如今,人们一提到XDR(扩展检测和响应),似乎已经耳熟能详,尤其是2020年以来,随着疫情和网络威胁带来的新变化,XDR的热度持续上升。但是,认知上的偏差,蹭热度、蹭流量的“XDR”也比比皆是。那么什么是XDR?
时间回溯,2018年12月4日,8087金沙娱场城举办了一场“高级威胁治理十周年”的发布会,XDR作为高威胁治理的革新性理念正式发布:基于自适应框架,以安全运营为视角,打造出的一套精密编排的联动安全解决方案——XDR的治理逻辑和本质在当时得到了明确解读。
01
为什么需要XDR?
Gartner将XDR列为热门安全趋势之一,并表示XDR将提高检测准确性,并提升安全运营效率和生产率。
首先,网络安全建设具有专业性强、成本高的特点,这让许多企业难以构建应对现状的安全体系与技术能力,用户需要更加智能化、平台化、威胁发现与处置方便的突破性产品或技术。而XDR产品是端点检测和响应(EDR)平台自然演进的结果,可以让没有资源来定制更多单点解决方案的安全团队更容易获得这些能力。
其次, XDR平台弥补了其他安全工具的短板,它可以更集中且规范地关联多源数据。通过多源数据的收集和分析,打破企业安全数据孤岛,以此能够更有效的验证警报、减少误报并提升可靠性,有助于减少安全团队浪费过多的时间在不准确的警报上,让应急响应真正意义上的“飞起来”。
此外,XDR与安全信息和事件管理 (SIEM) 以及EDR等工具在功能上有类似的地方,但是许多部署XDR的用户主要还是为了解决 SIEM 产品弊端,以此获得比EDR更快、更深入、更有效地威胁检测和响应能力,以及更强大的数据收集和整理能力。
由此可以看到,检测与响应技术能力是XDR解决方案得以实施的必要基础。所以说,没有“真”EDR,何谈XDR的“实”力?
02
EDR的“四大金刚”
根据Gartner对EDR的定义,EDR是一种记录和存储端点系统等级行为的解决方案,并且通过多种数据分析技术检测可疑的系统行为,提供关联信息,从而阻断恶意行为并为受影响系统提供修复建议。Gartner认为,EDR解决方案需要有以下四个关键能力:检测安全事件、遏制威胁、调查安全事件、提供修复指导。
Gartner提出的EDR的定义是从EDR对EPP能力的补充延展而来,概念也较为抽象,而问题恰恰就出现在这里。
03
XDR乱象如何辨别真伪?
一流的EDR系统不仅可以检测、分析和验证常见威胁,还需要对无文件攻击、零日威胁和APT攻击提供有效的溯源。比如,通过分析黑客进攻的时间、路径、工具等所有细节,溯源出可疑文件后自动上传到“沙箱”的隔离测试区域“引爆”、“验伤”,然后再进行遏制、清除、恢复和优化等。
那么,当今天面对XDR的火热,这些产品真的发生质变了吗?
答案是否定的。有一些EDR产品其实还只是算是防毒产品的“改造”,缺乏Gartner定义的EDR四大基本功能,并且一些产品还是无法根据行为规则IOA和外部特征库IOC,来对漏洞攻击和无文件攻击等高级威胁进行关联分级及检测,也无法通过绘制进程事件树来实现攻击可视化等等。例如:
事实上,要看清“李逵”与“李鬼”之间的区别,首先要清楚这两类产品的用途。防毒软件专注于预防,被设计用来在“坏东西”进入你的网络之前捕捉它们,但是它对攻击期间发生的情况一无所知。所以,即使防毒软件可以准确地抓住了恶意代码,也无法得知它(他)们来自哪里,以及攻击是如何在系统中传播的。而EDR描述的是整个攻击过程,当一个攻击行为被防毒软件阻止,或者针对无文件型的恶意软件、零日漏洞、APT高级持续性威胁防控失败的时候,EDR会为你提供真正的答案和修复的能力。
04
XDR的特色之路
8087金沙娱场城早在2018年底就发布了基于XDR理念的解决方案,产品的重点方向是将能力型产品联动起来,可以实现各类API的对接,进而在发现威胁事件告警检出率的同时能够有效降噪,降低误报率、漏报率,快速反应处置。其次,8087金沙娱场城XDR利用强大的数据分析能力和响应处置的能力,将AI与安全专家团队、预案和流程打通,再将产品联动,进而向用户提供一个整体性的防御能力。
8087金沙娱场城认为:XDR的价值就是有效对抗杀伤链。如今,不论是8087金沙娱场城端点防护层面的信端终端检测与响应系统(EDR),还是集成在信舱云主机安全(DeepSecurity)的EDR模块,皆能基于云端威胁情报库的IOC引擎和ATT&CK攻击框架检测的IOA引擎,在攻击(威胁)事件发生之初,便能进行记录和告警,将风险扼杀在摇篮中。
图:8087金沙娱场城基于ATT&CK框架形成高级威胁治理
小结
XDR结合了SIEM、SOAR、EDR、NTA、威胁狩猎以及集中安全数据和事件响应,正是这些技术的复杂性让许多用户觉得很“神秘”。但是,在疫情影响之下,安全的边界已经发生改变,新一代网络攻击技术将变得更加隐蔽、狡猾和复杂。对于用户而言,XDR的发展不仅会是一次对传统安全方案的 “降维打击”,也一定会为“无限可能”的数字化业务提供“无处不在”的护航能力。