎发觉全部别的安全性商品没法发觉的安全性难题。商品完成分成四步走:第一步搜集有关的数据信息,包含终端设备数据信息、防火安全墙数据信息、云服务平台数据信息、真实身份验证数据信息、乃至是wifi数据信息,能够根据各种各样方法包含syslog或是API的方法开展连接。第二步做全自动化的调研剖析及其威协捕猎,应用威协资源,及其TTP的有关个人行为,关键根据MITRE ATT CK架构开展剖析,应用设备学习培训,最后也对恶性事件开展等级分类排列。第三步做有关的关系剖析及其可视性化表明。依据有关威协的关系性,包含時间层面、部位、威协左右文、IP等信息内容开展汇聚,并运用图数据信息库来表明威协的来龙去脉,能够依照详细的 安全性小故事 展现出去。最终一步便是将剖析的結果连接给SIEM或是SOAR这种商品,能够进一步归总或是开展有关的响应。

Palo Alto Networks

PA的XDR处理计划方案也集成化了互联网、终端设备和云空间的各种各样数据信息,根据储存和剖析的工作能力,对外开放出示威协发觉和捕猎,及其全自动化调研和威协响应。

图9:XDR摆脱了检验与响应的传统式竖井

XDR中的X被PA讲解为各种各样数据信息来源于。依据PA很多年的累积及其与所回收的各种企业的优良集成化,PA的XDR处理计划方案包含了SIEM、UEBA、NTA和EDR等商品,可以非常好的集成化在一个处理计划方案中,摆脱了以前的每一个商品全是一个竖井的状况。依照响应式构架最后产生了闭环控制,从维护、检验、调研、响应四个环节都能有有关的数据信息、作用获得完成。

图10:XDR持续开展响应式调节,提高防御力工作能力

依据PA对XDR的了解,XDR普遍的应用情景包含:威协等级分类、威协调研和威协捕猎。在威协等级分类层面,又包括五个流程的姿势:第一步是评定,包含外界警报、集成化在SIEM中的警报、也包含內部的警报,关键是一些安全性商品的警报,去明确是不是是潜伏的威协个人行为;第二步是优先选择级排列,对这种警报开展全自动排序从而变为安全性恶性事件,针对这种恶性事件开展安全性优先选择级排列,便于于安全性剖析师开展进一步剖析;第三步剖析,剖析师能够开展可视性化进攻链剖析,这一点是关键工作能力主要表现。第四步信息内容富化解决,依据进攻链的必须,必须大量的左右文及其不一样机器设备的数据信息,因此必须大量的有关进攻信息内容左右文,能够保证压根缘故剖析;最终一步是认证,依据所述全部流程的全自动化,能够巨大降低剖析工作人员的手动式个人行为,剖析工作人员仅用在信息内容富化的阶段参加,能够将很多的恶性事件资金投入在怎样响应的阶段,考虑到怎样减轻威协等。

图11:应用XDR完成进攻链可视性化

以便降低手动式的调研威协的恶性事件,XDR能够加快这一全过程,例如查寻警报、查寻威协资源、查询有关互联网有关关键点等。假如在传统式的方法下,必须手工制作的搜集,在头脑里将这种信息内容开展汇聚,而且要花很多的時间。XDR能够全自动化这种全过程,而且剖析出压根缘故,而且开展进攻的時间线绘图。

威协捕猎也是XDR关键处理的高級威协难题。威协捕猎依据內容的驱动器不一样分成:根据资源、根据专业知识、根据工作经验、根据合规管理、根据设备学习培训这五类别威协捕猎工作能力。威协捕猎一般全是对于于高級威协而开展的人力姿势,在这里里能够全自动化的根据商品开展剖析。

Trend Micro

发展趋势高新科技也比较早在全世界范畴内发布了XDR的处理计划方案,其标语是 见到你以前错过了的 。依据搜集本身有关商品的有关安全性恶性事件,包含了云工作中负荷、终端设备、电子邮件、互联网的信息内容,搜集到说白了的数据信息湖内,在此以上开展全自动化的检验、威协捕猎、压根缘故剖析等,能够将这种結果数据信息连接给SIEM或是SOAR,同时还可以配搭有关的安全性服务便于在此类型型的商品管理体系的优良经营。

