长期以来,无效威胁警报过载、安全运营效率低、安全威胁追溯难等问题一直让网络安全运维人员备受困扰,在此背景下XDR(扩展威胁检测及响应)的理念及解决方案越来越受到行业关注。
近日,腾讯安全联合Gartner撰写的《XDR,威胁检测与响应的利器》(简称《白皮书》)正式发布。《白皮书》对XDR的演化路径,核心能力、优势,以及XDR架构的适用性等进行了深入分析。同时结合腾讯安全的XDR相关实践,对XDR的落地路径以及未来发展进行了展望,以期给行业提供借鉴和参考。
(腾讯安全副总裁方斌寄语)
XDR助力企业构建全局主动安全防御能力
《白皮书》表示,孤岛式的安全能力建设模式缺乏对全局安全数据的可见性,高级威胁的发现越来越难以通过单一的安全能力来实现;并且海量信息的实时关联和分析对安全算力要求极高,由于不同安全产品之间缺少数据的关联,产生了大量无效的告警信息,降低了安全运维的效率;现有安全产品的自动化程度不足,导致网络安全运营严重依赖安全人员的技术水平,难以保证对威胁的及时响应和处置。
面对种种难题,企业需要打破孤岛式的安全能力建设模式,追求更高的安全运营效率和安全投入ROI。而XDR将终端、网络、云和工作负载、威胁情报等层面的安全数据和安全产品,集中整合;将企业原有的安全孤岛,通过归一化的数据接入连接起来,集中分析,提供统一的告警处置界面,提供自动化的安全响应编排处置。使安全运营管理的视角,从局部跃升为全局。
(XDR模型框架)
具体来看,XDR可以联动EDR、SIEM、SOAR等不同层面的安全产品的能力,实现跨产品、跨层级的安全数据获取、威胁检测和事件响应。同时,XDR基于大数据分析和机器学习能力,强化对高级威胁的分析,以及攻击杀伤链的理解和还原,让安全人员可以真正聚焦在数量有限且真正具备影响力的安全事件上;此外,XDR可以提供自动化响应威胁的技术和工具,让用户对文件、权限、主机和网络执行经过预先设计编排过的手动和自动的补救措施,提高局部威胁发现、全局快速响应的能力,并减少对高水平安全运维人员的依赖。
从适用性上来说,XDR可以全面支持传统IT环境、私有云、公有云、混合云、云原生等技术架构。尤其是云原生架构,可以为XDR提供超强的数据计算和存储、细粒度的流量管控等能力支撑,云原生化SaaS形态的XDR产品更是能为用户带来即插即用的部署和使用体验。
理论上,所有期待采用集成化、可演进式的安全体系建设的企业都适合采用XDR架构。但完成XDR能力架构是循序渐进的过程,需要企业在梳理已有的安全能力和方案的基础上,定义威胁响应的优先级策略,开放现有安全能力的接口,明确XDR与现有安全能力和方案的兼容需求;同时能够接受升级XDR架构带来的集成技术挑战和时间损耗。
腾讯率先拓展云上XDR方案全面覆盖各类IT环境
国际上,思科、微软、Palo Alto Networks等科技厂商已经探索出了相对成熟的XDR解决方案。而国内对XDR技术的探索实践也从2018年左右开始起步。腾讯安全作为国内领先的安全服务提供商,依托自身成熟的云上安全能力,率先在国内拓展云上XDR方案,并对私有化场景进行赋能。
《白皮书》指出,腾讯XDR方案以天幕PaaS底层安全算力为驱动,通过对原有的云端威胁情报、哈勃沙箱分析能力、防病毒等能力整合,对各类威胁实现更深层次的研判分析。同时,利用CWPP和EPP产品完善的数据采集能力,对威胁技战术做到有效监测和覆盖,再结合机器学习、图计算、自动化编排等技术对告警中的进程、IP、域名、文件等威胁关键实体关系进行拓展,以有效的对事件发生过程和相关性进行分析。
腾讯XDR方案还可以根据企业实际网络环境定制,充分考虑公有云环境和传统IT环境的差异,分别定制两套相对独立的技术方案应对不同应用场景。
(腾讯XDR解决方案)
公有云环境中,依赖腾讯云上丰富的大数据计算算力资源,结合多年积累的威胁情报、机器学习算法、专家知识等能力能够自动实现事件分析与调查,同时云上成熟的API接口能力可以为XDR平台提供较为便捷的响应能力,可以为客户提供一键响应,自动化响应等能力。公有云XDR方案可以依赖CWPP、WAF、云防火墙、iOA SaaS等产品针对混合云环境实现集中威胁检测与响应。
而在私有化环境中,腾讯将iOA终端安全、NDR解决方案进行整合,可以实现对私有化环境下的威胁检测与响应。同时,为了兼顾私有化环境中往往存在多厂商安全设备的现实,腾讯私有化XDR方案中,将接入更多第三方设备告警与日志。针对云环境和传统IT环境并存的客户,依靠腾讯安全运营产品实现对多套XDR平台的整合,满足客户合规、审计、重保等方面的需求。
除此之外,腾讯云XDR解决方案还可以提供MDR服务,为不同成熟度的客户实现不同级别的安全操作能力。其中,对于资产规模较小的客户,建议选择安全事件监测、响应、处置服务。对于安全要求较高的客户,除提供上述服务外,还可以选择风险咨询/安全态势评估、托管安全产品、威胁捕获/威胁欺骗等。最重要的是,腾讯云MDR能够帮助客户凭借较低的投资获得一套行之有效的、高度成熟的云安全运营流程。
XDR作为一种新兴的技术理念,在解决网络安全行业诸多痛点的同时,其实也面临着许多挑战。在市场方面,企业需要更多的成功案例来增强其投入动力;XDR检测能力依赖单一厂商的产品能力集成,对客户的安全产品供应链管理提出了挑战。在技术方面,私有化部署和XDR庞杂的数据分析计算能力之间的矛盾需要突破;事件生成机制以及事件分析的方法还需要继续完善并标准化。
不过,挑战总是与机遇并存。《白皮书》指出,未来XDR的发展将继续聚焦在对事件的响应能力,行业将逐步形成针对事件调查的通用方法与标准。另外,通过SaaS化平台来降低客户部署XDR的复杂程度和高昂的交付成本也是必然趋势。充分发挥客户已投资的安全产品价值,助力客户构建起更加主动的威胁检测和防御能力,将是今后安全厂商在XDR领域共同努力的方向,也是竞争的焦点。
|