图12:发展趋势高新科技的XDR服务

其处理计划方案的关键突显特性是摆脱只是一个角度,开展关系的检验和集成化的调研和响应。XDR将剖析的結果警报推送给SIEM,假如SIEM对这类高可靠度的警报必须进一步的剖析,必须在XDR的剖析页面进一步伐查,并采用有关姿势。同时能够运用发展趋势高新科技的威协资源資源对XDR开展颠覆式创新。许多的检验技术性是参考ATT CK的进攻战略和技术性来开展检验技术性的提高和遮盖。

Cy

Cy是一家从业EDR的非洲企业,同时也是有其XDR的计划方案,其XDR的计划方案会与SOAR和MDR的服务一块描述,统一称为全自动化泄漏维护服务平台。从下面的图能看出其XDR的处理计划方案有EDR、UBA、NTA和蜜罐,基本的商品引流矩阵紧跟述相近,唯一的差别便是客户方面的维护和蜜罐。

图13:Cy全自动化泄漏维护服务平台

依据这种商品组成和统一化剖析,Cy能够保证的也是压根缘故剖析及其进攻時间轴表明。

图14:Cy XDR商品页面

其XDR产生的使用价值包含提升威协的由此可见性和精准性,综合性有关威协的指标值,一些威协将会由大缩小,一些威协将会由小增大;同时能够减少许多威协噪声。另外一层面的使用价值取决于提升高效率,全自动化减少乱报的概率,令人员充足关心真实的威协,进而令人员的高效率获得了巨大地提高。也有一层面便是减少成本费,Cy出示的服务全是完全免费的,同时其商品综合性了一揽子安全性商品,比多点购置要划算一些。最终一个视角是,针对安全性经营工作人员来讲便是睡个好觉,这关键是根据7*24的服务反映的。

也有许多别的企业的XDR计划方案也集成化了其本身的安全性商品,开展了有关的威协的检验和响应的组成。

四、小结

XDR做为新的处理计划方案出現也便是近一2年的事儿,可是国外其早已获得了流行顾客和流行资询组织的认同,这也侧边证实一些其本身使用价值。XDR这类处理计划方案关键是遭遇具体的威协检验和响应而存有,以前EDR只是处理了终端设备上的检验响应,可是别的方面处理的较少,因此才出現了XDR这类综合性的威协检验和响应服务平台。这类处理计划方案的使用价值关键存有于,能够摆脱堡垒,能够将安全性商品纯天然结合在一起,能够造成1+1 2的实际效果,将终端设备、总流量、验证、电子邮件等有关安全性商品的警报集成化在一起,能够关系剖析。同时能够减少具体的购置成本费和有着成本费。也有关键的一点便是能够提升本人和机构的综合性高效率。

这种特性全是对于于SIEM这类商品开展对比描述的,将会SIEM具体的管理中心影响力会遭受XDR这类商品的挑戰,SIEM的布署成本费非常高,必须连接每一个安全性商品,同时开展关系剖析,必须掌握每一个商品的警报特性,变向提升了商品有着成本费,也让这类每个都购置最好的安全性商品集成化的购置成本费高居不下。同时SIEM产生的SOC,也会分Tier1、Tier2、剖析师等人物角色,存有很多警报必须工作人员开展确定,必须安全性经营工作人员花销很多時间解决简易而繁杂的恶性事件乃至是乱报。

实际上短期内内不会有XDR替代SIEM的状况,大部分分XDR的处理计划方案都将其警报连接给SIEM,随后SIEM接受到的别的警报还可以根据XDR开展进一步剖析。二者现阶段還是相互配合情况,SIEM還是充分发挥其警报归并、系统日志储存等基本关键作用。

XDR也是有其本身的局限性性,例如一般来讲全是单一生产商出示的处理计划方案,基本全是全家人桶特性的,这一要搞好区别,务必可以具体产生威协检验和响应的独特情景和高效率的,更进一步说务必要提升安全性经营的高效率和实际效果。也将会会出现供货商锁住的状况,同时购置周期时间一般也会较为长,必须高瞻远瞩并有长期性整体规划的企业才合适。

XDR国外早已有一些供货商出示了有关的处理计划方案,能够做为一些参照,其关键处理计划方案的商品也是有一定的关联性。进攻链可视性、压根缘故剖析及其威协捕猎全是该类处理计划方案的关键情景。XDR这类处理计划方案在中国的落地式将会也有一段的间距,可是将会是将来安全性经营的一种构思调解决计划方案,可是并不是最好处理计划方案,实际需看具体状况。

<
>

 
QQ在线咨询
售前咨询热线
18720358503
售后服务热线
18720358503
返回顶部